概要: BLOB データの匿名読み取りアクセスの修復
Azure Storage は、オプションでコンテナーと BLOB の匿名読み取りアクセスをサポートします。 既定では、データへの匿名アクセスは許可されません。 匿名アクセスを明示的に有効にしない限り、コンテナーとその BLOB へのすべての要求には承認が必要です。 すべてのストレージ アカウントに対して匿名アクセスを無効にすることをお勧めします。
この記事では、ストレージ アカウントの匿名アクセスを修復する方法の概要について説明します。
警告
匿名アクセスでは、セキュリティ リスクがもたらされます。 お客様のシナリオで特に匿名アクセスが必要な場合を除き、次のセクションで説明するアクションを実行して、すべてのストレージ アカウントの匿名アクセスを修復することをお勧めします。
匿名アクセスを修復するための推奨事項
匿名アクセスを修復するには、まず、ストレージ アカウントで Azure Resource Manager デプロイ モデルとクラシック デプロイ モデルのどちらを使用しているかを確認します。 詳細については、「Azure Resource Manager とクラシック デプロイ」に関する記事をご覧ください。
Azure Resource Manager アカウント
ストレージ アカウントで Azure Resource Manager デプロイ モデルを使用している場合は、アカウントの AllowBlobPublicAccess プロパティを False に設定することで、いつでもアカウントの匿名アクセスを修復できます。 AllowBlobPublicAccess プロパティを False に設定すると、個々のコンテナーの匿名アクセス設定に関係なく、そのストレージ アカウントに対する BLOB データのすべての要求に承認が必要になります。
ストレージ アカウントで Azure Resource Manager デプロイ モデルを使用している場合は、アカウントの AllowBlobAnonymousAccess プロパティを False に設定することで、いつでもアカウントの匿名アクセスを修復できます。 AllowBlobAnonymousAccess プロパティを False に設定すると、個々のコンテナーの匿名アクセス設定に関係なく、そのストレージ アカウントに対する BLOB データのすべての要求に承認が必要になります。
Azure Resource Manager アカウントの匿名アクセスを修復する方法の詳細については、「BLOB データへの匿名読み取りアクセスの修復 (Azure Resource Manager デプロイ)」を参照してください。
クラシック アカウント
ストレージ アカウントでクラシック デプロイ モデルを使用している場合は、各コンテナーのアクセス プロパティを Private に設定することで、匿名アクセスを修復できます。 クラシック ストレージ アカウントの匿名アクセスを修復する方法の詳細については、「BLOB データへの匿名読み取りアクセスの修復 (クラシック デプロイ)」を参照してください。
匿名アクセスを必要とするシナリオ
シナリオで特定のコンテナーを匿名アクセスに使用できるようにする必要がある場合は、それらのコンテナーとその BLOB を、匿名アクセス専用に予約されている個別のストレージ アカウントに移動する必要があります。 その後、「匿匿名アクセスを修復するための推奨事項」に記載されている推奨事項を使用して、他のストレージ アカウントの匿名アクセスを禁止できます。
匿名アクセス用にコンテナーを構成する方法については、「コンテナーと BLOB 用の匿名読み取りアクセスを構成する」を参照してください。