ネットワーク境界外の Azure サービスからのトラフィックを有効にする必要がある場合は、 ネットワーク セキュリティ例外を追加できます。 これは、Azure サービスが仮想ネットワークまたは IP ネットワーク規則に含めることができないネットワークから動作する場合に便利です。 たとえば、一部のサービスでは、アカウント内のリソース ログとメトリックを読み取る必要があります。 ネットワーク ルールの例外を作成することで、ログ ファイル、メトリック テーブル、またはその両方に対する読み取りアクセスを許可できます。 これらのサービスは、強力な認証を使用してストレージ アカウントに接続します。
ネットワーク セキュリティ例外を追加する方法については、「 ネットワーク セキュリティ例外の管理」を参照してください。
Microsoft Entra テナントに登録されているリソースに対する信頼されたアクセス
一部のサービスのリソースは、ログの書き込みやバックアップの実行など、選択した操作のためにストレージ アカウントにアクセスできます。 これらのサービスは、ストレージ アカウントと同じ Microsoft Entra テナントにあるサブスクリプションに登録する必要があります。 次の表では、各サービスとその許可される操作について説明します。
| サービス | リソース プロバイダー名 | 許可される操作 |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
サービスとしてのインフラストラクチャ (IaaS) 仮想マシン (マネージド ディスクでは不要) で、アンマネージド ディスクのバックアップと復元を実行します。 詳細については、こちらを参照してください。 |
| Azure Data Box | Microsoft.DataBox |
Azure にデータをインポートします。 詳細については、こちらを参照してください。 |
| Azure Data Explorer | Microsoft.Kusto |
インジェスト用のデータと外部テーブルのデータを読み取り、外部テーブルにデータを書き込みます。 詳細については、こちらを参照してください。 |
| Azure DevTest Labs | Microsoft.DevTestLab |
カスタム イメージを作成して成果物をインストールします。 詳細については、こちらを参照してください。 |
| Azure Event Grid | Microsoft.EventGrid |
Azure Blob Storage のイベント発行を有効にし、ストレージ キューへの発行を許可します。 |
| Azure Event Hubs | Microsoft.EventHub |
Event Hubs Capture を使用してデータをアーカイブします。 詳細については、こちらを参照してください。 |
| Azure File Sync | Microsoft.StorageSync |
オンプレミスのファイル サーバーを Azure ファイル共有のキャッシュに変換します。 この機能により、複数サイトの同期、迅速なディザスター リカバリー、クラウド側バックアップが可能となります。 詳細については、こちらを参照してください。 |
| Azure HDInsight | Microsoft.HDInsight |
新しい HDInsight クラスターのための既定のファイル システムの初期コンテンツをプロビジョニングします。 詳細については、こちらを参照してください。 |
| Azure インポート/エクスポート | Microsoft.ImportExport |
Azure Storage にデータをインポートするか、Azure Storage からデータをエクスポートします。 詳細については、こちらを参照してください。 |
| Azure Monitor | Microsoft.Insights |
リソース ログ、Microsoft Defender for Endpoint のデータ、Microsoft Entra のサインインと監査のログ、Microsoft Intune のログなど、セキュリティ保護されたストレージ アカウントに監視データを書き込みます。 詳細については、こちらを参照してください。 |
| Azure ネットワーク サービス | Microsoft.Network |
Azure Network Watcher サービスや Azure Traffic Manager サービスを使用して、ネットワーク トラフィック ログを格納および分析します。 詳細については、こちらを参照してください。 |
| Azure Site Recovery | Microsoft.SiteRecovery |
ファイアウォールが有効なキャッシュ、ソース、またはターゲット ストレージ アカウントを使用している場合、Azure IaaS 仮想マシンのディザスター リカバリーのレプリケーションを有効にします。 詳細については、こちらを参照してください。 |
マネージド ID に基づく信頼されたアクセス
次の表に、これらのサービスのリソース インスタンスに適切なアクセス許可がある場合にストレージ アカウント データにアクセスできるサービスを示します。
| サービス | リソース プロバイダー名 | 目的 |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure API Management | Microsoft.ApiManagement/service |
ポリシーを使用して、ファイアウォールの内側にあるストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Microsoft 自律システム | Microsoft.AutonomousSystems/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Cache for Redis | Microsoft.Cache/Redis |
ストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Azure AI 検索 | Microsoft.Search/searchServices |
インデックス作成、処理、およびクエリのためのストレージ アカウントへのアクセスを有効にします。 |
| Azure AI サービス | Microsoft.CognitiveService/accounts |
ストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Microsoft Cost Management | Microsoft.CostManagementExports |
ファイアウォールの背後にあるストレージ アカウントへのエクスポートを有効にします。 詳細については、こちらを参照してください。 |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
ストレージ アカウントへのアクセスを有効にします。 サーバーレス SQL ウェアハウスには、追加の構成が必要です。 詳細については、こちらを参照してください。 |
| Azure Data Factory | Microsoft.DataFactory/factories |
Data Factory ランタイムを使用して、ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
インジェスト用のデータと外部テーブルのデータを読み取り、外部テーブルにデータを書き込みます。 詳細については、こちらを参照してください。 |
| Azure Backup ボールト | Microsoft.DataProtection/BackupVaults |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Share | Microsoft.DataShare/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure デバイス レジストリ | Microsoft.DeviceRegistry/schemaRegistries |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
IoT ハブからのデータを Blob Storage に書き込むことができます。 詳細については、こちらを参照してください。 |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/domains |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/topics |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Fabric | Microsoft.Fabric |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Key Vault マネージド HSM | Microsoft.keyvault/managedHSMs |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
ロジック アプリがストレージ アカウントにアクセスできるようにします。 詳細については、こちらを参照してください。 |
| Azure Logic Apps | Microsoft.Logic/workflows |
ロジック アプリがストレージ アカウントにアクセスできるようにします。 詳細については、こちらを参照してください。 |
| Azure Machine Learning スタジオ | Microsoft.MachineLearning/registries |
承認された Azure Machine Learning ワークスペースで、Blob Storage への実験の出力、モデル、ログの書き込みと、データの読み取りを有効にします。 詳細については、こちらを参照してください。 |
| Azure Machine Learning | Microsoft.MachineLearningServices |
承認された Azure Machine Learning ワークスペースで、Blob Storage への実験の出力、モデル、ログの書き込みと、データの読み取りを有効にします。 詳細については、こちらを参照してください。 |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
承認された Azure Machine Learning ワークスペースで、Blob Storage への実験の出力、モデル、ログの書き込みと、データの読み取りを有効にします。 詳細については、こちらを参照してください。 |
| Azure Media Services | Microsoft.Media/mediaservices |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Purview | Microsoft.Purview/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
ストレージ アカウントへのアクセスを有効にします。 |
| Security Center | Microsoft.Security/dataScanners |
ストレージ アカウントへのアクセスを有効にします。 |
| 特異性 | Microsoft.Singularity/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Storage Actions | Microsoft.Storageactions/Storagetasks |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure SQL Database | Microsoft.Sql |
ファイアウォールの内側にあるストレージ アカウントへの監査データの書き込みを許可します。 |
| Azure SQL サーバー | Microsoft.Sql/servers |
ファイアウォールの内側にあるストレージ アカウントへの監査データの書き込みを許可します。 |
| Azure Synapse Analytics | Microsoft.Sql |
COPY ステートメントまたは PolyBase を使用して (専用プール)、またはサーバーレス プールで openrowset 関数と外部テーブルを使用して、特定の SQL データベースのデータのインポートとエクスポートを行うことを許可します。 詳細については、こちらを参照してください。 |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
ストリーミング ジョブからのデータを Blob Storage に書き込むことができます。 詳細については、こちらを参照してください。 |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
ストリーミング ジョブからのデータを Blob Storage に書き込むことができます。 詳細については、こちらを参照してください。 |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Azure Storage のデータへのアクセスを有効にします。 |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
ストレージ アカウントへのアクセスを有効にします。 |
アカウントで階層型名前空間機能が有効になっていない場合は、リソース インスタンスごとに マネージド ID に Azure ロールを明示的に割り当てることでアクセス許可を付与できます。 この場合、インスタンスのアクセススコープは、マネージド ID に割り当てられた Azure ロールに対応します。
階層型名前空間機能が有効になっているアカウントでも、同じ手法を使用できます。 ただし、ストレージ アカウントに格納されている任意のディレクトリまたは BLOB のアクセス制御リスト (ACL) にマネージド ID を追加する場合、Azure ロールを割り当てる必要はありません。 この場合、インスタンスのアクセス範囲は、マネージド ID がアクセス権を持つディレクトリまたはファイルと一致します。
また、Azure ロールと ACL を組み合わせてアクセスを許可することもできます。 詳細については、「Azure Data Lake Storage のアクセス制御モデル」を参照してください。
特定のリソースにアクセスを許可するには、リソース インスタンス ルールを使用することをお勧めします。