共有アクセス署名を使用してアクセスを委任する
重要
最適なセキュリティを確保するために、Microsoft では、マネージド ID でMicrosoft Entra IDを使用して、可能な限り BLOB、キュー、テーブル データに対する要求を承認することをお勧めします。 Microsoft Entra ID ID とマネージド ID を使用した承認は、共有キーの承認よりも優れたセキュリティと使いやすさを提供します。 詳細については、「Microsoft Entra IDで承認する」を参照してください。 マネージド ID の詳細については、「 Azure リソースのマネージド ID とは」を参照してください。
オンプレミス アプリケーションなど、Azure の外部でホストされているリソースの場合は、Azure Arc を介してマネージド ID を使用できます。たとえば、Azure Arc 対応サーバーで実行されているアプリでは、マネージド ID を使用して Azure サービスに接続できます。 詳細については、「 Azure Arc 対応サーバーを使用した Azure リソースに対する認証」を参照してください。
共有アクセス署名 (SAS) が使用されるシナリオでは、ユーザー委任 SAS を使用することをお勧めします。 ユーザー委任 SAS は、アカウント キーではなくMicrosoft Entra資格情報で保護されます。 共有アクセス署名の詳細については、「ユーザー委任 SAS のCreate」を参照してください。
共有アクセス署名 (SAS) は、Azure Storage リソースへの制限付きアクセス権を付与する URI です。 共有アクセス署名は、ストレージ アカウント キーで信頼されるべきではないが、特定のストレージ アカウント リソースへのアクセスが必要なクライアントに提供できます。 これらのクライアントに SAS URI を配布して、指定したアクセス許可セットで、指定した期間の間、リソースへのアクセスを許可できます。
SAS トークンを構成する URI クエリ パラメーターには、ストレージ リソースへの制御されたアクセスを許可するために必要なすべての情報が組み込まれています。 SAS を持つクライアントは、SAS URI のみを使用して Azure Storage に対して要求を行うことができます。 SAS トークン内の情報は、要求の承認に使用されます。
Shared Access Signature の種類
Azure Storage では、次の種類の共有アクセス署名がサポートされています。
バージョン 2015-04-05 で導入されたアカウント SAS。 この種類の SAS は、1 つ以上のストレージ サービス内のリソースへのアクセスを委任します。 サービス SAS を使用して実行できるすべての操作は、アカウント SAS でも実行できます。
アカウント SAS を使用すると、 や
Get Service StatsなどのGet/Set Service Propertiesサービスに適用される操作へのアクセスを委任できます。 サービス SAS で許可されていない BLOB コンテナー、テーブル、キューおよびファイル共有の読み取り、書き込みおよび削除操作へのアクセスも委任できます。詳細については、「アカウント SAS を作成する」を参照してください。
サービス SAS。 この種類の SAS は、Azure Blob Storage、Azure Queue Storage、Azure Table Storage、Azure Filesのいずれかのストレージ サービス内のリソースへのアクセスを委任します。 詳細については、「サービス SAS のCreate」と「サービス SAS の例」を参照してください。
バージョン 2018-11-09 で導入された ユーザー委任 SAS。 この種類の SAS は、Microsoft Entra資格情報で保護されます。 Blob Storage でのみサポートされており、それを使用してコンテナーと BLOB へのアクセスを許可できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。
さらに、サービス SAS は、一連の署名に対する別のレベルの制御を提供する、格納されたアクセス ポリシーを参照できます。 このコントロールには、必要に応じてリソースへのアクセスを変更または取り消す機能が含まれます。 詳細については、「保存されているアクセス ポリシーの定義」を参照してください。
注意
保存されたアクセス ポリシーは、現在、アカウント SAS またはユーザー委任 SAS ではサポートされていません。