Azure Storage ファイアウォールおよび仮想ネットワークを構成するConfigure Azure Storage Firewalls and Virtual Networks

Azure Storage は多層型セキュリティ モデルを提供しているため、許可されたネットワークの特定のセットに対するストレージ アカウントをセキュリティで保護することができます。Azure Storage provides a layered security model allowing you to secure your storage accounts to a specific set of allowed networks. ネットワーク ルールが構成されている場合、ストレージ アカウントにアクセスできるのは、許可されているネットワークからのアプリケーションのみです。When network rules are configured, only applications from allowed networks can access a storage account. 許可されているネットワークからの呼び出し時に、アプリケーションはストレージ アカウントにアクセスするための適切な承認 (有効なアクセス キーまたは SAS トークン) を要求します。When calling from an allowed network, applications continue to require proper authorization (a valid access key or SAS token) to access the storage account.

重要

ストレージ アカウントのファイアウォール ルールをオンにすると、他の Azure サービスを含む、データの受信要求へのアクセスがブロックされます。Turning on Firewall rules for your Storage account will block access to incoming requests for data, including from other Azure services. これにはポータルの使用やログの書き込みなども含まれます。参加サービスに対しては、以下の「例外」セクションに従って、機能を再度有効にできます。This includes using the Portal, writing logs, etc. For participating services you can re-enable functionality through the Exceptions section below. ポータルにアクセスするには、設定済みの信頼できる境界 (IP または VNet) 内のコンピューターからアクセスする必要があります。To access the Portal you would need to do so from a machine within the trusted boundary (either IP or VNet) that you have set up.

シナリオScenarios

既定では、ストレージ アカウントを、(インターネット トラフィックを含む) すべてのネットワークからトラフィックへのアクセスを拒否するように構成できます。Storage accounts can be configured to deny access to traffic from all networks (including internet traffic) by default. 特定の Azure 仮想ネットワークからのトラフィックにアクセスを許可できるため、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。Access can be granted to traffic from specific Azure Virtual networks, allowing you to build a secure network boundary for your applications. また、パブリック インターネットの IP アドレスの範囲にもアクセスを許可できるため、インターネットやオンプレミスの特定のクライアントからの接続を実現できます。Access can also be granted to public internet IP address ranges, enabling connections from specific internet or on-premises clients.

Azure Storage に対して、REST や SMB などのすべてのネットワーク プロトコルにネットワーク ルールが適用されます。Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Azure Portal、Storage Explorer、AZCopy などのツールからデータにアクセスするには、ネットワーク ルールが施行されているときにアクセスを許可する明示的なネットワーク ルールが必要です。Access to your data from tools like the Azure portal, Storage Explorer, and AZCopy require explicit network rules granting access when network rules are in force.

ネットワーク ルールは、既存のストレージ アカウントに適用できます。または、新しいストレージ アカウントの作成中に適用できます。Network rules can be applied to existing Storage accounts, or can be applied during the creation of new Storage accounts.

ネットワーク ルールが適用されると、そのルールはすべての要求に対して適用されます。Once network rules are applied, they are enforced for all requests. 特定の IP アドレス サービスへのアクセスを許可する SAS トークンは、トークン所有者のアクセスを制限する働きをしますが、構成されているネットワーク ルール以上の新しいアクセスを許可しないでください。SAS tokens that grant access to a specific IP Address service serve to limit the access of the token holder, but do not grant new access beyond configured network rules.

仮想マシン ディスクのトラフィック (マウントとマウント解除、およびディスク IO を含む) はネットワーク ルールによって影響を受けませんVirtual Machine Disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. ページ BLOB への REST アクセスはネットワーク ルールによって保護されています。REST access to page blobs is protected by network rules.

従来のストレージ アカウントは、ファイアウォールおよび仮想ネットワークをサポートしていませんClassic Storage accounts do not support Firewalls and Virtual Networks.

ネットワーク ルールが適用されたストレージ アカウントで非管理対象ディスクを使用した仮想マシンのバックアップと復元は、この記事の「例外」セクションに記載されている例外を作成することでサポートされます。Backup and Restore of Virtual Machines using unmanaged disks in storage accounts with network rules applied is supported via creating an exception as documented in the Exceptions section of this article. ファイアウォールの例外は Azure によって既に管理されているので、Managed Disks には適用されません。Firewall exceptions are not applicable with Managed Disks as they are already managed by Azure.

既定のネットワーク アクセス ルールの変更Change the default network access rule

既定では、ストレージ アカウントは、任意のネットワーク上のクライアントからの接続を受け入れます。By default, storage accounts accept connections from clients on any network. 選択したネットワークへのアクセスを制限するには、まず既定のアクションを変更する必要があります。To limit access to selected networks, you must first change the default action.

警告

ネットワーク ルールを変更すると、Azure Storage に接続するアプリケーションの機能に影響が及ぶことがあります。Making changes to network rules can impact your applications' ability to connect to Azure Storage. 既定のネットワーク ルールを拒否に設定すると、アクセスを許可する特定のネットワーク ルールも合わせて適用されていない限り、データへのアクセスがすべてブロックされます。Setting the default network rule to deny blocks all access to the data unless specific network rules granting access are also applied. アクセスを拒否する既定のルールを変更する前に、ネットワーク ルールを使用して、許可されたネットワークへのアクセスを許可するようにしてください。Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントを表示します。Navigate to the storage account you want to secure.

  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.

  3. 既定でアクセスを拒否するには、"選択したネットワーク" からのアクセスを許可するように選択します。To deny access by default, choose to allow access from 'Selected networks'. すべてのネットワークからのトラフィックを許可するには、"すべてのネットワーク" からのアクセスを許可するように選択します。To allow traffic from all networks, choose to allow access from 'All networks'.
  4. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. 最新の Azure PowerShell をインストールしてログインします。Install the latest Azure PowerShell and Login.

  2. ストレージ アカウントの既定のルールの状態を表示します。Display the status of the default rule for the storage account.

    (Get-AzureRmStorageAccountNetworkRuleSet  -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. 既定でネットワーク アクセスを拒否する既定のルールを設定します。Set the default rule to deny network access by default.

    Update-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. 既定でネットワーク アクセスを許可するする既定のルールを設定します。Set the default rule to allow network access by default.

    Update-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Azure CLI 2.0 をインストールしてログインします。Install Azure CLI 2.0 and Login.
  2. ストレージ アカウントの既定のルールの状態を表示します。Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. 既定でネットワーク アクセスを拒否する既定のルールを設定します。Set the default rule to deny network access by default.

    az storage account update --name "mystorageaccount" --resource-group "myresourcegroup" --default-action Deny
    
  4. 既定でネットワーク アクセスを許可するする既定のルールを設定します。Set the default rule to allow network access by default.

    az storage account update --name "mystorageaccount" --resource-group "myresourcegroup" --default-action Allow
    

仮想ネットワークからアクセスの許可Grant access from a virtual network

特定の Azure 仮想ネットワークからのみアクセスを許可するようにストレージ アカウントを構成できます。Storage accounts can be configured to allow access only from specific Azure Virtual Networks.

仮想ネットワーク内で Azure Storage のサービス エンドポイントを有効にすると、トラフィックでは Azure Storage サービスへの最適なルートが確保されます。By enabling a Service Endpoint for Azure Storage within the Virtual Network, traffic is ensured an optimal route to the Azure Storage service. 仮想ネットワークとサブネットの ID も、各要求と一緒に転送されます。The identities of the virtual network and the subnet are also transmitted with each request. 管理者は、仮想ネットワーク内の特定のサブネットから受信する要求を許可するストレージ アカウントのネットワーク ルールを後で構成できます。Administrators can subsequently configure network rules for the Storage account that allow requests to be received from specific subnets in the Virtual Network. これらのネットワーク ルールによってアクセスを許可されたクライアントがデータにアクセスするには、ストレージ アカウントの承認要件を満たす必要があります。Clients granted access via these network rules must continue to meet the authorization requirements of the Storage account to access the data.

各ストレージ アカウントは、IP ネットワーク ルールと合わせて最大 100 個の仮想ネットワーク ルールをサポートできます。Each storage account can support up to 100 Virtual Network rules which may be combined with IP network rules.

使用可能な仮想ネットワークのリージョンAvailable Virtual Network regions

一般に、サービス エンドポイントは、同じ Azure リージョンの仮想ネットワークとサービス インスタンス間で機能します。In general, Service Endpoints work between Virtual Networks and service instances in the same Azure region. サービス エンドポイントが Azure Storage で使用されている場合、このスコープはペアのリージョンを含めるように拡張されます。When Service Endpoints are used with Azure Storage, this scope is expanded to include the paired region. これにより、リージョンのフェールオーバー時の継続性とともに、読み取り専用の geo 冗長ストレージ (RA-GRS) インスタンスへのシームレスなアクセスを実現します。This allows continuity during a regional failover as well as seamless access to read-only geo-redundant storage (RA-GRS) instances. 仮想ネットワークからストレージ アカウントへのアクセスを許可するネットワー ルールでは、任意の RA-GRS インスタンスへのアクセスも許可します。Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

リージョンの障害時にディザスター リカバリーを計画する場合、ペアのリージョンに仮想ネットワークを事前にプロビジョニングしておく必要があります。When planning for disaster recovery during a regional outage, you should provision the Virtual Networks in the paired region in advance. Azure Storage のサービス エンドポイントを有効にして、geo 冗長ストレージ アカウントに対して、これらの代替の仮想ネットワークからのアクセスを許可するネットワーク ルールを適用する必要があります。Service Endpoints for Azure Storage should be enabled, and network rules granting access from these alternative Virtual Networks should be applied to your geo-redundant storage accounts.

注意

サービス エンドポイントは、仮想ネットワークのリージョンと指定されたリージョンのペア以外のトラフィックには適用されません。Service Endpoints do not apply to traffic outside the region of the Virtual Network and the designated region pair. 仮想ネットワークからストレージ アカウントへのアクセスを許可するネットワーク ルールは、ストレージ アカウントのプライマリ リージョンまたは指定されたペアのリージョン内の仮想ネットワークにのみ適用できます。Network rules granting access from Virtual Networks to Storage accounts can only be applied for Virtual Networks in the primary region of a Storage account or in the designated paired region.

必要なアクセス許可Required permissions

ストレージ アカウントに仮想ネットワーク ルールを適用するには、追加するサブネットに対してサブネットにサービスを参加させることのできるユーザー権限が必要です。In order to apply a Virtual Network rule to a Storage account, the user must have permission to Join Service to a Subnet for the subnets being added. この権限は、ストレージ アカウントの共同作業者組み込みロールに含まれており、カスタム ロールの定義に追加できます。This permission is included in the Storage Account Contributor built-in role and can be added to custom role definitions.

ストレージ アカウントとアクセスが許可されている仮想ネットワークで、サブスクリプションが異なる可能性がありますが、これらのサブスクリプションは、同じ Azure Active Directory テナントの一部である必要があります。Storage account and the Virtual Networks granted access may be in different subscriptions, but those subscriptions must be part of the same Azure Active Directory tenant.

仮想ネットワーク ルールの管理Managing Virtual Network rules

ストレージ アカウント用の仮想ネットワーク ルールは、Azure Portal、PowerShell、または CLIv2 を通じて管理できます。Virtual Network rules for storage accounts can be managed through the Azure portal, PowerShell, or CLIv2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントを表示します。Navigate to the storage account you want to secure.
  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.
  3. "選択したネットワーク" からのアクセスを許可するように選択していることを確認します。Ensure that you have elected to allow access from 'Selected networks'.
  4. 新しいネットワーク ルールで仮想ネットワークへのアクセスを許可するには、[仮想ネットワーク] で、[既存を追加] をクリックして既存の仮想ネットワークとサブネットを選択し、[追加] をクリックします。To grant access to a Virtual network with a new network rule, under "Virtual networks", click "Add existing" to select an existing Virtual network and subnets, then click Add. 新しい仮想ネットワークを作成してアクセスを許可するには、[新規追加] をクリックして、新しい仮想ネットワークを作成するために必要な情報を入力し、[作成] をクリックします。To create a new Virtual network and grant it access, click Add new, provide the information necessary to create the new Virtual network, and then click Create.

注意

Azure Storage のサービス エンドポイントが、選択した仮想ネットワークとサブネットに対してまだ構成されていない場合は、この操作の中で構成することができます。If a Service Endpoint for Azure Storage has not been previously configured for the selected Virtual network and subnets, it can be configured as part of this operation.

  1. 仮想ネットワークまたはサブネットのルールを削除するには、[...] をクリックして仮想ネットワークまたはサブネットのコンテキスト メニューを開き、[削除] をクリックします。To remove a Virtual network or subnet rule, click "..." to open the context menu for the Virtual network or the subnet, and click "Remove".
  2. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. 最新の Azure PowerShell をインストールしてログインします。Install the latest Azure PowerShell and Login.
  2. 仮想ネットワーク ルールを一覧表示します。List Virtual Network rules

    (Get-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. 既存の仮想ネットワークとサブネット上の Azure Storage のサービス エンドポイントを有効にします。Enable Service Endpoint for Azure Storage on an existing Virtual Network and Subnet

    Get-AzureRmVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzureRmVirtualNetworkSubnetConfig -Name "mysubnet"  -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzureRmVirtualNetwork
    
  4. 仮想ネットワークとサブネットのネットワーク ルールを追加します。Add a network rule for a Virtual Network and subnet.

    $subnet = Get-AzureRmVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzureRmVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzureRmStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id   
    
  5. 仮想ネットワークとサブネットのネットワーク ルールを削除します。Remove a network rule for a Virtual Network and subnet.

    $subnet = Get-AzureRmVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzureRmVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzureRmStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id   
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to Deny, or network rules will have no effect.

CLIv2CLIv2

  1. Azure CLI 2.0 をインストールしてログインします。Install Azure CLI 2.0 and Login.
  2. 仮想ネットワーク ルールを一覧表示します。List Virtual Network rules

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. 既存の仮想ネットワークとサブネット上の Azure Storage のサービス エンドポイントを有効にします。Enable Service Endpoint for Azure Storage on an existing Virtual Network and Subnet

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. 仮想ネットワークとサブネットのネットワーク ルールを追加します。Add a network rule for a Virtual Network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    
  5. 仮想ネットワークとサブネットのネットワーク ルールを削除します。Remove a network rule for a Virtual Network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to Deny, or network rules will have no effect.

インターネットの IP 範囲からのアクセスを許可するGrant access from an internet IP range

ストレージ アカウントは、特定のパブリック インターネットの IP アドレス範囲からアクセスを許可するように構成できます。Storage accounts can be configured to allow access from specific public internet IP address ranges. この構成により、特定のインターネット ベースのサービスとオンプレミスのネットワークにアクセスを許可しながら、一般的なインターネット トラフィックはブロックできます。This configuration enables specific internet-based services and on-premises networks to be granted access while general internet traffic is blocked.

許可するインターネットのアドレス範囲は、CIDR 表記法16.17.18.0/24などの形式、あるいは16.17.18.19といった個々の IP アドレスを使用して指定できます。Allowed internet address ranges can be provided using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19 .

注意

「/31」や「/32」のプレフィックス サイズを使用した小さなアドレス範囲はサポートされていません。Small address ranges using "/31" or "/32" prefix sizes are not supported. これらの範囲は、個々の IP アドレス ルールを使用して構成する必要があります。These ranges should be configured using individual IP address rules.

IP ネットワーク ルールは、パブリック インターネットの IP アドレスに対してのみ許可されます。IP network rules are only allowed for public internet IP addresses. プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。IP address ranges reserved for private networks (as defined in RFC 1918) are not allowed in IP rules. プライベート ネットワークには、*10.*172.16.**、および *192.168.** で始まるアドレスが含まれます。Private networks include addresses that start with *10.**, *172.16.**, and *192.168.**.

現時点でサポートされているのは、IPv4 アドレスのみです。Only IPV4 addresses are supported at this time.

各ストレージ アカウントは、仮想ネットワーク ルールと合わせて最大 100 個の IP ネットワーク ルールをサポートできます。Each storage account can support up to 100 IP network rules which may be combined with Virtual Network rules

オンプレミスのネットワークからのアクセスの構成Configuring access from on-premises networks

IP ネットワーク ルールでオンプレミスのネットワークからストレージ アカウントへのアクセスを許可するには、ネットワークで使用するインターネット接続 IP アドレスを特定する必要があります。In order to grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. サポートが必要な場合は、ネットワーク管理者にお問い合わせください。Contact your network administrator for help.

ネットワークが ExpressRoute を使用して Azure ネットワークに接続されている場合、各回線は、Azure パブリック ピアリングを使用して Azure Storage などの Microsoft サービスへ接続するために使用している 2 つのパブリック IP アドレスを使って Microsoft Edge で構成されます。If your network is connected to the Azure network using ExpressRoute, each circuit is configured with two public IP addresses at the Microsoft Edge that are used to connect to Microsoft Services like Azure Storage using Azure Public Peering. 回線から Azure Storage への通信を許可するには、回線のパブリック IP アドレスに対する IP ネットワーク ルールを作成する必要があります。To allow communication from your circuit to Azure Storage, you must create IP network rules for the public IP addresses of your circuits. ExpressRoute 回線のパブリック IP アドレスを確認するには、Azure Portal から ExpressRoute のサポート チケットを開いてください。In order to find your ExpressRoute circuit's public IP addresses, open a support ticket with ExpressRoute via the Azure portal.

IP ネットワーク ルールの管理Managing IP network rules

ストレージ アカウント用の IP ネットワーク ルールは、Azure Portal、PowerShell、または CLIv2 を通じて管理できます。IP network rules for storage accounts can be managed through the Azure portal, PowerShell, or CLIv2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントを表示します。Navigate to the storage account you want to secure.
  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.
  3. "選択したネットワーク" からのアクセスを許可するように選択していることを確認します。Ensure that you have elected to allow access from 'Selected networks'.
  4. インターネット IP 範囲へのアクセスを許可するには、[ファイアウォール] の [アドレス範囲] に IP アドレスまたはアドレス範囲 (CIDR 形式) を入力します。To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall, Address Ranges.
  5. IP ネットワーク ルールを削除するには、[...] をクリックしてルールのコンテキスト メニューを開き、[削除] をクリックします。To remove an IP network rule, click "..." to open the context menu for the rule, and click "Remove".
  6. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. 最新の Azure PowerShell をインストールしてログインします。Install the latest Azure PowerShell and Login.
  2. IP ネットワーク ルールを一覧表示します。List IP network rules.

    (Get-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. 個々 の IP アドレスに対するネットワーク ルールを追加します。Add a network rule for an individual IP address.

    Add-AzureRMStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19" 
    
  4. IP アドレス範囲に対するネットワーク ルールを追加します。Add a network rule for an IP address range.

    Add-AzureRMStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24" 
    
  5. 個々 の IP アドレスに対するネットワーク ルールを削除します。Remove a network rule for an individual IP address.

    Remove-AzureRMStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"  
    
  6. IP アドレス範囲に対するネットワーク ルールを削除します。Remove a network rule for an IP address range.

    Remove-AzureRMStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"  
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to Deny, or network rules will have no effect.

CLIv2CLIv2

  1. Azure CLI 2.0 をインストールしてログインします。Install Azure CLI 2.0 and Login.
  2. IP ネットワーク ルールを一覧表示します。List IP network rules

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. 個々 の IP アドレスに対するネットワーク ルールを追加します。Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. IP アドレス範囲に対するネットワーク ルールを追加します。Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. 個々 の IP アドレスに対するネットワーク ルールを削除します。Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. IP アドレス範囲に対するネットワーク ルールを削除します。Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、ネットワーク ルールは効力を発揮しません。Be sure to set the default rule to Deny, or network rules will have no effect.

例外Exceptions

ネットワーク ルールでは、ほとんどのシナリオに対応する安全なネットワーク構成を実現できますが、場合によっては、完全な機能を有効にするために例外を許可する必要があります。While network rules can enable a secure network configuration for most scenarios, there are some cases where exceptions must be granted to enable full functionality. ストレージ アカウントは、信頼できる Microsoft サービスに対する例外と、ストレージ分析データにアクセスするための例外で構成できます。Storage accounts can be configured with exceptions for Trusted Microsoft services, and for access to Storage analytics data.

信頼できる Microsoft サービスTrusted Microsoft Services

ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。Some Microsoft services that interact with Storage accounts operate from networks that cannot be granted access through network rules.

この種類のサービスを意図したとおりに動作させるために、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスできるように許可することができます。To allow this type of service to work as intended, you can permit the set of trusted Microsoft services to bypass the network rules. そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。These services will then use strong authentication to access the Storage account.

「信頼できる Microsoft サービス」の例外を有効にすると、(サブスクリプションに登録されている場合は) 次のサービスにストレージ アカウントへのアクセスが許可されます。When the "Trusted Microsoft Services" exception is enabled, the following services (when registered in your subscription) are granted access to the Storage account:

ServiceService リソース プロバイダー名Resource Provider Name 目的Purpose
Azure BackupAzure Backup Microsoft.BackupMicrosoft.Backup IAAS 仮想マシンの管理対象外のディスクのバックアップとリストアを実行します Perform backups and restores of unmanaged disks in IAAS virtual machines. (マネージド ディスクの場合は必須ではありません)。(not required for managed disks). 詳細情報Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab カスタム イメージの作成とアーティファクトのインストールCustom image creation and artifact installation. 詳細情報Learn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Blob Storage イベントの発行を有効にするEnable Blob Storage event publishing. 詳細情報Learn more.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Event Hubs Capture を使用したアーカイブ データのキャプチャArchive data with Event Hubs Capture. 詳細情報Learn More.
Azure のネットワークAzure Networking Microsoft.NetworkingMicrosoft.Networking ネットワーク トラフィック ログの保存および分析Store and analyze network traffic logs. 詳細情報Learn more.

ストレージ分析データ アクセスStorage analytics data access

場合によっては、ネットワーク境界の外側から診断ログとメトリックを読み取るためにアクセスする必要があります。In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. ネットワーク ルールの例外では、ストレージ アカウントのログ ファイル、メトリック テーブル、またはその両方への読み取りアクセスを許可できます。Exceptions to the network rules can be granted to allow read-access to Storage account log files, metrics tables, or both. ストレージ分析の使用に関する説明Learn more about working with storage analytics.

例外の管理Managing exceptions

ネットワーク ルールの例外は、Azure Portal、PowerShell、または Azure CLI v2 を通じて管理できます。Network rule exceptions can be managed through the Azure portal, PowerShell, or Azure CLI v2.

Azure ポータルAzure portal

  1. セキュリティで保護するストレージ アカウントを表示します。Navigate to the storage account you want to secure.
  2. [Firewalls and virtual networks] (ファイアウォールおよび仮想ネットワーク) という設定メニューをクリックします。Click on the settings menu called Firewalls and virtual networks.
  3. "選択したネットワーク" からのアクセスを許可するように選択していることを確認します。Ensure that you have elected to allow access from 'Selected networks'.
  4. [例外] で、許可する例外を選択します。Under Exceptions, select the exceptions you wish to grant.
  5. [保存] をクリックして変更を保存します。Click Save to apply your changes.

PowerShellPowerShell

  1. 最新の Azure PowerShell をインストールしてログインします。Install the latest Azure PowerShell and Login.
  2. ストレージ アカウントのネットワーク ルールの例外を表示します。Display the exceptions for the storage account network rules.

    (Get-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. ストレージ アカウントのネットワーク ルールの例外を設定します。Configure the exceptions to the storage account network rules.

    Update-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount"  -Bypass AzureServices,Metrics,Logging
    
  4. ストレージ アカウントのネットワーク ルールの例外を削除します。Remove the exceptions to the storage account network rules.

    Update-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount"  -Bypass None
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、例外の削除は効力を発揮しません。Be sure to set the default rule to Deny, or removing exceptions will have no effect.

CLIv2CLIv2

  1. Azure CLI 2.0 をインストールしてログインします。Install Azure CLI 2.0 and Login.
  2. ストレージ アカウントのネットワーク ルールの例外を表示します。Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. ストレージ アカウントのネットワーク ルールの例外を設定します。Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. ストレージ アカウントのネットワーク ルールの例外を削除します。Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

重要

拒否するように既定のルールを設定していることを確認します。そうしないと、例外の削除は効力を発揮しません。Be sure to set the default rule to Deny, or removing exceptions will have no effect.

次の手順Next steps

サービス エンドポイントで Azure ネットワークのサービス エンドポイントについて確認してください。Learn more about Azure Network Service Endpoints in Service Endpoints.

Azure Storage セキュリティ ガイドで Azure Storage のセキュリティを詳しく調べてください。Dig deeper into Azure Storage security in Azure Storage Security Guide.