今日は、いくつかあるAzureストレージのアクセス管理手法を紹介します。
代表的なアクセス管理である以下の2つについて説明します。
・ストレージアカウントのアクセスキーを使用したアクセス管理
・ストレージアカウントのShared Access Signature(以下、SAS)を使用したアクセス管理
1.ストレージアカウントのアクセスキー
ストレージ アカウント キーは、Azure で作成される 512 ビットの文字列です。ストレージ アカウント名と共に使用して、ストレージ アカウントに保存されているデータ オブジェクトへのアクセスに使用できます。
たとえば、BLOB の読み取り、キューへの書き込み、テーブルの作成、ファイルの変更などを行うことができます。 このようなアクションの多くは、Azure ポータル、または数多くのストレージ エクスプローラー アプリケーションを使用して実行できます。 また、REST API またはストレージ クライアント ライブラリを使用してこれらの操作を実行するコードを作成することもできます。
①ストレージアカウントのアクセスキーを表示します。
②Microsoft Azure Storage Explorerで接続確認します。
!ポイント
Azureストレージを使用しているアプリケーションのダウンを発生させずにアクセスキーを更新するには、
(1)セカンダリアクセスキーを使用するようにアプリケーション構成変更
(2)プライマリアクセスキーを再生成
(3)再生成したプライマリアクセスキーを使用するようにアプリケーション構成変更
2. ストレージアカウントのSAS
Shared Access Signature を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。 SAS を使用すると、アカウント キーを共有することなく、ストレージ アカウントのリソースへのアクセス権をクライアントに付与できます。 これは、アプリケーションで Shared Access Signature を使用する際の重要な点になります。SAS は、アカウント キーを損なうことなく、ストレージ リソースを共有する安全な方法です。
SAS では、SAS を使用しているクライアントに付与する次のようなアクセスの種類をきめ細かく制御できます。
・SAS が有効な間隔 (開始時刻と有効期限など)。
・SAS によって付与されるアクセス許可。 たとえば、BLOB の SAS では BLOB への読み取りと書き込み許可が付与されますが、アクセス許可は削除されません。
・SAS を受け入れる Azure Storage の省略可能な IP アドレスまたは範囲の IP アドレス。 たとえば、組織に属する IP アドレスの範囲を指定できます。
・SAS を受け入れる Azure Storage のプロトコル。 この省略可能なパラメーターを使用すると、HTTPS を使用したクライアントのアクセスを制限できます。
共有アクセス署名の種類は、2 種類あります。
サービス SAS
サービス SAS は、1 つのストレージ サービス (BLOB、Queue、Table、または File サービスのいずれか) のリソースへのアクセスを委任します。
アカウント SAS
アカウント SAS では、1 つ以上のストレージ サービスのリソースへのアクセスを委任できます。 サービス SAS を使用して実行できるすべての操作は、アカウント SAS でも実行できます。