Azure Active Directory ベースのアクセス制御で Azure Storage のサポートの一般提供を開始

  • Article

執筆者: Chris Brooks (Principal PM Manager, Microsoft Azure Storage)

このポストは、2019 年 3 月 28 日に投稿された Azure Storage support for Azure Active Directory based access control generally available の翻訳です。

 

このたびマイクロソフトは、Azure Active Directory (AD) ベースのアクセス制御で Azure Storage Blob と Azure Storage キューのサポートの一般提供を開始しました。これにより、Azure のロール ベースのアクセス制御 (RBAC)(英語) を使用して Azure AD テナントからユーザー ID やサービス ID に対してデータへのアクセス許可を指定できるようになります。また、管理者が Storage Analytics のログ (英語) を使用して個々のユーザーやサービスからデータへのアクセスを追跡できるようになります。大部分のユーザーに強力なストレージ アカウント アクセス キーを与えないようにすることで、ストレージ アカウントのセキュリティを強化できます。

ユーザーとサービスの認証に Azure AD を使用すると、2 要素認証、条件付きアクセス、Identity Protection などの Azure AD の機能をすべて使用できます。

また、Azure AD Privileged Identity Management (PIM) を使用するとロールを「必要なときだけ」割り当てることが可能で、管理者権限を不正使用されるリスクを軽減できます。

さらに、Azure リソースのマネージド ID を使用すると、開発者がアプリケーションのシークレットを管理する必要がなく、安全に Azure Storage アプリケーションをデプロイできます

Azure AD 認証と新しい Azure Data Lake Storage Gen 2 の機能を組み合わせると、POSIX 形式のアクセス許可とアクセス制御リスト (ACL) を使用してファイルやフォルダーのアクセス制御をきめ細かく行えます。

Azure リソースの RBAC では、サブスクリプションやリソース グループ内のさまざまなリソース セット、またはストレージ アカウントや BLOB コンテナーなどの個々のリソースにアクセス許可を割り当てることができます。ロールの割り当ては、Azure portal、または Azure PowerShell、Azure CLI、Azure Resource Manager テンプレートなどのツールから行います。

Assign a role to a user

Azure AD 認証は、Azure Portal、Azure CLI、Azure PowerShell、Azure Storage Explorer、AzCopy などの Azure Storage の標準ツールから使用できます。

Browse Azure Storage blobs using the Azure portal

 $ az login
Note, we have launched a browser for you to login. For old experience with device code, use "az login --use-device-code"
You have logged in. Now let us find all the subscriptions to which you have access...
[
  {
    "cloudName": "AzureCloud",
    "id": "XXXXXXXX-YYYY-ZZZZ-AAAA-BBBBBBBBBBBB",
    "isDefault": true,
    "name": "My Subscription",
    "state": "Enabled",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "user": {
      "name": "cbrooks@microsoft.com",
      "type": "user"
    }
  }
]
$ export AZURE_STORAGE_AUTH_MODE="login"
$ az storage blob list --account-name mysalesdata --container-name mycontainer --query [].name
[
  "salesdata.csv"
]​

マイクロソフトでは、Azure AD を使用してユーザーにデータへのアクセス許可を割り当て、ストレージ アカウント アクセス キーへのアクセス許可を制限することをお勧めします。一般的には、ポータルでストレージ アカウントを表示できる「閲覧者」ロールと、BLOB データを読み取ることができる「ストレージ BLOB データ閲覧者」ロールをユーザーに付与します。BLOB の作成や変更の権限が必要なユーザーには、「ストレージ BLOB データ共同作成者」ロールを付与します。

開発者の皆様は、Azure アプリケーションの認証には Azure リソースのマネージド ID を、Azure 以外で実行されるアプリケーションの認証には Azure AD サービス プリンシパルをぜひご利用ください。

Azure Storage における Azure AD アクセス制御は、すべての Azure クラウドにて本番環境でご利用いただけます。