ストレージ アカウント アクセス キーを管理するManage storage account access keys

ストレージ アカウントを作成すると、Azure により 512 ビットのストレージ アカウント アクセス キーが 2 つ生成されます。When you create a storage account, Azure generates two 512-bit storage account access keys. これらのキーは、共有キー認証を使用してストレージ アカウント内のデータへのアクセスする際、認証に使用されます。These keys can be used to authorize access to data in your storage account via Shared Key authorization.

アクセスキーの管理には Azure Key Vault を使用し、キーのローテーションと再生成は定期的に行うことをお勧めします。Microsoft recommends that you use Azure Key Vault to manage your access keys, and that you regularly rotate and regenerate your keys. Azure Key Vault を使用すると、アプリケーションを中断することなく簡単にキーをローテーションできます。Using Azure Key Vault makes it easy to rotate your keys without interruption to your applications. また、キーを手動でローテーションすることもできます。You can also manually rotate your keys.

アクセス キーの保護Protect your access keys

ストレージ アカウントのアクセス キーは、ストレージ アカウントの root パスワードに似ています。Your storage account access keys are similar to a root password for your storage account. アクセス キーは常に慎重に保護してください。Always be careful to protect your access keys. キーを安全に管理およびローテーションするには、Azure Key Vault を使用します。Use Azure Key Vault to manage and rotate your keys securely. アクセス キーを他のユーザーに配布したり、ハードコーディングしたり、他のユーザーがアクセスできるプレーンテキストで保存したりしないでください。Avoid distributing access keys to other users, hard-coding them, or saving them anywhere in plain text that is accessible to others. キーが侵害された可能性があると思われる場合は、キーをローテーションしてください。Rotate your keys if you believe they may have been compromised.

注意

BLOB およびキューのデータに対する要求を承認するには、共有キーではなく、可能であれば Azure Active Directory (Azure AD) を使用することをお勧めします。Microsoft recommends using Azure Active Directory (Azure AD) to authorize requests against blob and queue data if possible, instead of Shared Key. Azure AD では、共有キーよりも優れたセキュリティと使いやすさが実現されます。Azure AD provides superior security and ease of use over Shared Key. Azure AD を使用したデータへのアクセスの承認の詳細については、「Azure Active Directory を使用して BLOB とキューへのアクセスを承認する」を参照してください。For more information about authorizing access to data with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

アカウントのアクセス キーを表示するView account access keys

アカウント アクセス キーは、Azure portal、PowerShell、または Azure CLI を使用して表示したり、コピーしたりできます。You can view and copy your account access keys with the Azure portal, PowerShell, or Azure CLI. Azure portal にはストレージ アカウントの接続文字列も用意されているのでコピーできます。The Azure portal also provides a connection string for your storage account that you can copy.

Azure portal からストレージ アカウントのアクセス キーまたは接続文字列を表示およびコピーするには:To view and copy your storage account access keys or connection string from the Azure portal:

  1. Azure Portal のストレージ アカウントに移動します。Navigate to your storage account in the Azure portal.

  2. [設定][アクセス キー] を選択します。Under Settings, select Access keys. アカウント アクセス キーと、各キーの完全な接続文字列が表示されます。Your account access keys appear, as well as the complete connection string for each key.

  3. [key1][キー] 値を見つけ、 [コピー] ボタンをクリックしてアカウント キーをコピーします。Locate the Key value under key1, and click the Copy button to copy the account key.

  4. あるいは、接続文字列全体をコピーできます。Alternately, you can copy the entire connection string. [Key1][接続文字列] の値を見つけて [コピー] ボタンをクリックし、接続文字列をコピーします。Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Azure portal でアクセス キーを表示する方法を示したスクリーンショット

2 つのキーのいずれかを使用して Azure Storage にアクセスすることもできますが、一般的には、最初のキーを使用し、キーのローテーション時に 2 番目のキーの使用を予約することをお勧めします。You can use either of the two keys to access Azure Storage, but in general it's a good practice to use the first key, and reserve the use of the second key for when you are rotating keys.

アカウントのアクセス キーを表示または読み込むには、ユーザーがサービス管理者であるか、Microsoft. Storage/storageAccounts/listkeys/action を含む RBAC ロールが割り当てられている必要があります。To view or read an account's access keys, the user must either be a Service Administrator, or must be assigned an RBAC role that includes the Microsoft.Storage/storageAccounts/listkeys/action. このアクションが含まれる Azure 組み込みロールには、所有者共同作成者、およびストレージ アカウント キー オペレーターのサービス ロールがあります。Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. サービス管理者ロールの詳細については、「従来のサブスクリプション管理者ロール、Azure RBAC ロール、および Azure AD ロール」を参照してください。For more information about the Service Administrator role, see Classic subscription administrator roles, Azure RBAC roles, and Azure AD roles. Azure Storage 用の組み込み RBAC ロールの詳細については、「Azure RBAC の Azure 組み込みロール」の「ストレージ」セクションを参照してください。For detailed information about built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Azure Key Vault を使用してアクセスキーを管理するUse Azure Key Vault to manage your access keys

Microsoft では、Azure Key Vault を使用して、アクセスキーの管理とローテーションをするようお勧めします。Microsoft recommends using Azure Key Vault to manage and rotate your access keys. アプリケーションは、Key Vault 内のキーに安全にアクセスできるので、アプリケーションコードと一緒に格納することは避けてください。Your application can securely access your keys in Key Vault, so that you can avoid storing them with your application code. キー管理に Key Vault を使用する方法の詳細については、次の記事を参照してください:For more information about using Key Vault for key management, see the following articles:

アクセス キーを手動でローテーションするManually rotate access keys

Microsoft では、ストレージアカウントのセキュリティを確保するために、アクセスキーを定期的にローテーションすることをお勧めします。Microsoft recommends that you rotate your access keys periodically to help keep your storage account secure. 可能であれば、Azure Key Vault を使用してアクセスキーを管理してください。If possible, use Azure Key Vault to manage your access keys. Key Vault を使用していない場合は、キーを手動でローテーションする必要があります。If you are not using Key Vault, you will need to rotate your keys manually.

キーをローテーションさせることができるように、2 つのアクセス キーが割り当てられます。Two access keys are assigned so that you can rotate your keys. 2 つのキーで、アプリケーションはプロセス全体を通じて Azure Storage へのアクセスを維持します。Having two keys ensures that your application maintains access to Azure Storage throughout the process.

警告

アクセス キーの再生成は、ストレージ アカウント キーに依存するあらゆるアプリケーションまたは Azure サービスに影響を与える可能性があります。Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. メディア サービス、クラウド、モバイル アプリケーション、Azure Storage 向けのグラフィカル ユーザー インターフェイス アプリケーション (Azure Storage Explorer など) を含む、アクセス キーを使用してストレージ アカウントにアクセスするクライアントは新しいキーを使用するように更新する必要があります。Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

Azure portal でストレージ アカウントのアクセス キーをローテーションさせるには:To rotate your storage account access keys in the Azure portal:

  1. ストレージ アカウントのセカンダリ アクセス キーを参照するようにアプリケーション コードの接続文字列を更新します。Update the connection strings in your application code to reference the secondary access key for the storage account.
  2. Azure Portal のストレージ アカウントに移動します。Navigate to your storage account in the Azure portal.
  3. [設定][アクセス キー] を選択します。Under Settings, select Access keys.
  4. ストレージ アカウントのプライマリ アクセス キーを再生成するには、プライマリ アクセス キーの隣にある [再生成] ボタンを選択します。To regenerate the primary access key for your storage account, select the Regenerate button next to the primary access key.
  5. 新しいプライマリ アクセス キーを参照するようにアプリケーション コードの接続文字列を更新します。Update the connection strings in your code to reference the new primary access key.
  6. 同様に、セカンダリ アクセス キーを再生成します。Regenerate the secondary access key in the same manner.

注意

Microsoft では、すべてのアプリケーションで、同時にいずれかのキーのみを使用することをお勧めします。Microsoft recommends using only one of the keys in all of your applications at the same time. キー 1 を使用する場所とキー 2 を使用する場所がある場合、キーを循環させるときに、一部のアプリケーションがアクセス権を失います。If you use Key 1 in some places and Key 2 in others, you will not be able to rotate your keys without some application losing access.

アカウントのアクセス キーをローテーションさせるには、ユーザーがサービス管理者であるか、Microsoft.Storage/storageAccounts/regeneratekey/action を含む RBAC ロールが割り当てられている必要があります。To rotate an account's access keys, the user must either be a Service Administrator, or must be assigned an RBAC role that includes the Microsoft.Storage/storageAccounts/regeneratekey/action. このアクションが含まれる Azure 組み込みロールには、所有者共同作成者、およびストレージ アカウント キー オペレーターのサービス ロールがあります。Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. サービス管理者ロールの詳細については、従来のサブスクリプション管理者ロール、Azure RBAC ロール、および Azure AD ロールに関する記事を参照してください。For more information about the Service Administrator role, see Classic subscription administrator roles, Azure RBAC roles, and Azure AD roles. Azure Storage 用の Azure 組み込みロールの詳細については、Azure RBAC の Azure 組み込みロールに関するページの「ストレージ」セクションを参照してください。For detailed information about Azure built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

次のステップNext steps