次の方法で共有

Azure portal で BLOB データへのアクセスの承認方法を選択する

  • [アーティクル]

Azure portal を使用して BLOB データにアクセスするときに、ポータルでは内部的に Azure Storage への要求が発行されます。 Azure Storage への要求は、Microsoft Entra アカウントまたはストレージ アカウント アクセス キーのいずれかを使用して承認できます。 ポータルでは、どの方法を使用しているかを示し、適切なアクセス許可がある場合は、それら 2 つを切り替えることができます。

また、Azure portal で個々の BLOB アップロード操作を承認する方法を指定することもできます。 既定では、ポータルは、利用者が BLOB アップロード操作の承認に既に使用している方法を使用しますが、この設定は BLOB をアップロードする際に変更することもできます。

BLOB データにアクセスするために必要なアクセス許可

Azure portal でどのような方法で BLOB データへのアクセスを承認したいかに応じて、必要となるアクセス許可が異なります。 ほとんどの場合、これらのアクセス許可は Azure ロールベースのアクセス制御 (Azure RBAC) を使用して提供されます。 Azure RBAC の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。

アカウント アクセス キーを使用する

アカウント アクセス キーを使用して BLOB データにアクセスするには、Azure RBAC アクション Microsoft.Storage/storageAccounts/listkeys/action を含む Azure ロールが割り当てられている必要があります。 この Azure ロールは、組み込みロールでもカスタム ロールでも構いません。 Microsoft.Storage/storageAccounts/listkeys/action をサポートする組み込みロールには、権限が最小のものから最大のものの順に、次のものが含まれます。

Azure portal で BLOB データにアクセスしようとすると、ポータルではまず Microsoft.Storage/storageAccounts/listkeys/action を含むロールがお客様に割り当てられているかどうかが確認されます。 このアクションを持つロールが割り当てられている場合、ポータルでは BLOB データにアクセスするためにアカウント キーが使用されます。 このアクションを持つロールが割り当てられていない場合、ポータルは Microsoft Entra アカウントを使ってデータへのアクセスを試みます。

重要

ストレージ アカウントが Azure Resource Manager の ReadOnly ロックでロックされている場合、そのストレージ アカウントに対してキーの一覧表示操作は許可されません。 キーの一覧表示は POST 操作であり、アカウントに対して ReadOnly ロックが構成されている場合、すべての POST 操作が禁止されます。 このため、アカウントが ReadOnly ロックでロックされている場合、ユーザーは Microsoft Entra 資格情報を使用してポータル内の BLOB データにアクセスする必要があります。 Microsoft Entra ID を使用したポータル内の BLOB データへのアクセスの詳細については、「Microsoft Entra アカウントを使用する」を参照してください。

Note

従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールには、Microsoft.Storage/storageAccounts/listkeys/action を含むすべてのアクションが含まれているので、これらの管理者ロールのいずれかを持つユーザーは、アカウント キーを持つ BLOB データにもアクセスできます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。

Microsoft Entra アカウントを使用する

Microsoft Entra アカウントを使用して、Azure portal から BLOB データにアクセスするには、次のステートメントが両方とも自分に当てはまる必要があります。

  • BLOB データへのアクセスを提供する組み込みロールまたはカスタム ロールが割り当てられている。
  • Azure Resource Manager の閲覧者ロールが、少なくとも、ストレージ アカウント以上のレベルをスコープとして割り当てられている。 リーダー役割は最も制限の厳しいアクセス許可を付与しますが、ストレージ アカウントの管理リソースへのアクセス権を付与する別の Azure Resource Manager ロールも受け入れることができます。

Azure Resource Manager 閲覧者ロールを持つユーザーは、ストレージ アカウントのリソースを見ることはできますが、変更することはできません。 これは Azure Storage 内のデータに読み取りアクセス許可を提供しませんが、アカウント管理リソースに対してのみです。 ユーザーが Azure portal 内の BLOB コンテナーに移動できるようにするには、閲覧者ロールが必要です。

BLOB データへのアクセスをサポートする組み込みロールの詳細については、「Microsoft Entra ID を使用して BLOB へのアクセスを認可する」をご覧ください。

カスタム ロールは、組み込みロールによって提供される同じアクセス許可のさまざまな組み合わせをサポートできます。 Azure カスタム ロールを作成する方法の詳細については、「Azure のカスタム ロール」と「Azure リソースのロール定義の概要」を参照してください。

ポータルで BLOB データを表示するには、ストレージ アカウントの [概要] に移動し、[BLOB] のリンクを選択します。 または、メニューの [コンテナー] セクションに移動することもできます。

Azure portal で BLOB データに移動する方法を示すスクリーンショット

現在の認証方法の判別

コンテナーに移動すると、Azure portal によって、自分が認証のためにアカウント アクセス キーと Microsoft Entra アカウントのどちらを現在使用しているかが示されます。

アカウント アクセス キーを使用して認証を行う

アカウント アクセス キーを使用して認証を行っている場合、以下のように、ポータルには認証方法としてアクセス キーが指定されていることが表示されます。

アカウント キーを使用して現在コンテナーにアクセスしているユーザーを示すスクリーンショット

Microsoft Entra アカウントの使用に切り替えるには、図内で強調表示されているリンクを選択します。 割り当てられている Azure ロールを通じて適切なアクセス許可が付与されている場合は、続行できます。 しかし、適切なアクセス許可を持っていない場合は、次のようなエラー メッセージが表示されます。

Microsoft Entra アカウントがアクセスをサポートしていない場合に表示されるエラー

BLOB は Microsoft Entra アカウントにそれらを表示するアクセス許可がない場合には表示されないことに注意してください。 認証に再度アクセス キーを使用するには、[アクセス キーへの切り替え] リンクを選択します。

Microsoft Entra アカウントで認証する

Microsoft Entra アカウントを使用して認証を行っている場合は、以下のように、ポータルには認証方法として Microsoft Entra ユーザー アカウントが指定されていることが表示されます。

現在、Microsoft Entra アカウントを使用してコンテナーにアクセスしているユーザーを示すスクリーンショット

アカウント アクセス キーの使用に切り替えるには、図内で強調表示されているリンクを選択します。 アカウント キーへのアクセス権がある場合は、続行できます。 しかし、アカウント キーへのアクセス権がない場合は、次のようなエラー メッセージが表示されます。

アカウント キーへのアクセスがない場合に表示されるエラー

アカウント キーへのアクセス権がない場合は、リスト内に BLOB が表示されないことに注意してください。 認証に再度 Microsoft Entra アカウントを使用するには、[Microsoft Entra ユーザー アカウントへの切り替え] リンクを選択します。

BLOB アップロード操作を承認する方法を指定する

ユーザーは、Azure portal から BLOB をアップロードするときに、その操作の認証と認可を、アカウント アクセス キーまたは Microsoft Entra の資格情報のどちらで行うかを指定できます。 既定では、「現在の認証方法の判別」で示されているように、現在の認証方法がポータルによって使用されます。

BLOB アップロード操作を承認する方法を指定するには、次の手順のようにします。

  1. Azure portal で、BLOB をアップロードするコンテナーに移動します。

  2. [アップロード] ボタンを選択します。

  3. [詳細] セクションを展開して、BLOB の詳細プロパティを表示します。

  4. 次の図に示すように、[認証の種類] フィールドで、Microsoft Entra アカウントとアカウント アクセス キーのどちらを使用してアップロード操作を認可するかを指定します。

    BLOB アップロードでの承認方法を変更する方法を示すスクリーンショット

Azure portal でMicrosoft Entra の認可を規定にする

新しいストレージ アカウントを作成する際には、ユーザーが BLOB データに移動したときの Azure portal の既定値が Microsoft Entra ID による認可となるように指定することができます。 既存のストレージ アカウントに対してこの設定を構成することもできます。 この設定では既定の認可方法のみを指定します。そのため、ユーザーはこの設定をオーバーライドし、アカウント キーを使用してデータ アクセスを認可できることに注意してください。

ストレージ アカウントを作成する際に、ポータルがデータ アクセスに対して既定で Microsoft Entra 認可を使用するように指定するには、以下の手順に従います。

  1. ストレージ アカウントの作成」の手順に従い、新しいストレージ アカウントを作成します。

  2. [詳細設定] タブの [セキュリティ] セクションで、[Azure portal の Microsoft Entra 認可に既定で設定する] の横にあるチェック ボックスをオンにします。

    Azure portal で新しいアカウントに対する Microsoft Entra による既定の認可を構成する方法を示すスクリーンショット

  3. [確認と作成] ボタンを選択して検証を実行し、アカウントを作成します。

既存のストレージ アカウントのこの設定を更新するには、次の手順に従います。

  1. Azure portal でアカウントの概要に移動します。

  2. [設定] の下で [構成] を選択します。

  3. [Azure portal の Microsoft Entra 認可に既定で設定する][有効] に設定します。

    Azure portal で既存のアカウントに対する Microsoft Entra による既定の認可を構成する方法を示すスクリーンショット

ストレージ アカウントの defaultToOAuthAuthentication プロパティは既定では未設定であり、それを明示的に設定しない限りは値を返しません。

次のステップ