Azure Storage ファイアウォールおよび仮想ネットワークを構成するConfigure Azure Storage firewalls and virtual networks

Azure Storage では、多層型セキュリティ モデルが提供されています。Azure Storage provides a layered security model. このモデルでは、サポートされているネットワークの特定のセットに、ストレージ アカウントを固定することができます。This model enables you to secure your storage accounts to a specific set of supported networks. ネットワーク ルールを構成すると、指定したネットワークのセットを経由してデータを要求しているアプリケーションのみが、ストレージ アカウントにアクセスできます。When network rules are configured, only applications requesting data from over the specified set of networks can access a storage account.

ネットワーク ルールが有効なときにストレージ アカウントにアクセスするアプリケーションでは、要求に対する適切な認可が必要です。An application that accesses a storage account when network rules are in effect requires proper authorization on the request. 認可は、Azure Active Directory (AD) の資格情報 (BLOB とキューの場合) (プレビュー)、有効なアカウント アクセス キー、または SAS トークンでサポートされています。Authorization is supported with Azure Active Directory (AD) credentials (for blobs and queues) (preview), a valid account access key, or a SAS token.

重要

ストレージ アカウントのファイアウォール ルールを有効にすると、Azure 仮想ネットワーク (VNet) 内で動作しているサービスから送信された要求でない限り、データに対して受信した要求は既定でブロックされます。Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests come from a service that is operating within an Azure Virtual Network (VNet). ブロックされる要求には、他の Azure サービスからの要求、Azure portal からの要求、ログおよびメトリック サービスからの要求などが含まれます。Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

サービス インスタンスのサブネットを許可することで、VNet 内で動作する Azure サービスにアクセス権を付与できます。You can grant access to Azure services that operate from within a VNet by allowing the subnet of the service instance. 後のセクションで説明する例外メカニズムによって、限られた数のシナリオを有効にします。Enable a limited number of scenarios through the Exceptions mechanism described in the following section. Azure portal にアクセスするには、設定済みの信頼できる境界 (IP または VNet) 内のコンピューター上にいる必要があります。To access the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

注意

この記事は、新しい Azure PowerShell Az モジュールのコマンドを使用するように最近更新されました。This article has recently been updated to use commands from the new Azure PowerShell Az module. このモジュールは、Azure 用の新しい PowerShell モジュールであり、PowerShell バージョン 5.x および 6 と互換性があります。This module is the new PowerShell module for Azure, compatible with PowerShell versions 5.x and 6. AzureRM では重要なバグ修正の更新が継続されますが、新機能は Az モジュールだけに追加されます。AzureRM will continue to get critical bugfix updates, but new features will be in the Az module only.

シナリオScenarios

既定で (インターネット トラフィックを含む) すべてのネットワークからのトラフィックへのアクセスを拒否するようにストレージ アカウントを構成します。Configure storage accounts to deny access to traffic from all networks (including internet traffic) by default. その後、特定の VNet からのトラフィックへのアクセスを許可します。Then grant access to traffic from specific VNets. この構成では、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。This configuration enables you to build a secure network boundary for your applications. また、パブリック インターネットの IP アドレス範囲へのアクセスを許可して、インターネットやオンプレミスの特定のクライアントからの接続を有効にすることもできます。You can also grant access to public internet IP address ranges, enabling connections from specific internet or on-premises clients.

Azure Storage に対して、REST や SMB などのすべてのネットワーク プロトコルにネットワーク ルールが適用されます。Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Azure portal、Storage Explorer、AZCopy などのツールを使用してデータにアクセスするには、明示的なネットワーク ルールが必要です。To access the data with tools like Azure portal, Storage Explorer, and AZCopy, explicit network rules are required.

既存のストレージ アカウントに、または新しいストレージ アカウントを作成するときに、ネットワーク ルールを適用できます。You can apply network rules to existing storage accounts, or when you create new storage accounts.

適用したネットワーク ルールは、すべての要求に対して適用されます。Once network rules are applied, they're enforced for all requests. 特定の IP アドレスへのアクセスを許可する SAS トークンは、トークン所有者のアクセスを制限する働きをしますが、構成されているネットワーク ルールを超えて新しいアクセスを許可することはありません。SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

仮想マシン ディスクのトラフィック (マウントとマウント解除、およびディスク IO を含む) は、ネットワーク ルールによる影響を受けません。Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. ページ BLOB への REST アクセスはネットワーク ルールによって保護されています。REST access to page blobs is protected by network rules.

従来のストレージ アカウントでは、ファイアウォールと仮想ネットワークはサポートされていません。Classic storage accounts do not support firewalls and virtual networks.

ネットワーク ルールが適用されたストレージ アカウントでアンマネージド ディスクを使用し、例外を作成することにより、VM をバックアップおよび復元できます。You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. このプロセスについては、この記事の「例外」セクションをご覧ください。This process is documented in the Exceptions section of this article. ファイアウォールの例外は Azure によって既に管理されているので、マネージド ディスクには適用されません。Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

既定のネットワーク アクセス ルールの変更Change the default network access rule

既定では、ストレージ アカウントは、任意のネットワーク上のクライアントからの接続を受け入れます。By default, storage accounts accept connections from clients on any network. 選択したネットワークへのアクセスを制限するには、まず既定のアクションを変更する必要があります。To limit access to selected networks, you must first change the default action.

警告

ネットワーク ルールを変更すると、Azure Storage に接続するアプリケーションの機能に影響が及ぶことがあります。Making changes to network rules can impact your applications' ability to connect to Azure Storage. 既定のネットワーク ルールを拒否に設定すると、アクセスを許可する特定のネットワーク ルールも合わせて適用されていない限り、データへのアクセスがすべてブロックされます。Setting the default network rule to deny blocks all access to the data unless specific network rules to grant access are also applied. アクセスを拒否する既定のルールを変更する前に、ネットワーク ルールを使用して、許可されたネットワークへのアクセスを許可するようにしてください。Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

既定のネットワーク アクセス ルールを管理するManaging default network access rules

Azure portal、PowerShell、または CLIv2 を使用して、ストレージ アカウントに対する既定のネットワーク アクセス ルールを管理できます。You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントに移動します。Go to the storage account you want to secure.

  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.

  3. 既定でアクセスを拒否するには、[選択されたネットワーク] からのアクセスを許可するように選択します。To deny access by default, choose to allow access from Selected networks. すべてのネットワークからのトラフィックを許可するには、[すべてのネットワーク] からのアクセスを許可するように選択します。To allow traffic from all networks, choose to allow access from All networks.

  4. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. Azure PowerShell をインストールしてサインインします。Install the Azure PowerShell and sign in.

  2. ストレージ アカウントの既定のルールの状態を表示します。Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. 既定でネットワーク アクセスを拒否する既定のルールを設定します。Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. 既定でネットワーク アクセスを許可するする既定のルールを設定します。Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Azure CLI をインストールしてサインインします。Install the Azure CLI and sign in.

  2. ストレージ アカウントの既定のルールの状態を表示します。Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. 既定でネットワーク アクセスを拒否する既定のルールを設定します。Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. 既定でネットワーク アクセスを許可するする既定のルールを設定します。Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

仮想ネットワークからアクセスの許可Grant access from a virtual network

特定の VNet からのアクセスのみを許可するように、ストレージ アカウントを構成できます。You can configure storage accounts to allow access only from specific VNets.

VNet 内の Azure Storage に対するサービス エンドポイントを有効にします。Enable a Service endpoint for Azure Storage within the VNet. このエンドポイントでは、Azure Storage サービスへの最適なルートがトラフィックに提供されます。This endpoint gives traffic an optimal route to the Azure Storage service. 仮想ネットワークとサブネットの ID も、各要求と一緒に転送されます。The identities of the virtual network and the subnet are also transmitted with each request. 管理者は、その後、VNet 内の特定のサブネットからの要求の受信を許可するネットワーク ルールを、ストレージ アカウントに対して構成できます。Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in the VNet. これらのネットワーク ルールによってアクセスを許可されたクライアントがデータにアクセスするには、ストレージ アカウントの認可要件を引き続き満たす必要があります。Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

各ストレージ アカウントでは最大 100 個の仮想ネットワーク ルールがサポートされ、それを IP ネットワーク ルールと組み合わせることができます。Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

使用可能な仮想ネットワークのリージョンAvailable virtual network regions

一般に、サービス エンドポイントは、同じ Azure リージョン内の仮想ネットワークとサービス インスタンスの間で機能します。In general, service endpoints work between virtual networks and service instances in the same Azure region. サービス エンドポイントを Azure Storage と共に使用すると、この範囲はペアのリージョンを含むように拡張されます。When using service endpoints with Azure Storage, this scope grows to include the paired region. サービス エンドポイントにより、リージョンのフェールオーバー時の継続性と、読み取り専用の geo 冗長ストレージ (RA-GRS) インスタンスへのアクセスが実現されます。Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. 仮想ネットワークからストレージ アカウントへのアクセスを許可するネットワー ルールでは、任意の RA-GRS インスタンスへのアクセスも許可します。Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

リージョンが停止したときのディザスター リカバリーを計画するときは、ペアのリージョン内にあらかじめ VNet を作成しておく必要があります。When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. これらの代替仮想ネットワークからのアクセスを許可するネットワーク ルールで、Azure Storage 用のサービス エンドポイントを有効にします。Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. その後、これらのルールを geo 冗長ストレージ アカウントに適用します。Then apply these rules to your geo-redundant storage accounts.

注意

サービス エンドポイントは、仮想ネットワークのリージョンと指定されたリージョン ペアの外部のトラフィックには適用されません。Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. 仮想ネットワークからストレージ アカウントへのアクセスを許可するネットワーク ルールは、ストレージ アカウントのプライマリ リージョン内または指定したペアのリージョン内でのみ適用できます。You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

必要なアクセス許可Required permissions

ストレージ アカウントに仮想ネットワーク ルールを適用するには、追加されるサブネットに対する適切なアクセス許可を持っている必要があります。To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. 必要なアクセス許可は "サブネットにサービスを参加させる" であり、"ストレージ アカウント共同作成者" 組み込みロールに含まれます。The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. カスタム ロール定義に追加することもできます。It can also be added to custom role definitions.

ストレージ アカウントとアクセスが許可されている仮想ネットワークで、サブスクリプションが異なる可能性がありますが、これらのサブスクリプションは、同じ Azure AD テナントの一部である必要があります。Storage account and the virtual networks granted access may be in different subscriptions, but those subscriptions must be part of the same Azure AD tenant.

仮想ネットワーク ルールを管理するManaging virtual network rules

ストレージ アカウントの仮想ネットワーク ルールは、Azure portal、PowerShell、または CLIv2 で管理できます。You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントに移動します。Go to the storage account you want to secure.

  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.

  3. [選択されたネットワーク] からのアクセスを許可するように選択していることを確認します。Check that you've selected to allow access from Selected networks.

  4. 新しいネットワーク ルールで仮想ネットワークへのアクセスを許可するには、[仮想ネットワーク] で、[既存の仮想ネットワークを追加] をクリックし、[仮想ネットワーク][サブネット] オプションの順に選択して、[追加] をクリックします。To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. 新しい仮想ネットワークを作成してアクセスを許可するには、[新しい仮想ネットワークを追加] をクリックします。To create a new virtual network and grant it access, click Add new virtual network. 新しい仮想ネットワークの作成に必要な情報を指定して、[作成] をクリックします。Provide the information necessary to create the new virtual network, and then click Create.

    注意

    Azure Storage 用のサービス エンドポイントが、選択した仮想ネットワークとサブネットに対してまだ構成されていない場合は、この操作の中で構成することができます。If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

  5. 仮想ネットワークまたはサブネットのルールを削除するには、[...] をクリックして仮想ネットワークまたはサブネットのコンテキスト メニューを開き、[削除] をクリックします。To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. Azure PowerShell をインストールしてサインインします。Install the Azure PowerShell and sign in.

  2. 仮想ネットワーク ルールを一覧表示します。List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. 既存の仮想ネットワークとサブネットで、Azure Storage 用のサービス エンドポイントを有効にします。Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    
  5. 仮想ネットワークとサブネットのネットワーク ルールを削除します。Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

重要

拒否するように既定のルールを設定します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Azure CLI をインストールしてサインインします。Install the Azure CLI and sign in.

  2. 仮想ネットワーク ルールを一覧表示します。List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. 既存の仮想ネットワークとサブネットで、Azure Storage 用のサービス エンドポイントを有効にします。Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    
  5. 仮想ネットワークとサブネットのネットワーク ルールを削除します。Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

重要

拒否するように既定のルールを設定します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to deny, or network rules have no effect.

インターネットの IP 範囲からのアクセスを許可するGrant access from an internet IP range

パブリック インターネットの特定の IP アドレス範囲からのアクセスを許可するように、ストレージ アカウントを構成できます。You can configure storage accounts to allow access from specific public internet IP address ranges. この構成では、特定のインターネット ベースのサービスとオンプレミスのネットワークにアクセスを許可し、一般的なインターネット トラフィックをブロックします。This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

許可するインターネット アドレスの範囲は、CIDR 表記法を使って 16.17.18.0/24 の形式で、または 16.17.18.19 のように個々の IP アドレスとして、指定できます。Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

注意

「/31」や「/32」のプレフィックス サイズを使用した小さなアドレス範囲はサポートされていません。Small address ranges using "/31" or "/32" prefix sizes are not supported. これらの範囲は、個々の IP アドレス ルールを使用して構成する必要があります。These ranges should be configured using individual IP address rules.

IP ネットワーク ルールは、パブリック インターネットの IP アドレスに対してのみ許可されます。IP network rules are only allowed for public internet IP addresses. プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. プライベート ネットワークには、10.*172.16.* - 172.31.*192.168.* で始まるアドレスが含まれます。Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

注意

IP ネットワーク ルールは、ストレージ アカウントと同じ Azure リージョンから送信された要求には影響ありません。IP network rules have no effect on requests originating from the same Azure region as the storage account. 同じリージョンの要求を許可するには、仮想ネットワーク ルールを使用します。Use Virtual network rules to allow same-region requests.

現時点でサポートされているのは、IPv4 アドレスのみです。Only IPV4 addresses are supported at this time.

各ストレージ アカウントでは最大 100 個の IP ネットワーク ルールがサポートされ、それを仮想ネットワーク ルールと組み合わせることができます。Each storage account supports up to 100 IP network rules, which may be combined with Virtual network rules.

オンプレミスのネットワークからのアクセスの構成Configuring access from on-premises networks

IP ネットワーク ルールでオンプレミスのネットワークからストレージ アカウントへのアクセスを許可するには、ネットワークで使用するインターネット接続 IP アドレスを特定する必要があります。To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. サポートが必要な場合は、ネットワーク管理者にお問い合わせください。Contact your network administrator for help.

ExpressRoute を使用して、ネットワークを Azure ネットワークに接続できます。You can use ExpressRoute to connect your network to the Azure network. その場合、各回線には 2 つのパブリック IP アドレスが構成されます。Here, each circuit is configured with two public IP addresses. それらは、Microsoft Edge で見つかり、Azure パブリック ピアリング を使用して Azure Storage などの Microsoft サービスに接続できます。They can be found at the Microsoft Edge and use Azure Public Peering to connect to Microsoft Services like Azure Storage. Azure Storage との通信を許可するには、回線のパブリック IP アドレスに対する IP ネットワーク ルールを作成します。To allow communication with Azure Storage, create IP network rules for the public IP addresses of your circuits. ExpressRoute 回線のパブリック IP アドレスを確認するには、Azure portal から ExpressRoute のサポート チケットを開いてください。To find your ExpressRoute circuit's public IP addresses, open a support ticket with ExpressRoute via the Azure portal.

IP ネットワーク ルールの管理Managing IP network rules

ストレージ アカウントの IP ネットワーク ルールは、Azure portal、PowerShell、または CLIv2 で管理できます。You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントに移動します。Go to the storage account you want to secure.

  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.

  3. [選択されたネットワーク] からのアクセスを許可するように選択していることを確認します。Check that you've selected to allow access from Selected networks.

  4. インターネット IP 範囲へのアクセスを許可するには、[ファイアウォール] > [アドレス範囲] で IP アドレスまたはアドレス範囲 (CIDR 形式) を入力します。To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. IP ネットワーク ルールを削除するには、アドレス範囲の横にあるごみ箱のアイコンをクリックします。To remove an IP network rule, click the trash can icon next to the address range.

  6. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. Azure PowerShell をインストールしてサインインします。Install the Azure PowerShell and sign in.

  2. IP ネットワーク ルールを一覧表示します。List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. 個々 の IP アドレスに対するネットワーク ルールを追加します。Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. IP アドレス範囲に対するネットワーク ルールを追加します。Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. 個々 の IP アドレスに対するネットワーク ルールを削除します。Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. IP アドレス範囲に対するネットワーク ルールを削除します。Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

重要

拒否するように既定のルールを設定します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Azure CLI をインストールしてサインインします。Install the Azure CLI and sign in.

  2. IP ネットワーク ルールを一覧表示します。List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. 個々 の IP アドレスに対するネットワーク ルールを追加します。Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. IP アドレス範囲に対するネットワーク ルールを追加します。Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. 個々 の IP アドレスに対するネットワーク ルールを削除します。Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. IP アドレス範囲に対するネットワーク ルールを削除します。Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

重要

拒否するように既定のルールを設定します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to deny, or network rules have no effect.

例外Exceptions

ネットワーク ルールでは、ほとんどのシナリオに対してセキュリティ保護されたネットワーク構成を有効にできます。Network rules can enable a secure network configuration for most scenarios. ただし、場合によっては完全な機能を有効にするために例外を許可することが必要になります。However, there are some cases where exceptions must be granted to enable full functionality. ストレージ アカウントには、信頼できる Microsoft サービスに対する例外と、ストレージ分析データにアクセスするための例外を構成できます。You can configure storage accounts with exceptions for trusted Microsoft services, and for access to storage analytics data.

信頼できる Microsoft サービスTrusted Microsoft services

ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules.

この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。These services will then use strong authentication to access the storage account.

[信頼された Microsoft サービスによる ... を許可します] の例外を有効にすると、(サブスクリプションに登録されている場合は) 次のサービスにストレージ アカウントへのアクセスが許可されます。If you enable the Allow trusted Microsoft services... exception, the following services (when registered in your subscription), are granted access to the storage account:

ServiceService リソース プロバイダー名Resource Provider Name 目的Purpose
Azure BackupAzure Backup Microsoft.BackupMicrosoft.Backup IAAS 仮想マシンの管理対象外のディスクのバックアップとリストアを実行します。Run backups and restores of unmanaged disks in IAAS virtual machines. (マネージド ディスクの場合は必須ではありません)。(not required for managed disks). 詳細情報Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Azure IaaS 仮想マシンのレプリケーションを有効にすることで、ディザスター リカバリーを構成します。Configure disaster recovery by enabling replication for Azure IaaS virtual machines. これは、ファイアウォールが有効なキャッシュ ストレージ アカウントまたはソース ストレージ アカウントまたはターゲット ストレージ アカウントを使用している場合に必要です。This is required if you are using firewall enabled cache storage account or source storage account or target storage account. 詳細情報Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab カスタム イメージの作成とアーティファクトのインストールCustom image creation and artifact installation. 詳細情報Learn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Blob Storage のイベント発行を有効にし、ストレージ キューへの発行を Event Grid に許可します。Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Blob Storage イベントキューへの発行について確認してください。Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Event Hubs Capture を使用したアーカイブ データのキャプチャArchive data with Event Hubs Capture. 詳細情報Learn More.
Azure のネットワークAzure Networking Microsoft.NetworkingMicrosoft.Networking ネットワーク トラフィック ログの保存および分析Store and analyze network traffic logs. 詳細情報Learn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights セキュリティで保護されたストレージ アカウントに監視データを書き込めるようにします。詳細情報Allows writing of monitoring data to a secured storage account Learn more.
Azure SQL Data WarehouseAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql PolyBase を使用したインポートとエクスポートのシナリオを許可します。Allows import and export scenarios using PolyBase. 詳細情報Learn more.

ストレージ分析データ アクセスStorage analytics data access

場合によっては、ネットワーク境界の外側から診断ログとメトリックを読み取るためにアクセスする必要があります。In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. ネットワーク ルールに対する例外を許可して、ストレージ アカウントのログ ファイル、メトリック テーブル、またはその両方への読み取りアクセスを許可できます。You can grant exceptions to the network rules to allow read-access to storage account log files, metrics tables, or both. ストレージ分析の使用に関する説明Learn more about working with storage analytics.

例外の管理Managing exceptions

ネットワーク ルールの例外は、Azure portal、PowerShell、または Azure CLI v2 を通じて管理できます。You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントに移動します。Go to the storage account you want to secure.

  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.

  3. [選択されたネットワーク] からのアクセスを許可するように選択していることを確認します。Check that you've selected to allow access from Selected networks.

  4. [例外] で、許可する例外を選択します。Under Exceptions, select the exceptions you wish to grant.

  5. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. Azure PowerShell をインストールしてサインインします。Install the Azure PowerShell and sign in.

  2. ストレージ アカウントのネットワーク ルールの例外を表示します。Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. ストレージ アカウントのネットワーク ルールの例外を設定します。Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. ストレージ アカウントのネットワーク ルールの例外を削除します。Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、例外の削除は効力を発揮しません。Be sure to set the default rule to deny, or removing exceptions have no effect.

CLIv2CLIv2

  1. Azure CLI をインストールしてサインインします。Install the Azure CLI and sign in.

  2. ストレージ アカウントのネットワーク ルールの例外を表示します。Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. ストレージ アカウントのネットワーク ルールの例外を設定します。Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. ストレージ アカウントのネットワーク ルールの例外を削除します。Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、例外の削除は効力を発揮しません。Be sure to set the default rule to deny, or removing exceptions have no effect.

次の手順Next steps

サービス エンドポイントで Azure ネットワークのサービス エンドポイントについて確認してください。Learn more about Azure Network service endpoints in Service endpoints.

Azure Storage セキュリティ ガイドで Azure Storage のセキュリティを詳しく調べてください。Dig deeper into Azure Storage security in Azure Storage security guide.