ストレージ アカウントのアクセス制御を構成する
Blob、File、Queue、または Table service 内のセキュリティで保護されたリソースに対する要求は、承認される必要があります。 承認により、必要な場合にのみ、アクセスを許可されたユーザーまたはアプリケーションだけが、ストレージ アカウント内のリソースにアクセスできるようになります。
次の表は、リソースへのアクセスを承認するために Azure Storage に用意されているオプションをまとめたものです。
| Azure 成果物 | 共有キー (ストレージ アカウント キー) | Shared Access Signature (SAS) | Microsoft Entra ID | オンプレミス Active Directory Domain Services | 匿名パブリック読み取りアクセス |
|---|---|---|---|---|---|
| Azure BLOB | サポートされています | サポート対象 | サポート対象 | サポートされていません | サポートされています |
| Azure Files (SMB) | サポートされています | サポートされていません | Microsoft Entra Domain Services または Microsoft Entra Kerberos でサポートされます | サポートされています。資格情報は Microsoft Entra ID と同期する必要があります | サポートされていません |
| Azure Files (REST) | サポートされています | サポート対象 | サポート対象 | サポートされていません | サポートされていません |
| Azure キュー | サポートされています | サポート対象 | サポート対象 | サポートされていません | サポートされていません |
| Azure テーブル | サポートされています | サポート対象 | サポート対象 | サポートされていません | サポートされていません |
ここでは、各認証オプションについて簡単に説明します。
- Microsoft Entra ID:Microsoft Entra は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID 統合は、Blob、File、Queue、Table サービスで利用可能です。 Microsoft Entra ID を使用すると、ロールベースのアクセス制御を介して、ユーザー、グループ、またはアプリケーションにきめ細かいアクセスを割り当てることができます。
- Azure Files の Microsoft Entra Domain Services 認証。 Azure Files は、Microsoft Entra Domain Services を使用した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認可をサポートします。 RBAC を使用して、ストレージ アカウント内の Azure Files リソースへのクライアントのアクセスを細かく制御できます。
- Azure Files の Active Directory (AD) 認可: Azure Files では、AD を使用した SMB を介した ID ベースの承認がサポートされています。 AD ドメイン サービスは、オンプレミスのコンピューターまたは Azure VM でホストできます。 Files には、オンプレミスまたは Azure で、ドメインに参加しているコンピューターから AD 資格情報を利用することで SMB アクセスできます。 共有レベルのアクセス制御には RBAC を、ディレクトリおよびファイル レベルのアクセス許可の適用には NTFS DACL を使用できます。
- 共有キー: 共有キー認可では、アカウントのアクセス キーと他のパラメーターを使用して、Authorization ヘッダーで要求に渡される暗号化された署名文字列が生成されます。
- Shared Access Signature:Shared Access Signature (SAS) では、アカウント内の特定のリソースへのアクセスが、指定したアクセス許可で、指定した期間だけ委任されます。
- コンテナーおよび BLOB への匿名アクセス:必要に応じて、コンテナーまたは BLOB のレベルで BLOB リソースをパブリックにすることができます。 任意のユーザーが、匿名読み取りアクセスで、パブリック コンテナーまたは BLOB にアクセスできます。 パブリック コンテナーと BLOB に対する読み取り要求に、承認は必要ありません。
Microsoft Entra ID を使用した BLOB、ファイル、キュー、テーブル データへのアクセスの認証および認可は、他の認可オプションよりも優れたセキュリティと使いやすさをもたらします。 たとえば、Microsoft Entra ID を使うと、共有キー認可の場合のようにアカウントのアクセス キーをコードと一緒に保存することは、必要なくなります。 BLOB およびキュー アプリケーションで引き続き共有キーの認可を使用することができますが、Microsoft では可能な場合、Microsoft Entra ID に移行することをお勧めします。
同様に、Shared Access Signatur (SAS) を使ってストレージ アカウントのリソースに対するきめ細かいアクセスの許可を続けることができますが、Microsoft Entra ID には、SAS トークンを管理したり侵害された SAS の取り消しを心配したりする必要がない、同様の機能が用意されています。