Azure portal を使用して BLOB コンテナーを管理する
Azure Blob Storage には、大量の非構造化オブジェクト データを格納できます。 Blob Storage は、メディア、コンテンツ、またはアプリケーション データを収集したり、ユーザーに公開したりするために使用できます。 すべての BLOB データはコンテナー内に格納されるため、データのアップロードを開始する前に、ストレージ コンテナーを作成する必要があります。 Blob Storage の詳細については、「Azure Blob Storage の概要」をご覧ください。
このハウツー記事では、Azure portal でコンテナー オブジェクトを操作する方法について説明します。
前提条件
Azure Storage にアクセスするには、Azure サブスクリプションが必要です。 まだサブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure Storage へのアクセスはすべて、ストレージ アカウント経由で行われます。 このハウツー記事では、Azure portal、Azure PowerShell、または Azure CLI を使って、ストレージ アカウントを作成します。 ストレージ アカウントの作成については、「ストレージ アカウントを作成する」をご覧ください。
コンテナーを作成する
ファイル システムのディレクトリと同じように、コンテナーを使用して BLOB のセットを整理できます。 ストレージ アカウントに含めることができるコンテナーの数には制限がなく、1 つのコンテナーに格納できる BLOB の数にも制限はありません。
Azure portal でコンテナーを作るには、次の手順のようにします。
画面の左側にあるポータルのナビゲーション ウィンドウで [ストレージ アカウント] を選び、ストレージ アカウントを選びます。 ナビゲーション ウィンドウが表示されない場合は、メニュー ボタンを選んで表示を切り替えます。
ストレージ アカウントのナビゲーション ウィンドウで、[データ ストレージ] セクションまでスクロールして、[コンテナー] を選びます。
[コンテナー] ペインで [+ コンテナー] ボタンを選んで、[新しいコンテナー] ペインを開きます。
[新しいコンテナー] ペインで、新しいコンテナーの [名前] を指定します。 コンテナー名は小文字である必要があり、英文字または数字で始まる必要があり、英文字、数字、ダッシュ (-) 文字のみを含めることができます。 また、名前は 3 から 63 文字で指定する必要があります。 コンテナーと BLOB の名前の詳細については、「Naming and referencing containers, blobs, and metadata (コンテナー、BLOB、およびメタデータの名前付けと参照)」を参照してください。
コンテナ-の匿名アクセス レベルを設定します。 推奨されるレベルは、[プライベート (匿名アクセスなし)] です。 BLOB データへの匿名アクセスを防止する方法については、「概要: BLOB データの匿名読み取りアクセスの修復」を参照してください。
[作成] を選択して、コンテナーを作成します。
コンテナーのプロパティとメタデータを読み取る
コンテナーでは、システム プロパティとユーザー定義メタデータの両方が公開されます。 システム プロパティは、各 BLOB ストレージ リソース上に存在します。 プロパティによって、読み取り専用のものもあれば、読み取りと設定の両方が可能なものもあります。
ユーザー定義メタデータは、BLOB ストレージ リソースに対して指定された、1 つ以上の名前と値のペアで構成されます。 メタデータを使用すると、リソースに関する追加の値を格納できます。 メタデータ値は独自の目的にのみ使用され、リソースの動作には影響しません。
コンテナーのプロパティ
Azure portal でコンテナーのプロパティを表示するには、次の手順のようにします。
ストレージ アカウントでコンテナーの一覧に移動します。
プロパティを表示するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選び、[コンテナーのプロパティ] を選んでコンテナーの [プロパティ] ペインを表示します。
コンテナー メタデータの読み取りと書き込み
ストレージ アカウントに多数のオブジェクトがあるユーザーは、メタデータを使ってコンテナー内でデータを論理的に整理できます。
Azure portal でコンテナーのメタデータを管理するには、次の手順のようにします。
ストレージ アカウントでコンテナーの一覧に移動します。
メタデータを管理するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選び、[メタデータの編集] を選んで [コンテナー メタデータ] ペインを表示します。
[コンテナー メタデータ] ペインには、既存のメタデータのキーと値のペアが表示されます。 既存のキーまたは値を選んでデータを上書きすることで、既存のデータを編集できます。 提供された空のフィールドでデータを指定することにより、新しいメタデータを追加できます。 最後に、[保存] を選んでデータをコミットします。
コンテナーと BLOB のアクセスを管理する
コンテナーとその BLOB へのアクセスを適切に管理することは、データを安全に保つための鍵となります。 以下のセクションでは、アクセスの要件を満たす方法について説明します。
コンテナーの Azure RBAC ロールの割り当てを管理する
Microsoft Entra ID には、Blob Storage リソースに最適なセキュリティが用意されています。 Azure ロールベースのアクセス制御 (Azure RBAC) によって、特定のリソースに対してセキュリティ プリンシパルが持つアクセス許可が決まります。 コンテナーへのアクセスを許可するには、コンテナー スコープ以上の RBAC ロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てます。 ロールの割り当てに 1 つ以上の条件を追加することもできます。
ロールの割り当てについては、Azure portal を使用した Azure ロールの割り当てに関する記事をご覧ください。
共有アクセス署名 (SAS) を生成する
Shared Access Signature (SAS) は、通常はアクセス許可を持たないクライアントに対し、セキュリティで保護された一時的な委任アクセスを提供します。 SAS を使用することで、クライアントがデータにアクセスする方法をきめ細かく制御できます。 たとえば、クライアントがどのリソースにアクセスできるかを指定することもできます。 また、クライアントが実行できる操作の種類を制限し、有効期間を指定できます。
Azure では、3 種類の SAS がサポートされています。 サービス SAS は、1 つのストレージ サービス (BLOB、Queue、Table、または File サービスのいずれか) のリソースへのアクセスを提供します。 アカウント SAS はサービス SAS に似ていますが、複数のストレージ サービスのリソースへのアクセスを許可できます。 ユーザー委任 SAS は、Microsoft Entra 資格情報でセキュリティ保護された SAS であり、Blob Storage サービスでのみ使用できます。
SAS を作成するときに、アクセス許可レベル、IP アドレスまたは範囲、または開始日時と有効期限に基づいて、アクセス制限を設定できます。 詳しくは、「Shared Access Signatures (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する」をご覧ください。
注意
有効な SAS を所有するすべてのクライアントは、その SAS で許可されているストレージ アカウントのデータにアクセスできます。 SAS を悪意のある、または意図しない用途から保護することが重要です。 SAS の配布は慎重に行い、侵害された SAS を失効させるための計画を用意しておいてください。
Azure portal を使って SAS トークンを生成するには、次の手順のようにします。
Azure Portal でストレージ アカウント内のコンテナーの一覧に移動します。
SAS トークンを生成するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選び、[SAS の生成] を選んで [SAS の生成] ペインを表示します。
[SAS の生成] ペインで、[署名方法] フィールドの値として [アカウント キー] を選びます。
[署名方法] フィールドで、[アカウント キー] を選びます。 アカウント キーを選ぶと、サービス SAS が作成されます。
[署名キー] フィールドで、SAS の署名に使う目的のキーを選びます。
[保存されているアクセス ポリシー] フィールドで、[なし] を選びます。
[アクセス許可] フィールドを選んでから、目的のアクセス許可に対応するチェック ボックスをオンにします。
[開始日時と有効期限の日時] セクションの [開始] と [有効期限] で、目的の日付、時刻、タイム ゾーンの値を指定します。
必要に応じて、要求を受け入れる IP アドレスまたは IP アドレスの範囲を [使用できる IP アドレス] フィールドで指定します。 要求の IP アドレスが SAS トークンで指定された IP アドレスまたはアドレス範囲と一致しない場合は、承認されません。
必要に応じて、SAS で行われた要求に許可されるプロトコルを [許可されるプロトコル] フィールドで指定します。 既定値は HTTPS です。
設定が正しいことを確認してから、[SAS トークンおよび URL を生成] を選んで、[BLOB SAS トークン] と [BLOB SAS URL] のクエリ文字列を表示します。
BLOB SAS トークンと BLOB SAS URL の値をコピーして、安全な場所に貼り付けます。 これらは 1 回だけ表示され、ウィンドウが閉じた後では取得できません。
注意
ポータルから返される SAS トークンには、URL クエリ文字列に必要な区切り文字 ("?") が含まれていません。 SAS トークンをリソース URL に追加する場合は、SAS トークンを追加する前に、必ずリソース URL に区切り文字を追加してください。
保存されているアクセス ポリシーまたは不変性ポリシーを作成する
保存されているアクセス ポリシーを使うと、1 つ以上の Shared Access Signature をサーバー側でさらに制御できるようになります。 SAS を保存されているアクセス ポリシーに関連付けると、SAS はポリシーで定義されている制限を継承します。 これらの追加の制限により、署名の開始日時、有効期限、またはアクセス許可を変更できます。 発行された後で取り消すこともできます。
不変性ポリシーを使うことで、データが上書きされたり削除されたりするのを保護できます。 不変性ポリシーでは、オブジェクトの作成と読み取りは許可されますが、変更または削除は特定の期間について禁止されます。 Blob Storage では、2 種類の不変ポリシーがサポートされています。 時間ベースの保持ポリシーでは、定義された期間について、書き込みと削除の操作が禁止されます。 訴訟ホールドでも書き込みと削除の操作が禁止されますが、それらの操作を再開するには、明示的にクリアする必要があります。
保存されているアクセス ポリシーを作成する
保存されているアクセス ポリシーの構成は 2 ステップのプロセスです。最初にポリシーを定義してから、コンテナーに適用する必要があります。 保存されているアクセス ポリシーを構成するには、次の手順のようにします。
Azure Portal でストレージ アカウント内のコンテナーの一覧に移動します。
SAS トークンを生成するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選択し、[アクセス ポリシー] を選んで [アクセス ポリシー] ペインを表示します。
[アクセス ポリシー] ペインで、[保存されているアクセス ポリシー] セクションの [+ ポリシーの追加] を選択し、[ポリシーの追加] ペインを表示します。 既存のポリシーが、いずれかの適切なセクションに表示されます。
[ポリシーの追加] ペインで、[識別子] ボックスを選んで新しいポリシーの名前を追加します。
[アクセス許可] フィールドを選んでから、新しいポリシーのアクセス許可に対応するチェック ボックスをオンにします。
必要に応じて、[開始時刻] フィールドと [有効期限] フィールドで日付、時刻、タイム ゾーンの値を指定して、ポリシーの有効期間を設定します。
設定が正しいことを確認し、[OK] を選んで [アクセス ポリシー] ペインを更新します。
注意事項
ポリシーが [保存されているアクセス ポリシー] テーブルに表示されるようになりますが、コンテナーにはまだ適用されていません。 この時点で [アクセス ポリシー] ウィンドウから移動すると、ポリシーは保存または適用 "されず"、作業内容は失われます。
[アクセス ポリシー] ペインで、[+ ポリシーの追加] を選んで別のポリシーを定義するか、[保存] を選んで新しいポリシーをコンテナーに適用します。 保存されているアクセス ポリシーを少なくとも 1 つ作成すると、他の Shared Access Signature (SAS) をそれに関連付けることができます。
不変性ポリシーを作成する
コンテナーの不変性ポリシーを構成する方法の詳細を参照してください。 不変ポリシーの実装については、保持ポリシーの構成に関する記事または「訴訟ホールドを構成またはクリアする」に記載されている手順に従ってください。
リースを管理する
コンテナー リースは、削除操作のロックを確立または管理するために使われます。 Azure portal でリースを取得するとき、ロックは無限の期間でのみ作成できます。 プログラムで作成するときは、ロックの期間を 15 から 60 秒の範囲にするか、無期限にすることができます。
5 つの異なるリース操作モードがありますが、Azure portal で使用できるのは 2 つだけです。
| 使用事例 | ||
|---|---|---|
| 新しいリースを要求します。 | ✓ | |
| 既存のリースを更新します。 | ||
| 既存のリースの ID を変更します。 | ||
| 現在のリースを終了し、他のクライアントが新しいリースを取得できるようにします | ✓ | |
| 現在のリースを終了し、現在のリース期間中は他のクライアントが新しいリースを取得できないようにします |
リースを取得する
Azure portal を使ってリースを取得するには、次の手順のようにします。
Azure Portal でストレージ アカウント内のコンテナーの一覧に移動します。
リースを取得するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選び、[リースの取得] を選んで新しいリースを要求し、[リース ステータス] ペインに詳細を表示します。
新しく要求したリースの [コンテナー] と [リース ID] プロパティの値が、[リース ステータス] ペインに表示されます。 これらの値をコピーし、安全な場所に貼り付けます。 これらは 1 回だけ表示され、ペインが閉じた後では取得できません。
リースを中断する
Azure portal を使ってリースを解約するには、次の手順のようにします。
Azure Portal でストレージ アカウント内のコンテナーの一覧に移動します。
リースを解約するコンテナーの名前の横にあるチェック ボックスをオンにします。
コンテナーの [その他] ボタン ([...]) を選び、[リースの解約] を選んでリースを解約します。
リースを解約すると、選んだコンテナーの [リース ステータス] の値が更新され、状態の確認が表示されます。
コンテナーを削除する
Azure portal でコンテナーを削除すると、コンテナー内の BLOB もすべて削除されます。
警告
次の手順のようにすると、コンテナーとその中のすべての BLOB が完全に削除される可能性があります。 誤ってコンテナーや BLOB を削除しないように、コンテナーの論理的な削除を有効にすることをお勧めします。 詳細については、「コンテナーの論理的な削除」を参照してください。
Azure portal でコンテナーを削除するには、次の手順のようにします。
Azure Portal でストレージ アカウント内のコンテナーの一覧に移動します。
削除するコンテナーを選択します。
[詳細] ボタン ( [...] ) を選択し、 [削除] を選択します。
[コンテナーの削除] ダイアログで、コンテナーを削除することを確認します。
場合によっては、削除されたコンテナーを取得することもできます。 論理的な削除のデータ保護オプションがストレージ アカウントで有効になっている場合は、関連付けられた保持期間中に削除されたコンテナーにアクセスできます。 論理的な削除の詳細については、「コンテナーの論理的な削除」の記事を参照してください。
論理的に削除されたコンテナーを表示する
論理的な削除が有効になっている場合は、論理的に削除されたコンテナーを Azure portal で表示できます。 論理的に削除されたコンテナーは、指定した保持期間中は表示されます。 保持期間が経過すると、論理的に削除されたコンテナーは完全に削除され、表示されなくなります。
論理的に削除されたコンテナーを Azure portal で表示するには、次の手順のようにします。
Azure portal でストレージ アカウントに移動し、コンテナーの一覧を表示します。
削除されたコンテナーを一覧に含めるには、[Show deleted containers] (削除されたコンテナーを表示) を切り替えます。
論理的に削除されたコンテナーを復元する
保持期間中は、論理的に削除されたコンテナーとその内容を復元できます。 Azure portal で論理的に削除されたコンテナーを復元するには、次の手順のようにします。
Azure portal でストレージ アカウントに移動し、コンテナーの一覧を表示します。
復元するコンテナーのコンテキスト メニューを表示し、メニューから [削除の取り消し] を選択します。
