Azure Storage のファイアウォール規則

Azure Storage ファイアウォール規則では、ストレージ アカウントのパブリック エンドポイントへのネットワーク アクセスをきめ細かく制御できます。 既定では、ストレージ アカウントは任意のネットワークからの接続を許可しますが、ストレージ アカウントに接続できるソースを定義するネットワーク ルールを構成することで、アクセスを制限できます。

次の 4 種類のネットワーク 規則を構成できます。

• 仮想ネットワークルール: Azure Virtual Network 内の特定のサブネットからのトラフィックを許可する
• IP ネットワーク規則: 特定のパブリック IP アドレス範囲からのトラフィックを許可する
• リソース インスタンス ルール: 仮想ネットワークまたは IP 規則を使用して分離できない特定の Azure リソース インスタンスからのトラフィックを許可する
• 信頼されたサービスの例外: ネットワーク境界外で動作する特定の Azure サービスからのトラフィックを許可する

ネットワーク ルールが構成されている場合、明示的に許可されたソースからのトラフィックのみが、そのパブリック エンドポイントを介してストレージ アカウントにアクセスできます。 その他のトラフィックはすべて拒否されます。

仮想ネットワーク規則

任意の Azure Virtual Network 内のサブネットからのトラフィックを有効にすることができます。 仮想ネットワークは、任意の Azure リージョンの任意の Microsoft Entra テナント内の任意のサブスクリプションから取得できます。 サブネットからのトラフィックを有効にするには、 仮想ネットワーク規則を追加します。 ストレージ アカウントごとに最大 400 個の仮想ネットワーク ルールを追加できます。

サブネットの仮想ネットワーク設定で、Virtual Network サービス エンドポイントも有効にする必要があります。 このエンドポイントは、セキュリティで保護された直接接続をストレージ アカウントに提供するように設計されています。

Azure portal を使用してネットワーク ルールを作成すると、各ターゲット サブネットを選択すると、これらのサービス エンドポイントが自動的に作成されます。 PowerShell と Azure CLI には、手動で作成するために使用できるコマンドが用意されています。 サービス エンドポイントの詳細については、「 Virtual Network サービス エンドポイント」を参照してください。

次の表では、Azure Storage に対して有効にできるサービス エンドポイントの種類ごとに説明します。

仮想ネットワーク規則を構成し、サービス エンドポイントを有効にする方法については、「 Azure Storage の仮想ネットワーク規則を作成する」を参照してください。

ペアのリージョンからのアクセス

サービス エンドポイントは、 ペアのリージョン内の仮想ネットワークとサービス インスタンスの間でも機能します。

ペアのリージョン内で仮想ネットワークとサービス インスタンス間にサービス エンドポイントを構成することは、ディザスター リカバリー計画の重要な部分になる可能性があります。 サービス エンドポイントは、リージョンのフェールオーバー中に継続性を実現し、読み取り専用 geo 冗長ストレージ (RA-GRS) インスタンスへのアクセスを提供します。 仮想ネットワークからストレージ アカウントへのアクセスを許可する仮想ネットワーク規則では、RA-GRS インスタンスへのアクセスも許可されます。

リージョンの障害時にディザスター リカバリーを計画する場合は、ペアのリージョンに仮想ネットワークを事前に作成してください。 これらの代替仮想ネットワークからのアクセスを許可するネットワーク 規則を使用して、Azure Storage のサービス エンドポイントを有効にします。 その後、これらのルールを geo 冗長ストレージ アカウントに適用します。

IP ネットワーク規則

仮想ネットワークに存在しないクライアントとサービスの場合は、 IP ネットワーク 規則を作成してトラフィックを有効にすることができます。 各 IP ネットワーク 規則は、特定のパブリック IP アドレス範囲からのトラフィックを有効にします。 たとえば、オンプレミス ネットワークのクライアントがストレージ データにアクセスする必要がある場合は、そのクライアントのパブリック IP アドレスを含むルールを作成できます。 各ストレージ アカウントでは、最大 400 個の IP ネットワーク規則がサポートされます。

IP ネットワーク 規則を作成する方法については、 Azure Storage の IP ネットワーク規則の作成に関するページを参照してください。

サブネットのサービス エンドポイントを有効にした場合、そのサブネットからのトラフィックは、ストレージ アカウントとの通信にパブリック IP アドレスを使用しません。 代わりに、すべてのトラフィックが送信元 IP としてプライベート IP アドレスを使用します。 その結果、これらのサブネットからのトラフィックを許可する IP ネットワーク 規則は効果を持たなくなります。

特定の IP アドレスへのアクセスを許可する SAS トークンは、トークン所有者のアクセスを制限する働きをしますが、構成されているネットワーク ルールを超えて新しいアクセスを許可することはありません。

オンプレミス ネットワークからのアクセス

IP ネットワーク 規則を使用して、オンプレミス ネットワークからのトラフィックを有効にすることができます。 まず、ネットワークが使用するインターネットに接続する IP アドレスを特定する必要があります。 サポートが必要な場合は、ネットワーク管理者にお問い合わせください。

オンプレミスから Azure ExpressRoute を使用している場合、Microsoft ピアリングのために使用されている NAT IP アドレスを特定する必要があります。 NAT IP アドレスは、サービス プロバイダーまたはお客様のいずれかによって指定されます。

サービス リソースへのアクセスを許可するには、リソース IP のファイアウォール設定でこれらのパブリック IP アドレスを許可する必要があります。

Azure リソース インスタンスの規則

一部の Azure リソースは、仮想ネットワークまたは IP アドレス規則を介して分離できません。 これらのリソースからのトラフィックを有効にするには、 リソース インスタンスネットワークルールを作成します。 リソース インスタンスの Azure ロールの割り当てによって、リソース インスタンスがストレージ アカウント データに対して実行できる操作の種類が決まります。 リソース インスタンスはストレージ アカウントと同じテナントのものである必要がありますが、テナント内の任意のサブスクリプションに属することができます。

リソース インスタンス ルールを構成する方法については、「 Azure Storage のリソース インスタンス ネットワーク ルールを作成する」を参照してください。

信頼された Azure サービスの例外

ネットワーク境界外の Azure サービスからのトラフィックを有効にする必要がある場合は、 ネットワーク セキュリティ例外を追加できます。 これは、仮想ネットワークまたは IP ネットワークルールに含めることができないネットワークから Azure サービスが動作する場合に役立ちます。 たとえば、一部のサービスでは、アカウント内のリソース ログとメトリックを読み取る必要があります。 ネットワーク ルールの例外を作成することで、ログ ファイル、メトリック テーブル、またはその両方に対する読み取りアクセスを許可できます。 これらのサービスは、強力な認証を使用してストレージ アカウントに接続します。

ネットワーク セキュリティ例外を追加する方法の詳細については、「 ネットワーク セキュリティ例外の管理」を参照してください。

トラフィックを有効にできる Azure サービスの完全な一覧については、「 信頼された Azure サービス」を参照してください。

制限事項と考慮事項

ストレージ アカウントのネットワーク セキュリティを実装する前に、すべての制限と考慮事項を確認してください。 完全な一覧については、 Azure Storage ファイアウォールと仮想ネットワーク構成の制限事項に関するページを参照してください。

こちらも参照ください

• Azure Storage のネットワーク セキュリティの概要
• 制限事項と考慮事項
• 仮想ネットワーク規則
• IP ネットワーク規則
• リソース インスタンス ルール
• ネットワーク ルールの例外
• 信頼された Azure サービス