Laboratório Técnico: Manage Resource Groups
Questões
Questão 1 — Múltipla Escolha
Uma equipe de operações precisa mover um conjunto de recursos do resource group rg-producao-eastus para o rg-producao-westus. O administrador executa a operação de movimentação pelo portal do Azure e recebe um erro indicando que um dos recursos não suporta a operação de Move.
Qual das opções abaixo descreve corretamente o comportamento esperado do Azure nesse cenário?
A) A movimentação é bloqueada integralmente até que todos os recursos do grupo suportem a operação, sem mover nenhum recurso parcialmente.
B) O Azure move automaticamente os recursos compatíveis e deixa os incompatíveis no grupo de origem sem notificar o administrador.
C) O administrador pode selecionar individualmente os recursos que suportam a operação e movê-los, deixando os incompatíveis no grupo de origem.
D) A movimentação só é permitida entre resource groups dentro da mesma região, pois recursos não podem mudar de localização lógica.
Questão 2 — Cenário Técnico
Um administrador aplica o seguinte lock em um resource group de produção:
az lock create \
--name "lock-producao" \
--resource-group rg-producao \
--lock-type ReadOnly
Posteriormente, um desenvolvedor tenta listar as chaves de acesso de uma Storage Account contida nesse resource group usando o comando:
az storage account keys list \
--resource-group rg-producao \
--account-name stproddata01
O comando retorna um erro de autorização. Qual é a causa mais provável?
A) O lock do tipo ReadOnly impede qualquer operação POST no plano de gerenciamento, e listar chaves é implementado internamente como uma ação POST, não GET.
B) O lock ReadOnly bloqueia automaticamente o acesso ao plano de dados da Storage Account, incluindo leitura de blobs e metadados.
C) O lock ReadOnly foi aplicado no resource group, mas não se propaga para os recursos filhos, portanto o erro tem outra causa não relacionada ao lock.
D) O lock ReadOnly só tem efeito sobre recursos do tipo Microsoft.Resources, não sobre serviços de armazenamento.
Questão 3 — Verdadeiro ou Falso
Ao excluir um resource group, todas as policies do Microsoft Azure Policy atribuídas diretamente ao resource group são removidas automaticamente, mas as policies herdadas do escopo de subscription permanecem ativas sobre os recursos recriados futuramente no mesmo escopo.
Questão 4 — Cenário Técnico
Uma organização utiliza a seguinte estrutura de tags para rastreamento de custos:
| Resource Group | Tag aplicada no RG |
|---|---|
| rg-financas | centro-custo: financas |
| rg-ti | centro-custo: ti |
O administrador percebe que, ao gerar o relatório de Cost Analysis filtrado pela tag centro-custo, vários recursos dentro de rg-financas não aparecem no resultado.
Qual é a causa mais provável desse comportamento?
A) O Cost Analysis ignora tags aplicadas em resource groups e considera apenas tags aplicadas diretamente nos recursos individuais.
B) Tags aplicadas em resource groups são herdadas automaticamente por todos os recursos filhos, mas o Cost Analysis não suporta filtro por tags herdadas.
C) O recurso exportou seus próprios dados de custo para um Storage Account externo, desaparecendo do Cost Analysis padrão.
D) Tags só são visíveis no Cost Analysis quando aplicadas no escopo de subscription, não em resource groups ou recursos individuais.
Questão 5 — Múltipla Escolha
Um administrador precisa garantir que todos os recursos criados futuramente em um resource group específico sejam implantados obrigatoriamente na região brazilsouth. Ele não quer bloquear a criação de outros tipos de recurso, apenas restringir a localização.
Qual é a abordagem correta?
A) Aplicar um lock do tipo ReadOnly no resource group com uma condição de localização definida nas propriedades do lock.
B) Atribuir uma Azure Policy com o efeito Deny usando a definição integrada que restringe localizações permitidas, no escopo do resource group.
C) Configurar a propriedade location do resource group como brazilsouth, o que força todos os recursos filhos a herdarem essa localização automaticamente.
D) Criar uma tag location: brazilsouth no resource group e ativar a opção de herança de tags com enforcement no portal do Azure.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: C
O Azure permite selecionar quais recursos serão movidos em uma operação de Move entre resource groups. A operação não é atômica para todos os recursos do grupo. O administrador pode mover apenas os recursos compatíveis, mantendo os incompatíveis no grupo de origem.
O principal erro conceitual das alternativas incorretas é tratar a movimentação como uma operação que exige 100% dos recursos compatíveis (A) ou como algo que acontece de forma automática e silenciosa (B). A alternativa D confunde a localização lógica do resource group com a localização física dos recursos: mover um recurso entre resource groups não altera sua região de implantação.
Gabarito — Questão 2
Resposta: A
A operação az storage account keys list é implementada pelo Azure Resource Manager como uma ação POST no plano de gerenciamento, especificamente Microsoft.Storage/storageAccounts/listKeys/action. Um lock do tipo ReadOnly bloqueia todas as operações que não sejam leituras simples (GET) no plano de gerenciamento, incluindo ações POST, mesmo que semanticamente pareçam uma leitura.
A alternativa B representa um equívoco comum: locks atuam sobre o plano de gerenciamento, não sobre o plano de dados. Eles não bloqueiam acesso a blobs, filas ou tabelas diretamente. A alternativa C está errada porque locks aplicados em resource groups se propagam para todos os recursos filhos. A alternativa D é incorreta pois os locks se aplicam a todos os tipos de recursos dentro do escopo, não apenas a recursos do tipo Microsoft.Resources.
Gabarito — Questão 3
Resposta: Verdadeiro
Ao excluir um resource group, as atribuições de policy feitas diretamente naquele escopo são removidas junto com o grupo. Contudo, policies atribuídas em escopos superiores, como subscription ou management group, continuam existindo independentemente. Se um novo resource group for criado no mesmo escopo de subscription, essas policies de nível superior serão aplicadas automaticamente sobre ele.
O ponto não óbvio aqui é a distinção entre escopo de atribuição e escopo de efeito: a exclusão do resource group remove apenas o que foi atribuído naquele escopo específico, sem afetar atribuições herdadas.
Gabarito — Questão 4
Resposta: A
Tags aplicadas em resource groups não são herdadas automaticamente pelos recursos filhos no Azure, a menos que uma Azure Policy com efeito Modify seja configurada explicitamente para propagar as tags. Como o Cost Analysis filtra por tags dos recursos individuais, recursos sem a tag aplicada diretamente não aparecem nos relatórios filtrados.
A alternativa B inverte a lógica corretamente: a herança automática não existe por padrão, e o Cost Analysis em si não é o problema. As alternativas C e D representam comportamentos que não existem na plataforma. Esse é um dos erros operacionais mais comuns em estratégias de governança de custos no Azure.
Gabarito — Questão 5
Resposta: B
A forma correta de restringir a localização de novos recursos em um resource group é atribuir uma Azure Policy com efeito Deny usando a definição integrada Allowed locations no escopo desejado. Essa policy avalia cada requisição de criação e rejeita as que não atendem ao critério de localização.
A alternativa A está errada porque locks não possuem lógica condicional de localização. A alternativa C representa um equívoco frequente: a propriedade location do resource group define apenas onde os metadados do grupo são armazenados, não impõe restrição alguma sobre a localização dos recursos filhos. A alternativa D descreve uma funcionalidade inexistente: tags não possuem capacidade de enforcement de implantação.