Azure Blob Storage と .NET の作業を始める

• .NET
• Java
• JavaScript
• TypeScript
• Python

この記事では、.NET 用 Azure Blob Storage クライアント ライブラリを使用して、Azure Blob Storage に接続する方法について説明します。 接続されると、コードは、Blob Storage サービスのコンテナー、BLOB、機能を使って動作できます。

API リファレンス | ライブラリ ソース コード | PAKケージ (NuGet) | サンプル | フィードバックを送る

前提条件

• Azure サブスクリプション - 無料アカウントを作成する

• Azure Storage アカウント - ストレージ アカウントの作成

• 使用するオペレーティング システム用の最新の .NET SDK。 ランタイムではなく、必ず SDK を入手してください。

プロジェクトの設定

このセクションでは、.NET 用 Azure Blob Storage クライアント ライブラリを操作するためのプロジェクトの準備について説明します。

プロジェクト ディレクトリから、dotnet add package コマンドを使用して、Azure Blob Storage と Azure ID のクライアント ライブラリのパッケージをインストールします。 Azure サービスへのパスワードレス接続には、Azure.Identity パッケージが必要です。

dotnet add package Azure.Storage.Blobs
dotnet add package Azure.Identity

次の using ステートメントをコード ファイルの先頭に追加します。

using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using Azure.Storage.Blobs.Specialized;

BLOB クライアント ライブラリ情報:

• Azure.Storage.Blobs: サービス、コンテナー、BLOB を操作するために使用できるプライマリ クラス ("クライアント オブジェクト") が含まれています。

• Azure.Storage.Blobs.Specialized: BLOB の種類 (ブロック BLOB など) に固有の操作を実行するために使用できるクラスが含まれています。

• Azure.Storage.Blobs.Models: 他のすべてのユーティリティ クラス、構造体、列挙型。

Blob Storage へのアクセスを承認して接続する

アプリケーションを Blob Storage に接続するには、BlobServiceClient クラスのインスタンスを作成します。 このオブジェクトは、ストレージ アカウント レベルでデータ リソースを操作するための開始点となります。 それを使って、ストレージ アカウントとそのコンテナーを操作できます。 また、操作する必要があるリソースに応じて、サービス クライアントを使用してコンテナー クライアントまたは BLOB クライアントを作成することもできます。

クライアント オブジェクトの作成と管理の詳細については、「データ リソースを操作するクライアント オブジェクトを作成および管理する」を参照してください。

Microsoft Entra 認可トークン、アカウント アクセス キー、または Shared Access Signature (SAS) を使用して、BlobServiceClient オブジェクトを認可できます。

これらの各承認メカニズムについて詳しくは、「Azure Storage 内のデータへのアクセスを承認する」をご覧ください。

Microsoft Entra ID

Microsoft Entra ID を使用して認可するには、セキュリティ プリンシパルを使用する必要があります。 必要なセキュリティ プリンシパルの種類は、アプリケーションの実行場所によって異なります。 次の表を参考にしてください。

アプリケーションの実行場所	セキュリティ プリンシパル	ガイダンス
ローカル コンピューター (開発とテスト)	サービス プリンシパル	アプリの登録、Microsoft Entra グループの設定、ロールの割り当て、環境変数の構成の方法を確認するには、開発者サービス プリンシパルを使用してアクセスを認可する方法に関する記事を参照してください
ローカル コンピューター (開発とテスト)	ユーザー ID	Microsoft Entra グループを設定し、ロールを割り当て、Azure にサインインする方法については、開発者資格情報を使用してアクセスを認可する方法に関する記事を参照してください
Azure でホスト	マネージド ID	マネージド ID を有効にしてロールを割り当てる方法については、マネージド ID を使用して Azure でホストされるアプリからのアクセスを承認する方法に関する記事を参照してください
Azure の外部でホストされる (オンプレミス アプリなど)	サービス プリンシパル	アプリを登録し、ロールを割り当て、環境変数を構成する方法については、アプリケーション サービス プリンシパルを使用してオンプレミス アプリからのアクセスを承認する方法に関する記事を参照してください

DefaultAzureCredential を使用してアクセスを承認する

Blob Storage へのアクセスを承認して接続する最も簡単で安全な方法は、DefaultAzureCredential インスタンスを作成して OAuth トークンを取得することです。 その後、その資格情報を使用して BlobServiceClient オブジェクトを作成できます。

この例では、DefaultAzureCredential を使用して認可された BlobServiceClient オブジェクトを作成します。

public BlobServiceClient GetBlobServiceClient(string accountName)
{
    BlobServiceClient client = new(
        new Uri($"https://{accountName}.blob.core.windows.net"),
        new DefaultAzureCredential());

    return client;
}

ユーザーの認証に使用する資格情報の種類が正確にわかっている場合は、.NET 用 Azure ID クライアント ライブラリの他のクラスを使用して OAuth トークンを取得できます。 これらのクラスは TokenCredential クラスから取得されます。

SAS トークン

Blob service エンドポイントと SAS トークンを使って、URI を作成します。 次に、その URI を使って BlobServiceClient を作成します。

public static void GetBlobServiceClientSAS(ref BlobServiceClient blobServiceClient,
    string accountName, string sasToken)
{
    string blobUri = "https://" + accountName + ".blob.core.windows.net";

    blobServiceClient = new BlobServiceClient
    (new Uri($"{blobUri}?{sasToken}"), null);
}

SAS トークンの生成と管理の詳細については、次の記事を参照してください。

• 共有アクセス署名 (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する
• .NET を使用してアカウント SAS を作成する
• .NETを使用してコンテナーのサービス SAS を作成する
• .NET を使用して BLOB のサービス SAS を作成する
• .NET を使用してコンテナー用のユーザー委任 SAS を作成する
• .NET を使用して BLOB 用のユーザー委任 SAS を作成する

アカウント キー

ストレージ アカウント名とアカウント キーを使って、StorageSharedKeyCredential を作成します。 その後、そのオブジェクトを使って BlobServiceClient を初期化します。

public static void GetBlobServiceClient(ref BlobServiceClient blobServiceClient,
    string accountName, string accountKey)
{
    Azure.Storage.StorageSharedKeyCredential sharedKeyCredential =
        new StorageSharedKeyCredential(accountName, accountKey);

    string blobUri = "https://" + accountName + ".blob.core.windows.net";

    blobServiceClient = new BlobServiceClient
        (new Uri(blobUri), sharedKeyCredential);
}

接続文字列を使って BlobServiceClient を作成することもできます。

BlobServiceClient blobServiceClient = new BlobServiceClient(connectionString);

アカウント キーの取得方法と、キーを適切に管理して保護するためのベスト プラクティス ガイドラインについては、「ストレージ アカウント アクセス キーを管理する」をご覧ください。

重要

アカウント アクセス キーは慎重に使用する必要があります。 アカウント アクセス キーを紛失した場合、または誤ってセキュリティで保護されていない場所に置いた場合には、サービスが脆弱になる可能性があります。 アクセス キーを持つすべてのユーザーは、ストレージ アカウントに対する要求を承認でき、実質的にすべてのデータにアクセスできます。 DefaultAzureCredential はセキュリティ機能と利点が強化されており、Azure サービスに対する認可を管理するために推奨されるアプローチです。

これらの各承認メカニズムについて詳しくは、「Azure Storage 内のデータへのアクセスを承認する」をご覧ください。

アプリケーションをビルドする

Azure Blob Storage のデータ リソースを操作するアプリケーションを構築する際に、コードでは主に、ストレージ アカウント、コンテナー、BLOB という 3 つのリソースの種類と対話します。 これらのリソースの種類、リソースの相互関係、およびアプリがリソースと対話する方法について詳しくは、「アプリが Blob Storage データ リソースと対話する方法を理解する」を参照してください。

次のガイドでは、.NET 用 Azure Storage クライアント ライブラリを使用してデータ リソースを操作し、特定のアクションを実行する方法について説明します。

ガイド	説明
コンテナーの作成	コンテナーを作成します。
コンテナーを削除して復元する	コンテナーを削除し、論理的な削除が有効になっている場合は、削除されたコンテナーを復元します。
コンテナーをリストする	アカウントのコンテナーの一覧を表示し、さまざまなオプションを使って一覧をカスタマイズします。
プロパティとメタデータを管理する	コンテナーのプロパティとメタデータを取得および設定します。
コンテナーのリースを作成および管理する	コンテナーに対するロックを確立して管理します。
BLOB のリースを作成および管理する	BLOB に対するロックを確立して管理します。
BLOB にデータを追加する	追加 BLOB を作成し、その BLOB にデータを追加する方法について説明します。
BLOB をアップロードする	文字列、ストリーム、ファイル パス、その他の方法を使って BLOB をアップロードする方法について説明します。
BLOB をダウンロードする	文字列、ストリーム、ファイル パスを使って BLOB をダウンロードします。
BLOB をコピーする	ある場所から別の場所に BLOB をコピーします。
BLOB をリストする	さまざまな方法で BLOB の一覧を表示します。
削除と復元	BLOB を削除し、論理的な削除が有効になっている場合は、削除された BLOB を復元します。
タグを使って BLOB を検索する	タグの設定と取得を行い、タグを使って BLOB を検索します。
プロパティとメタデータを管理する	BLOB のプロパティとメタデータを取得および設定します。
BLOB のアクセス層を設定または変更する	ブロック BLOB のアクセス層を設定または変更します。

関連項目

• パッケージ (NuGet)
• サンプル
• API リファレンス
• ライブラリ ソース コード
• フィードバックを送る