ストレージアカウントBlobのコンテナーへのアクセスについて

Question

ストレージアカウントBlobのコンテナーへのアクセスしたところ

「アクセス許可がありません」と表示されるようになりました。

つい先日まではコンテナーは表示できており、そこから設定変更など行っていないはずなのですが。。

確認すべきポイントなどあれば教えてください。

（追記）

ユーザーが属しているグループに「ストレージ BLOB データ共同作成者」のロール割り当てがされていることは確認しています。

Answer 1

こんにちは G716634ADM

質問ありがとうございます！

「ストレージBlobデータ寄与者」ロールは正確にどこに割り当てられていますか？

RBAC権限は継承されることにご注意ください。役割がサブスクリプションレベルで割り当てられている場合でも、リソースグループやストレージアカウントレベルでより制限の厳しい役割（または拒否の割り当て）が適用されると、上位レベルの権限が上書きされる可能性があります。

• Azureポータル内のストレージアカウント自体に移動します。 "アクセス制御（IAM）" にナビゲートします。 "役割の割り当て" タブをクリックします。ユーザーのグループを検索します。 この特定のストレージアカウントまたはその上のスコープ（例：リソースグループ、サブスクリプション）で、あなたのグループに "Storage Blob Data Contributor" 役割がリストされていることを確認してください。また、ストレージアカウント自体のあなたのグループ/ユーザーに対して "Reader" のような役割がないかも確認してください。これらの役割はデータプランアクションを制限する可能性があるため、データ役割によって補完されている必要があります。

あなたの特定のユーザーアカウントが「Storage Blob Data Contributor」役割を持つAzure ADグループの現在もアクティブなメンバーであることを絶対に確信していますか？

時々、ディレクトリの同期や管理者のアクションによって、グループのメンバーシップが予期せず変更されることがあります。

• Azure Active Directory (Microsoft Entra ID) に移動し、「グループ」を選択します。問題のグループを探します。「メンバー」リストを確認して、あなたのユーザーアカウントがまだ含まれていることを確認します。重要: ユーザーをグループに追加した後でも、権限が Azure の分散システム全体に完全に伝播するまでに数分（場合によっては 15〜30 分）かかることがあります。Azure ポータルからログアウトし、再度ログインしてみてください。

ストレージアカウントに階層名前空間が有効になっている場合（つまり、Azure Data Lake Storage Gen2 ワークロードに使用されている場合）、アクセス制御リスト（ACL）をコンテナやディレクトリに直接適用でき、RBAC ロールを上書きまたは制限することがあります。

• ストレージアカウントに移動し、"データストレージ" -> "コンテナ"を選択してください。影響を受けたコンテナをクリックします。コンテナのブレード内に"アクセス制御 (IAM)"タブがあるか探し、コンテナ自体に関連する"ACLの管理"または"アクセス制御"設定も確認してください。階層型名前空間がないBlobコンテナではあまり一般的ではありませんが、他のオプションが失敗した場合は確認する価値があります。

上記の回答が役に立つことを願っています！他に質問があればお知らせください。情報が役立った場合は「回答を承認」と「投票」を忘れずに行ってください。これが他のコミュニティメンバーにとっても有益です。