Azure Key Vault マネージド ストレージ アカウント キー (レガシ) について
重要
Azure Storage と Microsoft Entra ID の統合 (Microsoft のクラウドベースの ID およびアクセス管理サービス) を使用することをお勧めします。 Microsoft Entra 統合は Azure BLOB およびキューで利用できます。また、Azure Key Vault と同様に、Azure Storage へのトークンベースの OAuth2 アクセスが提供されます。 Microsoft Entra ID では、ストレージ アカウントの資格情報ではなく、アプリケーションまたはユーザーの ID を使用してクライアント アプリケーションを認証することができます。 Azure で実行するときは、Microsoft Entra マネージド ID を使用できます。 マネージド ID を使用すると、クライアント認証やアプリケーションでの資格情報の保存が不要になります。 Microsoft Entra 認証が不可能な場合にのみ、以下のソリューションを使ってください。
Azure ストレージ アカウントでは、アカウント名とキーで構成された資格情報が使用されます。 キーは自動生成され、暗号キーではなくパスワードとして機能します。 Key Vault では、ストレージ アカウントでストレージ アカウント キーを定期的に再生成することでそれらのキーの管理が行われることに加え、ストレージ アカウント内のリソースへの委任アクセス用の Shared Access Signature トークンが提供されます。
Key Vault マネージド ストレージ アカウント キー機能を使用して、Azure ストレージ アカウントのキーを一覧表示し (同期)、定期的にキーを再生成 (ローテーション) できます。 ストレージ アカウントと従来のストレージ アカウントの両方のキーを管理できます。
Azure ストレージ アカウント キーの管理
Key Vault では、Azure ストレージ アカウント キーを管理できます。
- Key Vault の内部では、Azure ストレージ アカウントを使用してキーの一覧表示 (同期) ができます。
- Key Vault は定期的にキーを再生成 (ローテーション) します。
- キーの値は、呼び出し元に応答で返されることはありません。
- Key Vault では、ストレージ アカウントと従来のストレージ アカウントの両方のキーが管理されます。
詳細については、次を参照してください。
ストレージ アカウントのアクセス制御
ユーザーまたはアプリケーション プリンシパルがマネージド ストレージ アカウントに対する操作を実行するのを承認するときは、次のアクセス許可を使用できます。
マネージド ストレージ アカウントと SaS 定義の操作に対するアクセス許可
- get:ストレージ アカウントに関する情報を取得します
- list:キー コンテナーによって管理されているストレージ アカウントを一覧表示します
- update:ストレージ アカウントを更新します
- delete:ストレージ アカウントを削除する
- recover:削除されたストレージ アカウントを復旧します
- backup:ストレージ アカウントをバックアップします
- restore:バックアップしたストレージ アカウントをキー コンテナーに復元します
- set:ストレージ アカウントを作成または更新します
- regeneratekey:ストレージ アカウントの指定されたキー値を再生成します
- getsas:ストレージ アカウントの SAS 定義に関する情報を取得します
- listsas:ストレージ アカウントのストレージ SAS 定義を一覧表示します
- deletesas:ストレージ アカウントから SAS 定義を削除します
- setsas:ストレージ アカウントの新しい SAS 定義/属性を作成または更新します
特権操作に対するアクセス許可
- purge:マネージド ストレージ アカウントをパージ (完全に削除) します
詳しくは、Key Vault REST API リファレンス内のストレージ アカウントの操作に関するページをご覧ください。 アクセス許可の設定については、「Vaults - Create or Update」(コンテナー - 作成または更新) および「Vaults - Update Access Policy」(コンテナー -アクセス ポリシーの更新) をご覧ください。