Pular para o conteúdo principal

Laboratório Técnico: Manage Access Keys

Questões

Questão 1 — Múltipla Escolha

Uma equipe de desenvolvimento usa uma storage account no Azure para armazenar artefatos de build. O pipeline de CI/CD autentica-se usando a access key diretamente na string de conexão. O time de segurança solicita uma rotação imediata da chave sem interromper o pipeline em produção.

Qual é a sequência correta para realizar essa rotação com zero downtime?

A) Revogar a key1, atualizar o pipeline com a key2, revogar a key2 e gerar uma nova key1.

B) Regenerar a key1, atualizar o pipeline com a key1 regenerada e monitorar por falhas.

C) Atualizar o pipeline para usar a key2, regenerar a key1 e, quando necessário, migrar o pipeline para a key1 regenerada.

D) Criar uma nova storage account, migrar os dados e atualizar o pipeline com a nova access key.

Questão 2 — Cenário Técnico

Um administrador precisa auditar quem acessou as access keys de uma storage account no último mês. Ele navega até o portal do Azure, abre a storage account e clica em "Access keys".

Ao tentar verificar o histórico de acesso às chaves, ele percebe que o portal não exibe esse registro diretamente.

Qual recurso ele deve usar para obter essa informação?

A) Microsoft Entra ID > Sign-in logs, filtrando pelo service principal da storage account.

B) Azure Monitor > Activity Log, filtrando pela operação listKeys.

C) Storage account > Diagnostics settings, habilitando o log de autenticação.

D) Microsoft Defender for Cloud > Security alerts, verificando alertas de acesso a chaves.

Questão 3 — Verdadeiro ou Falso

Ao regenerar uma access key de uma storage account, a outra access key existente é invalidada automaticamente como medida de segurança, garantindo que apenas uma chave ativa exista por vez.

Questão 4 — Cenário Técnico

Uma aplicação usa a seguinte string de conexão para acessar uma storage account:

DefaultEndpointsProtocol=https;
AccountName=meuarmazenamento;
AccountKey=ABC123...;
EndpointSuffix=core.windows.net

O time de segurança decide revogar o uso de access keys na storage account, habilitando a opção "Disable storage account key access" no portal.

Qual é o impacto imediato esperado na aplicação?

A) A aplicação continua funcionando porque a chave já estava em cache localmente.

B) A aplicação passa a receber erros de autenticação nas requisições à storage account.

C) A string de conexão é invalidada, mas requisições em andamento são concluídas normalmente.

D) A aplicação é redirecionada automaticamente para autenticação via Microsoft Entra ID.

Questão 5 — Múltipla Escolha

Uma empresa quer eliminar o uso de access keys em suas storage accounts e adotar uma abordagem de autenticação mais segura. Qual alternativa representa a substituição mais adequada, alinhada às boas práticas atuais da Microsoft para workloads em execução no Azure?

A) Shared Access Signatures (SAS) com tokens de curta duração gerados a partir da access key.

B) Managed Identity com atribuição de roles via RBAC na storage account.

C) Conexão via VNet Service Endpoint com restrição de IP no firewall da storage account.

D) Chaves armazenadas no Azure Key Vault, com a aplicação recuperando-as em runtime.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: C

Explicação:

  • A storage account possui sempre duas access keys (key1 e key2) precisamente para viabilizar a rotação sem downtime. A estratégia correta é migrar o consumidor ativo para a chave secundária, regenerar a primária e, depois, migrar de volta se desejado.
  • A alternativa B parece razoável, mas regenerar a chave em uso imediatamente causa falha nas requisições em andamento que ainda usam o valor anterior.
  • A alternativa A confunde "revogar" com "regenerar": não existe operação de revogação isolada de uma chave sem substituição.
  • A alternativa D resolve o problema, mas é uma abordagem desproporcional e não trata a necessidade de rotação, somente a evita.

Gabarito — Questão 2

Resposta: B

Explicação:

  • O Azure Monitor Activity Log registra operações do plano de controle (management plane), incluindo a operação Microsoft.Storage/storageAccounts/listKeys/action, que é acionada toda vez que alguém visualiza ou recupera as access keys.
  • O Microsoft Entra ID Sign-in logs rastreia autenticações de usuários e service principals, não operações sobre recursos Azure.
  • O Diagnostics settings da storage account loga operações no plano de dados (leitura/escrita de blobs, filas etc.), não acesso às chaves em si.
  • O Microsoft Defender for Cloud emite alertas baseados em heurísticas de ameaça, não fornece histórico auditável de operações específicas.

Gabarito — Questão 3

Resposta: Falso

Explicação:

  • As duas access keys são completamente independentes. Regenerar uma chave não afeta a outra em nenhum aspecto. Esse é precisamente o design que permite a rotação sem interrupção de serviço.
  • A crença de que regenerar uma chave invalida a outra é um equívoco comum que, se aceito, levaria um administrador a evitar a rotação com medo de causar downtime, ou a não entender por que aplicações ainda funcionam após uma regeneração.

Gabarito — Questão 4

Resposta: B

Explicação:

  • Quando a opção "Disable storage account key access" é habilitada, todas as requisições autenticadas via access key ou SAS derivado de access key são rejeitadas imediatamente pelo plano de dados. Não há período de graça nem cache local que contorne isso.
  • A alternativa A é incorreta: o Azure valida a chave no servidor a cada requisição; não existe mecanismo de cache de credencial no cliente que bypass essa verificação.
  • A alternativa C é incorreta: não existe distinção entre requisições em andamento e novas requisições nesse contexto de revogação.
  • A alternativa D é incorreta: o Azure não faz redirecionamento automático de método de autenticação; a aplicação precisaria ser reconfigurada explicitamente para usar Microsoft Entra ID.

Gabarito — Questão 5

Resposta: B

Explicação:

  • Managed Identity com RBAC é a abordagem recomendada pela Microsoft para eliminar completamente o uso de segredos e chaves em workloads rodando no Azure. A identidade gerenciada autentica-se via Microsoft Entra ID sem nenhuma credencial explícita no código ou configuração.
  • A alternativa A ainda depende da access key para gerar o SAS token, portanto não elimina o risco associado às chaves.
  • A alternativa C restringe o acesso por rede, mas não substitui o mecanismo de autenticação; as access keys continuariam sendo necessárias.
  • A alternativa D reduz a exposição das chaves, mas mantém a dependência delas. O Key Vault é uma boa prática de gestão de segredos, não uma substituição do modelo de autenticação baseado em chave.