Azure portal でストレージ アカウント設定を管理するManage storage account settings in the Azure portal

Azure portal では、ストレージ アカウント向けにさまざまな設定が用意されています。A variety of settings for your storage account are available in the Azure portal. この記事では、これらの設定の一部とその使用方法について説明します。This article describes some of these settings and how to use them.

アクセス制御Access control

Azure Storage では、ロールベースのアクセス制御 (RBAC) を介した Azure Active Directory による BLOB ストレージとキュー ストレージの承認がサポートされています。Azure Storage supports authorization with Azure Active Directory for Blob storage and Queue storage via role-based access control (RBAC). Azure AD による承認の詳細については、「Azure Active Directory を使用して Azure BLOB およびキューへのアクセスを承認する」を参照してください。For more information about authorization with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

Azure portal のアクセス制御設定を利用すれば、簡単な方法で RBAC ロールをユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。The Access control settings in the Azure portal offer a simple way to assign RBAC roles to users, groups, service principals, and managed identities. RBAC ロールを割り当てる方法の詳細については、「Manage access rights to blob and queue data with RBAC」 (RBAC で BLOB とキュー データにアクセスする権利を管理する) を参照してください。For more information about assigning RBAC roles, see Manage access rights to blob and queue data with RBAC.

TagsTags

Azure Storage では、カスタマイズした分類で Azure リソースを整理するための Azure Resource Manager タグがサポートされています。Azure Storage supports Azure Resource Manager tags for organizing your Azure resources with a customized taxonomy. サブスクリプション内のストレージ アカウントを論理的にグループ化できるように、ストレージ アカウントにタグを適用できます。You can apply tags to your storage accounts so that you can group them within your subscription in a logical manner.

ストレージ アカウントについては、タグ名は 128 文字まで、タグ値は 256 文字までに制限されます。For storage accounts, a tag name is limited to 128 characters, and a tag value is limited to 256 characters.

詳細については、タグを使用した Azure リソースの整理に関するページを参照してください。For more information, see Use tags to organize your Azure resources.

[アクセス キー]Access keys

ストレージ アカウントを作成すると、Azure により 512 ビットのストレージ アカウント アクセス キーが 2 つ生成されます。When you create a storage account, Azure generates two 512-bit storage account access keys. この 2 つのキーは、共有キー経由でストレージ アカウントにアクセスする際、認証に使用されます。These keys can be used to authorize access to your storage account via Shared Key. アプリケーションを中断することなく、キーをローテーションさせ、再生成できます。Microsoft では、キーを定期的に再生成することをお勧めしています。You can rotate and regenerate the keys without interruption to your applications, and Microsoft recommends that you do so regularly.

重要

ストレージ アカウント キーは、ストレージ アカウントの root パスワードに似ています。Your storage account key is similar to the root password for your storage account. アカウント キーは常に慎重に保護してください。Always be careful to protect your account key. このキーを他のユーザーに配布したり、ハードコーディングしたり、他のユーザーがアクセスできるプレーン テキストで保存したりしないでください。Avoid distributing it to other users, hard-coding it, or saving it anywhere in plaintext that is accessible to others. アカウント キーが侵害されたと思われる場合は、Azure Portal を使用してキーを再生成してください。Regenerate your account key using the Azure portal if you believe it may have been compromised.

SAS (Shared Access Signature) トークンは、アカウント アクセス キーと同じように厳重な保護が必要です。SAS (Shared Access Signature) tokens are critical to protect just like the account access keys. きめ細かな制御を提供する一方で、SAS はストレージ アカウント内のリソースへのアクセス権を付与するため、パブリックに共有してはなりません。While providing granularity SAS grants clients access to the resources in your storage account and should not be shared publicly. トラブルシューティングのために共有が必要な場合は、機密情報を除去したバージョンのログ ファイルを使用すること、または SAS トークン (存在する場合) をログ ファイルから削除することを検討し、スクリーンショットに SAS 情報が含まれていないことも確認してください。When sharing is required for troubleshooting reasons consider using a redacted version of any log files or deleting the SAS tokens (if present) from the log files, and make sure the screenshots don't contain the SAS information either.

ヒント

Azure Storage では、Azure Active Directory (Azure AD) を使用して BLOB および Queue ストレージへの要求を承認することができます。Azure Storage supports authorizing requests to Blob and Queue storage using Azure Active Directory (Azure AD). Azure AD から返された OAuth 2.0 トークンを使用してユーザーまたはアプリケーションを承認する方法は、セキュリティと使いやすさの面で、共有キー承認よりも優位です。Authorizing users or applications using an OAuth 2.0 token returned by Azure AD provides superior security and ease of use over Shared Key authorization. Azure AD を使用すれば、アカウント アクセス キーをコードに保存する必要がないため、潜在的なセキュリティ脆弱性のリスクを排除できます。With Azure AD, there is no need to store the account access key with your code and risk potential security vulnerabilities.

さらに Azure Storage は、BLOB ストレージのユーザー委任 Shared Access Signature (SAS) をサポートしています。Additionally, Azure Storage supports the user delegation shared access signature (SAS) for Blob storage. ユーザー委任 SAS は Azure AD の資格情報を使用して署名されます。The user delegation SAS is signed with Azure AD credentials. アプリケーション設計で、BLOB ストレージへのアクセスのため、Shared Access Signature が必要な場合は、セキュリティを強化するために、Azure AD 資格情報を使用してユーザー委任 SAS を作成してください。When your application design requires shared access signatures for access to Blob storage, use Azure AD credentials to create a user delegation SAS for superior security.

Azure Storage アプリケーションでは、できる限り Azure AD を使用することをお勧めします。Microsoft recommends using Azure AD with your Azure Storage applications when possible. 詳細については、Azure Active Directory を使用して Azure BLOB およびキューへのアクセスを承認する方法に関するページを参照してください。For more information, see Authorize access to Azure blobs and queues using Azure Active Directory.

アカウント キーと接続文字列を表示するView account keys and connection string

Azure portal からストレージ アカウントのアクセス キーまたは接続文字列を表示およびコピーするには:To view and copy your storage account access keys or connection string from the Azure portal:

  1. Azure Portal に移動します。Navigate to the Azure portal.

  2. 自分のストレージ アカウントを探します。Locate your storage account.

  3. ストレージ アカウントの概要の [設定] セクションで、 [アクセス キー] を選択します。In the Settings section of the storage account overview, select Access keys. アカウント アクセス キーと、各キーの完全な接続文字列が表示されます。Your account access keys appear, as well as the complete connection string for each key.

  4. [key1][キー] 値を見つけ、 [コピー] ボタンをクリックしてアカウント キーをコピーします。Find the Key value under key1, and click the Copy button to copy the account key.

  5. あるいは、接続文字列全体をコピーできます。Alternately, you can copy the entire connection string. [Key1][接続文字列] の値を見つけて [コピー] ボタンをクリックし、接続文字列をコピーします。Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Azure portal でアクセス キーを表示する方法を示したスクリーンショット

アクセス キーを再生成するRegenerate access keys

Microsoft では、ストレージ アカウントを保護する目的で、アクセス キーを定期的に再生成することをお勧めしています。Microsoft recommends that you regenerate your access keys periodically to help keep your storage account secure. キーをローテーションさせることができるように、2 つのアクセス キーが割り当てられます。Two access keys are assigned so that you can rotate your keys. キーをローテーションさせるとき、プロセス全体でアプリケーションの Azure Storage へのアクセスが確実に維持されるようにします。When you rotate your keys, you ensure that your application maintains access to Azure Storage throughout the process.

警告

アクセス キーの再生成は、ストレージ アカウント キーに依存するあらゆるアプリケーションまたは Azure サービスに影響を与える可能性があります。Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. メディア サービス、クラウド、モバイル アプリケーション、Azure Storage 向けのグラフィカル ユーザー インターフェイス アプリケーション (Azure Storage Explorer など) を含む、アクセス キーを使用してストレージ アカウントにアクセスするクライアントは新しいキーを使用するように更新する必要があります。Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

次のプロセスでストレージ アカウント キーをローテーションさせます。Follow this process to rotate your storage account keys:

  1. セカンダリ キーを使用するようにアプリケーション コードの接続文字列を更新します。Update the connection strings in your application code to use the secondary key.
  2. ストレージ アカウントのプライマリ アクセス キーを再生成します。Regenerate the primary access key for your storage account. Azure portal の [アクセス キー] ブレードで、 [Key1 の再生成] をクリックし、確認画面で [はい] をクリックして新しいキーを生成します。On the Access Keys blade in the Azure portal, click Regenerate Key1, and then click Yes to confirm that you want to generate a new key.
  3. 新しいプライマリ アクセス キーを参照するようにアプリケーション コードの接続文字列を更新します。Update the connection strings in your code to reference the new primary access key.
  4. 同様に、セカンダリ アクセス キーを再生成します。Regenerate the secondary access key in the same manner.

アカウント構成Account configuration

ストレージ アカウントの作成後、その構成を変更できます。After you create a storage account, you can modify its configuration. たとえば、データの複製方法を変更したり、アカウントのアクセス層をホットからクールに変更したりすることができます。For example, you can change how your data is replicated, or change the account's access tier from Hot to Cool. Azure portal でお使いのストレージ アカウントに移動し、 [設定][構成] を見つけてクリックすると、アカウント構成を表示したり変更したりできます。In the Azure portal, navigate to your storage account, then find and click Configuration under Settings to view and/or change the account configuration.

ストレージ アカウントの構成を変更すると、追加コストが発生する場合があります。Changing the storage account configuration may result in added costs. 詳細については、「Azure Storage 料金」を参照してください。For more details, see the Azure Storage Pricing page.

ストレージ アカウントを削除するDelete a storage account

使わなくなったストレージ アカウントを削除するには、 Azure ポータルでストレージ アカウントに移動し、 [削除] をクリックします。To remove a storage account that you are no longer using, navigate to the storage account in the Azure portal, and click Delete. ストレージ アカウントを削除すると、アカウント内のすべてのデータを含む、アカウント全体が削除されます。Deleting a storage account deletes the entire account, including all data in the account.

警告

削除したストレージ アカウントを復元することも、削除前にアカウントに含まれていたコンテンツを取得することもできません。It's not possible to restore a deleted storage account or retrieve any of the content that it contained before deletion. アカウントを削除する前に、保存する必要のあるデータを必ずバックアップしてください。Be sure to back up anything you want to save before you delete the account. これはアカウントのどのリソースにも当てはまります。BLOB、テーブル、キュー、またはファイルを削除すると、完全に削除されます。This also holds true for any resources in the account—once you delete a blob, table, queue, or file, it is permanently deleted.

Azure 仮想マシンに関連付けられているストレージ アカウントを削除しようとすると、まだ使用しているストレージ アカウントに関するエラー メッセージが表示されることがあります。If you try to delete a storage account associated with an Azure virtual machine, you may get an error about the storage account still being in use. このエラーのトラブルシューティングについては、ストレージ アカウントを削除する際のエラーのトラブルシューティングに関するページを参照してください。For help troubleshooting this error, please see Troubleshoot errors when you delete storage accounts.

次の手順Next steps