Azure Storage に対する要求を承認する

Blob、File、Queue、または Table service 内のセキュリティで保護されたリソースに対して行われたすべての要求は、承認されている必要があります。 承認により、ストレージアカウント内のリソースは、必要な場合にのみアクセスできるようになり、アクセス権を付与するユーザーまたはアプリケーションのみにアクセスできるようになります。

次の表は、リソースへのアクセスを承認するために Azure Storage に用意されているオプションをまとめたものです。

Azure の成果物 共有キー (ストレージ アカウント キー) Shared Access Signature (SAS) Azure Active Directory (Azure AD) オンプレミス Active Directory Domain Services 匿名のパブリック読み取りアクセス
Azure BLOB サポートされています サポートされています サポートされています サポートされていません サポートされています
Azure Files (SMB) サポートされています サポートされていません AAD ドメイン サービスでのみサポートされています サポートされています。資格情報を Azure AD と同期する必要があります サポートされていません
Azure Files (REST) サポートされています サポートされています サポートされていません サポートされていません サポートされていません
Azure キュー サポートされています サポートされています サポートされています サポートされていません サポートされていません
Azure テーブル サポートされています サポートされています サポートされています サポートされていません サポートされていません

ここでは、各認証オプションについて簡単に説明します。

  • Azure Active Directory (Azure AD): Azure ADは、Microsoft のクラウドベースの id およびアクセス管理サービスです。 Azure AD 統合は、Blob、Queue、Table の各サービスで使用できます。 Azure AD では、ロールベースのアクセス制御 (RBAC) を使用して、ユーザー、グループ、またはアプリケーションへのきめ細かいアクセスを割り当てることができます。 Azure Storage との Azure AD 統合の詳細については、「 Azure Active Directory での承認」を参照してください。

  • Azure Files の ドメインサービス (Azure AD DS) 承認を Azure Active Directory します。 Azure Files では、Azure AD DS を介したサーバー メッセージ ブロック (SMB) の ID ベースの承認がサポートされています。 RBAC を使用して、ストレージ アカウント内の Azure Files リソースへのクライアントのアクセスを細かく制御できます。 ドメインサービスを使用した Azure Files 認証の詳細については、「 Azure Files id ベースの承認」を参照してください。

  • Azure Files の Active Directory (AD) 承認。 Azure Files では、AD を使用した SMB を介した ID ベースの承認がサポートされています。 AD ドメイン サービスは、オンプレミスのコンピューターまたは Azure VM でホストできます。 Files には、オンプレミスまたは Azure で、ドメインに参加しているコンピューターから AD 資格情報を利用することで SMB アクセスできます。 ディレクトリおよびファイルレベルのアクセス許可を適用するために、RBAC を共有レベルのアクセス制御と NTFS Dacl に使用できます。 ドメインサービスを使用した Azure Files 認証の詳細については、「 Azure Files id ベースの承認」を参照してください。

  • 共有キー: 共有キーの承認では、アカウントアクセスキーとその他のパラメーターを使用して、 認証 ヘッダーで要求で渡される暗号化された署名文字列を生成します。 共有キー認証の詳細については、「authorization With Shared key」を参照してください。

  • 共有アクセス署名: Shared access signature (SAS) は、指定されたアクセス許可と指定された期間にわたって、アカウント内の特定のリソースへのアクセスを委任します。 SAS の詳細については、「 shared access signature を使用したアクセスの委任」を参照してください。

  • コンテナーと blob への匿名アクセス: 必要に応じて、コンテナーまたは blob レベルで blob リソースをパブリックにすることもできます。 パブリックコンテナーまたは blob は、匿名読み取りアクセスに対して任意のユーザーがアクセスできます。 パブリックコンテナーと blob に対する読み取り要求では、承認は必要ありません。 詳細については、「 Azure Blob ストレージ内のコンテナーと blob のパブリック読み取りアクセスを有効にする」を参照してください。

ヒント

Azure AD を使用して blob、キュー、およびテーブルデータへのアクセスを認証および承認することにより、セキュリティが強化され、他の承認オプションよりも使いやすくなります。 たとえば、Azure AD を使用すると、共有キー認証の場合と同様に、アカウントアクセスキーをコードに保存する必要がなくなります。 Blob アプリケーションとキューアプリケーションでは引き続き共有キー認証を使用できますが、可能な限り Azure AD に移行することをお勧めします。

同様に、Shared Access Signature (SAS) を使ってストレージ アカウント内のリソースに対するきめ細かいアクセスの許可を続けることはできますが、Azure AD は、SAS トークンを管理したり侵害された SAS の取り消しを心配したりする必要なしに、同様の機能を提供します。

Azure Storage での Azure AD 統合の詳細については、「 Azure Active Directory を使用した Azure blob およびキューへのアクセスの承認」を参照してください。