ストレージ アカウントのネットワーク セキュリティを実装する前に、このセクションの重要な制限事項と考慮事項を確認してください。
一般的なガイドラインと制限事項
Azure Storage のファイアウォール規則は 、データ プレーン 操作にのみ適用されます。 コントロール プレーン の操作は、ファイアウォール規則で指定されている制限の対象になりません。
Azure portal、Azure Storage Explorer、AzCopy などのツールを使用してデータにアクセスするには、ネットワーク セキュリティ規則を構成するときに確立する、信頼できる境界内のマシンから実行する必要があります。
BLOB コンテナー操作などの一部の操作は、コントロール プレーンとデータ プレーンの両方を介して実行できます。 Azure portal からコンテナーの一覧表示などの操作を実行しようとすると、別のメカニズムによってブロックされない限り、操作は成功します。 Azure Storage Explorer などのアプリケーションから BLOB データにアクセスしようとすると、ファイアウォールの制限によって制御されます。
データ プレーン操作の一覧については、「Azure Storage REST API リファレンス」を参照してください。
コントロール プレーン操作の一覧については、「Azure Storage Resource Provider REST API リファレンス」を参照してください。
ネットワーク ルールは、Azure Storage のすべてのネットワーク プロトコル (REST と SMB を含む) に適用されます。
ネットワーク規則は、マウント操作、マウント解除操作、ディスク I/O などの仮想マシン (VM) ディスクのトラフィックには影響しませんが、ページ BLOB への REST アクセスを保護するのに役立ちます。
ネットワーク ルールが適用されたストレージ アカウントでアンマネージド ディスクを使用し、例外を作成することにより、VM をバックアップおよび復元できます。 ファイアウォールの例外は、Azure によって既に管理されているため、マネージド ディスクには適用されません。
仮想ネットワーク規則に含まれているサブネットを削除すると、ストレージ アカウントのネットワーク 規則から削除されます。 同じ名前の新しいサブネットを作成した場合、ストレージ アカウントにアクセスすることはできません。 アクセスを許可するには、ストレージ アカウントのネットワーク ルールで新しいサブネットを明示的に承認する必要があります。
クライアント アプリケーションでサービス エンドポイントを参照する場合は、キャッシュされた IP アドレスに依存しないようにすることをお勧めします。 ストレージ アカウントの IP アドレスは変更される可能性があり、キャッシュされた IP アドレスに依存すると、予期しない動作が発生する可能性があります。 さらに、DNS レコードの Time to Live (TTL) を優先し、オーバーライドしないようにすることをお勧めします。 DNS TTL をオーバーライドすると、予期しない動作が発生する可能性があります。
設計上、信頼されたサービスからストレージ アカウントにアクセスすることは、他のネットワーク アクセス制限よりも最も優先されます。 [パブリック ネットワーク アクセス] を以前に [選択した仮想ネットワークと IP アドレスから有効] に設定した後で [無効] に設定する場合、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] など、以前に構成したリソース インスタンスと例外は、引き続き有効です。 その結果、それらのリソースとサービスでは引き続きストレージ アカウントにアクセスできる場合があります。
パブリック ネットワーク アクセスを無効にした場合でも、Microsoft Defender for Storage または Azure Advisor から警告が表示される場合があります。この警告では、仮想ネットワーク規則を使用してアクセスを制限することをお勧めします。 これは、テンプレートを使用してパブリック アクセスを無効にする場合に発生する可能性があります。 PublicNetworkAccess プロパティを Disabled に設定した場合でも、defaultAction プロパティは Allow に設定されたままです。 PublicNetworkAccess プロパティが優先されますが、Microsoft Defender などのツールでは defaultAction プロパティの値も報告されます。 この問題を解決するには、テンプレートを使用して defaultAction プロパティ の Deny を設定するか、Azure portal、PowerShell、Azure CLI などのツールを使用してパブリック アクセスを無効にします。 これらのツールは、 defaultAction プロパティを自動的に Deny の値に変更します。
IP ネットワーク規則の制限
IP ネットワーク規則は、パブリック インターネットの IP アドレスに対してのみ許可されます。
プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。 プライベート ネットワークには、10、172.16 から 172.31、および 192.168 で始まるアドレスが含まれます。
許可するインターネット アドレスの範囲は、CIDR 表記法を使って 16.17.18.0/24 の形式で、または 16.17.18.19 のように個々の IP アドレスとして指定する必要があります。
/31 または /32 プレフィックス サイズを使用する小さなアドレス範囲はサポートされていません。 個々の IP アドレス規則を使用して、これらの範囲を構成します。
ストレージ ファイアウォール規則の構成では、IPv4 アドレスのみがサポートされています。
IP ネットワーク規則を使用して、ストレージ アカウントと同じ Azure リージョン内のクライアントへのアクセスを制限することはできません。 IP ネットワーク ルールは、ストレージ アカウントと同じ Azure リージョンから送信された要求には影響しません。 同じリージョンの要求を許可するには、仮想ネットワーク規則を使用します。
IP ネットワーク規則を使用して、サービス エンドポイントを持つ仮想ネットワーク内にある ペアリージョン 内のクライアントへのアクセスを制限することはできません。
IP ネットワーク 規則を使用して、ストレージ アカウントと同じリージョンにデプロイされた Azure サービスへのアクセスを制限することはできません。
ストレージ アカウントと同じリージョンでデプロイされたサービスでは、プライベート Azure IP アドレスが通信に使用されます。 そのため、パブリック送信 IP アドレス範囲に基づいて特定の Azure サービスへのアクセスを制限することはできません。
次のステップ
- Azure ネットワーク サービス エンドポイントの詳細を確認してください。
- Azure Blob Storage のセキュリティに関する推奨事項を詳しく調べる。