Azure portal で BLOB データへのアクセスの承認方法を選択する

  • [アーティクル]

Azure portal を使用して BLOB データにアクセスするときに、ポータルでは内部的に Azure Storage への要求が発行されます。 Azure Storage への要求は、Microsoft Entra アカウントまたはストレージ アカウント アクセス キーのいずれかを使用して承認できます。 ポータルでは、どの方法を使用しているかを示し、適切なアクセス許可がある場合は、それら 2 つを切り替えることができます。

また、Azure portal で個々の BLOB アップロード操作を承認する方法を指定することもできます。 既定では、ユーザーが BLOB アップロード操作を承認するために既に使用している任意の方法がポータルによって使用されますが、BLOB をアップロードするときにこの設定を変更できます。

BLOB データにアクセスするために必要なアクセス許可

Azure portal で BLOB データへのアクセスを承認する方法に応じて、特定のアクセス許可が必要になります。 ほとんどの場合、これらのアクセス許可は Azure ロールベースのアクセス制御 (Azure RBAC) を使用して提供されます。 Azure RBAC の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。

アカウント アクセス キーを使用する

アカウント アクセス キーを使用して BLOB データにアクセスするには、Azure RBAC アクション Microsoft.Storage/storageAccounts/listkeys/action を含む Azure ロールが割り当てられている必要があります。 この Azure ロールは、組み込みロールまたはカスタム ロールのどちらでも構いません。 Microsoft.Storage/storageAccounts/listkeys/action をサポートする組み込みロールには、権限が最小のものから最大のものの順に、次のものが含まれます。

Azure portal で BLOB データにアクセスしようとすると、ポータルではまず Microsoft.Storage/storageAccounts/listkeys/action を含むロールがお客様に割り当てられているかどうかが確認されます。 このアクションを持つロールが割り当てられている場合、ポータルでは BLOB データにアクセスするためにアカウント キーが使用されます。 このアクションを持つロールが割り当てられていない場合、Azure portal は Microsoft Entra アカウントを使ってデータへのアクセスを試みます。

重要

ストレージ アカウントが Azure Resource Manager の ReadOnly ロックでロックされている場合、そのストレージ アカウントに対してキーの一覧表示操作は許可されません。 キーの一覧表示は POST 操作であり、アカウントに対して ReadOnly ロックが構成されている場合、すべての POST 操作が禁止されます。 このため、アカウントが ReadOnly ロックでロックされている場合、ユーザーは Microsoft Entra 資格情報を使用してポータル内の BLOB データにアクセスする必要があります。 Microsoft Entra ID を使用したポータル内の BLOB データへのアクセスの詳細については、「Microsoft Entra アカウントを使用する」を参照してください。

Note

従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールには、Microsoft.Storage/storageAccounts/listkeys/action を含むすべてのアクションが含まれているので、これらの管理者ロールのいずれかを持つユーザーは、アカウント キーを持つ BLOB データにもアクセスできます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。

Microsoft Entra アカウントを使用する

Microsoft Entra アカウントを使用して、Azure portal から BLOB データにアクセスするには、次のステートメントが両方とも自分に当てはまる必要があります。

  • BLOB データへのアクセスを提供する組み込みロールまたはカスタム ロールのいずれかが割り当てられている。
  • Azure Resource Manager のリーダーロールが、少なくとも、ストレージ アカウント以上のレベルを範囲として割り当てられている。 リーダー役割は最も制限の厳しいアクセス許可を付与しますが、ストレージ アカウントの管理リソースへのアクセス権を付与する別の Azure Resource Manager ロールも受け入れることができます。

Azure Resource Manager 閲覧者ロールを持つユーザーは、ストレージ アカウントのリソースを見ることはできますが、変更することはできません。 これは Azure Storage 内のデータに読み取りアクセス許可を提供しませんが、アカウント管理リソースに対してのみです。 ユーザーが Azure portal 内の BLOB コンテナーに移動できるようにするには、閲覧者ロールが必要です。

BLOB データへのアクセスをサポートする組み込みロールの詳細については、「Microsoft Entra ID を使用して BLOB へのアクセスを認可する」をご覧ください。

カスタム ロールは、組み込みロールによって提供される同じアクセス許可のさまざまな組み合わせをサポートできます。 Azure カスタム ロールを作成する方法の詳細については、「Azure のカスタム ロール」と「Azure リソースのロール定義の概要」を参照してください。

ポータルで BLOB データを表示するには、ストレージ アカウントの [概要] に移動し、 [BLOB] のリンクをクリックします。 または、メニューの [コンテナー] セクションに移動することもできます。

Screenshot showing how to navigate to blob data in the Azure portal

現在の認証方法の判別

コンテナーに移動すると、認証のためにアカウント アクセス キーまたは Microsoft Entra アカウントのどちらを現在使用しているかが Azure portal に示されます。

アカウント アクセス キーを使用して認証を行う

アカウント アクセス キーを使用して認証を行う場合、ポータルには認証方法としてアクセス キーが指定されていることが次のように示されます。

Screenshot showing user currently accessing containers with the account key

Microsoft Entra アカウントの使用に切り替えるには、図内で強調表示されているリンクをクリックします。 割り当てられている Azure ロールを通じて適切なアクセス許可が付与されている場合は、続行できます。 ただし、適切なアクセス許可を持っていない場合は、次のようなエラー メッセージが表示されます。

Error shown if Microsoft Entra account does not support access

BLOB は Microsoft Entra アカウントにそれらを表示するアクセス許可がない場合には表示されないことに注意してください。 認証に再度アクセス キーを使用するには、 [Switch to access key](アクセス キーへの切り替え) リンクをクリックします。

Microsoft Entra アカウントで認証する

Microsoft Entra アカウントを使用して認証を行う場合は、ポータルに認証方法として Microsoft Entra ユーザー アカウントが指定されていることが次のように示されます。

Screenshot showing user currently accessing containers with Microsoft Entra account

アカウント アクセス キーの使用に切り替えるには、図内で強調表示されているリンクをクリックします。 アカウント キーへのアクセスがある場合は、続行できます。 ただし、アカウント キーへのアクセスがない場合は、次のようなエラー メッセージが表示されます。

Error shown if you do not have access to account key

アカウント キーへのアクセスがない場合は、BLOB は一覧表示されないことに注意してください。 認証に再度 Microsoft Entra アカウントを使用するには、[Switch to Microsoft Entra user Account]\(Microsoft Entra ユーザー アカウントに切り替える\) リンクをクリックします。

BLOB アップロード操作を承認する方法を指定する

ユーザーは、Azure portal から BLOB をアップロードするときに、その操作の認証と認可を、アカウント アクセス キーまたは Microsoft Entra の資格情報のどちらで行うかを指定できます。 既定では、「現在の認証方法の判別」で示されているように、現在の認証方法がポータルによって使用されます。

BLOB アップロード操作を承認する方法を指定するには、次の手順のようにします。

  1. Azure portal で、BLOB をアップロードするコンテナーに移動します。

  2. [アップロード] ボタンを選択します。

  3. [詳細] セクションを展開して、BLOB の詳細プロパティを表示します。

  4. 次の図に示すように、[認証の種類] フィールドで、Microsoft Entra アカウントとアカウント アクセス キーのどちらを使用してアップロード操作を認可するかを指定します。

    Screenshot showing how to change authorization method on blob upload

Azure portal での既定の Microsoft Entra 承認

新しいストレージ アカウントを作成する場合、ユーザーが BLOB データに移動するときに Azure portal が Microsoft Entra ID による認可に既定で設定されるように指定することができます。 既存のストレージ アカウントに対してこの設定を構成することもできます。 この設定では既定の認可方法のみを指定します。そのため、ユーザーはこの設定をオーバーライドし、アカウント キーを使用してデータ アクセスを認可できることに注意してください。

ストレージ アカウントを作成するときに、ポータルでデータ アクセス用に既定で Microsoft Entra 認可を使用するように指定するには、次の手順に従います。

  1. ストレージ アカウントの作成」の手順に従い、新しいストレージ アカウントを作成します。

  2. [詳細設定] タブの [セキュリティ] セクションで、[Azure portal の Microsoft Entra 認可に既定で設定する] の横にあるチェック ボックスをオンにします。

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. [確認と作成] ボタンを選択して検証を実行し、アカウントを作成します。

既存のストレージ アカウントのこの設定を更新するには、次の手順に従います。

  1. Azure portal でアカウントの概要に移動します。

  2. [設定] の下で [構成] を選択します。

  3. [Azure portal の Microsoft Entra 認可に既定で設定する][有効] に設定します。

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

ストレージ アカウントの defaultToOAuthAuthentication プロパティは既定では未設定で、明示的に設定されるまで値を返しません。

次のステップ