Pular para o conteúdo principal

Laboratório Técnico: Manage Subscriptions

Questões

Questão 1 — Múltipla Escolha

Uma organização possui três ambientes separados (desenvolvimento, homologação e produção) e precisa garantir que os custos de cada ambiente sejam rastreados de forma independente, sem criar novas contas Azure. A equipe de FinOps exige relatórios de custo por ambiente e a capacidade de aplicar políticas distintas em cada um.

Qual é a abordagem mais adequada para atender a esses requisitos dentro de uma única conta Azure?

A) Criar uma subscription separada para cada ambiente e organizá-las em grupos de gerenciamento distintos

B) Usar uma única subscription com resource groups distintos por ambiente e aplicar tags de custo

C) Criar múltiplos Microsoft Entra ID tenants, um por ambiente, e vincular cada um a uma subscription

D) Usar Azure Cost Management para criar "views" por ambiente dentro de uma única subscription sem separação estrutural

Questão 2 — Cenário Técnico

Um administrador precisa garantir que todos os recursos criados em uma subscription produtiva sejam implantados apenas nas regiões brazilsouth e eastus. Ele aplica a seguinte Azure Policy na subscription:

{
  "policyRule": {
    "if": {
      "not": {
        "field": "location",
        "in": ["brazilsouth", "eastus"]
      }
    },
    "then": {
      "effect": "deny"
    }
  }
}

Após a aplicação, um desenvolvedor tenta criar um recurso do tipo Microsoft.Resources/resourceGroups na região westus e a operação é bem-sucedida. Qual é a explicação correta para esse comportamento?

A) A policy foi aplicada com escopo incorreto; ela deveria estar no nível do resource group, não da subscription

B) O efeito deny não se aplica a resource groups; apenas audit é suportado para esse tipo de recurso

C) Resource groups têm o campo location apenas como metadado de conveniência, e algumas policies não avaliam esse tipo de recurso sem uma condição de tipo explícita

D) A policy só entra em vigor após o próximo ciclo de avaliação, que ocorre a cada 24 horas para novos assignments

Questão 3 — Verdadeiro ou Falso

Uma Azure Policy com efeito append aplicada a uma subscription impede a criação de recursos que não atendam à condição definida, da mesma forma que o efeito deny.

Questão 4 — Cenário Técnico

Uma empresa adquiriu outra organização e precisa mover as subscriptions da empresa adquirida para o seu próprio tenant do Microsoft Entra ID. O administrador inicia o processo de transferência de subscription entre tenants.

Qual das seguintes consequências deve ser considerada como impacto direto e imediato dessa operação?

A) Todos os recursos da subscription são excluídos e precisam ser recriados no tenant de destino

B) As role assignments (RBAC) existentes na subscription são removidas permanentemente e precisam ser reconfiguradas

C) As policies do Azure atribuídas à subscription são migradas automaticamente junto com ela

D) As managed identities dos recursos são preservadas, pois estão vinculadas ao recurso, não ao tenant

Questão 5 — Múltipla Escolha

Um arquiteto precisa estruturar o ambiente Azure de uma holding com 12 subsidiárias. Cada subsidiária deve ter autonomia para gerenciar seus próprios recursos, mas a holding precisa aplicar políticas de segurança e conformidade de forma centralizada em todas elas, sem precisar replicar manualmente as configurações.

Qual estrutura atende melhor a esse modelo?

A) Uma subscription por subsidiária, sem hierarquia adicional, com policies aplicadas individualmente em cada subscription

B) Um management group raiz com management groups filhos por subsidiária, policies aplicadas no nível raiz e subscriptions agrupadas por subsidiária

C) Um único resource group por subsidiária dentro de uma subscription compartilhada, com policies aplicadas por resource group

D) Um tenant do Microsoft Entra ID por subsidiária, com uma subscription por tenant e policies sincronizadas via Azure Arc

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

Subscriptions são o limite natural de isolamento de custos, políticas e controle de acesso no Azure. Quando o requisito combina rastreamento independente de custos com aplicação de políticas distintas por ambiente, criar subscriptions separadas é a abordagem correta, pois cada subscription possui seu próprio contexto de billing e aceita policy assignments independentes.

A alternativa B é o equívoco mais comum: tags e resource groups permitem filtrar custos, mas não criam isolamento real de políticas. Uma policy aplicada na subscription afeta todos os resource groups dentro dela, impedindo configurações distintas por ambiente sem workarounds complexos.

A alternativa C introduz complexidade desnecessária de identidade e não resolve o problema de billing ou policies de forma nativa. A alternativa D descreve um recurso de visualização, não de estruturação, e não atende ao requisito de políticas distintas.

Gabarito — Questão 2

Resposta: C

O campo location em um Microsoft.Resources/resourceGroups é tratado como metadado informativo e não segue o mesmo ciclo de avaliação de policy que recursos comuns. A policy definida no enunciado não inclui uma condição de tipo (type), o que significa que ela avalia todos os recursos, mas a aplicação prática do efeito deny sobre resource groups depende do comportamento interno do avaliador de policies para esse tipo específico.

O ponto central é que policies de localização frequentemente exigem que o tipo de recurso seja explicitamente considerado ou que a condição use field: location combinada com restrições de tipo para cobrir resource groups de forma confiável.

A alternativa A está errada porque aplicar a policy na subscription é exatamente o escopo correto para cobrir todos os recursos dentro dela. A alternativa B é incorreta; o efeito deny é suportado para resource groups. A alternativa D confunde o ciclo de avaliação de conformidade (que é periódico) com a aplicação do efeito deny em tempo real no momento da criação, que é imediata.

Gabarito — Questão 3

Resposta: Falso

O efeito append não bloqueia a criação de recursos. Ele adiciona campos ou valores a um recurso durante sua criação ou atualização, como incluir uma tag obrigatória ou um campo de configuração ausente. O comportamento é aditivo, não restritivo. Apenas os efeitos deny e denyAction impedem explicitamente operações. Confundir append com deny é um erro conceitual relevante, pois usar append quando o objetivo é bloquear resulta em recursos não conformes sendo criados com campos adicionados, o que é o oposto do controle desejado.

Gabarito — Questão 4

Resposta: B

Quando uma subscription é transferida entre tenants do Microsoft Entra ID, todas as role assignments (RBAC) são permanentemente removidas. Isso ocorre porque as role assignments são vinculadas a identidades (object IDs) do tenant de origem, que não existem no tenant de destino. O administrador deve reconfigurar todos os acessos após a transferência.

A alternativa A está errada: os recursos não são excluídos; eles continuam existindo na subscription. A alternativa C está errada: policies atribuídas à subscription não são migradas automaticamente e precisam ser reaplicadas. A alternativa D é a distratora mais perigosa: managed identities são vinculadas ao tenant, não apenas ao recurso. Ao mover a subscription, as managed identities são excluídas e precisam ser recriadas e reatribuídas aos recursos no novo tenant.

Gabarito — Questão 5

Resposta: B

Management groups foram criados exatamente para esse cenário: aplicar governança centralizada em múltiplas subscriptions sem replicação manual. Policies e role assignments aplicadas em um management group pai são herdadas por todos os management groups filhos e subscriptions dentro dele. A estrutura hierárquica permite que a holding aplique controles no nível raiz enquanto cada subsidiária mantém autonomia dentro de sua própria subscription.

A alternativa A é o antipadrão clássico: funciona, mas não escala e exige manutenção manual em cada subscription. A alternativa C não oferece isolamento real entre subsidiárias e mistura recursos em um único contexto de billing e política. A alternativa D introduz complexidade de múltiplos tenants sem benefício justificado; Azure Arc é voltado para gerenciar recursos fora do Azure, não para estruturar subsidiárias dentro dele.