ネットワーク境界外のAzure サービスからのトラフィックを有効にする必要がある場合は、network セキュリティ例外を追加できます。 これは、Azure サービスが、仮想ネットワークまたは IP ネットワーク規則に含めることができないネットワークから動作する場合に便利です。 たとえば、一部のサービスでは、アカウント内のリソース ログとメトリックを読み取る必要があります。 ネットワーク ルールの例外を作成することで、ログ ファイル、メトリック テーブル、またはその両方に対する読み取りアクセスを許可できます。 これらのサービスは、強力な認証を使用してストレージ アカウントに接続します。
ネットワーク セキュリティ例外を追加する方法については、「 ネットワーク セキュリティ例外の管理」を参照してください。
Microsoft Entra テナントに登録されているリソースに対する信頼されたアクセス
一部のサービスのリソースは、ログの書き込みやバックアップの実行など、選択した操作のためにストレージ アカウントにアクセスできます。 これらのサービスは、ストレージ アカウントと同じMicrosoft Entra テナントにあるサブスクリプションに登録する必要があります。 次の表では、各サービスとその許可される操作について説明します。
| サービス | リソース プロバイダー名 | 許可される操作 |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
サービスとしてのインフラストラクチャ (IaaS) 仮想マシン (マネージド ディスクでは不要) で、アンマネージド ディスクのバックアップと復元を実行します。 詳細については、こちらを参照してください。 |
| Azure Data Box | Microsoft.DataBox |
Azureにデータをインポートします。 詳細については、こちらを参照してください。 |
| Azure Data Explorer(データ探索サービス) | Microsoft.Kusto |
インジェスト用のデータと外部テーブルのデータを読み取り、外部テーブルにデータを書き込みます。 詳細については、こちらを参照してください。 |
| Azure DevTest Labs | Microsoft.DevTestLab |
カスタム イメージを作成して成果物をインストールします。 詳細については、こちらを参照してください。 |
| Azure Event Grid | Microsoft.EventGrid |
Azure Blob Storageイベントの発行を有効にし、ストレージ キューへのパブリッシュを許可します。 |
| Azure Event Hubs | Microsoft.EventHub |
Event Hubs Capture を使用してデータをアーカイブします。 詳細については、こちらを参照してください。 |
| Azure File Sync | Microsoft.StorageSync |
オンプレミスのファイル サーバーを、Azureファイル共有のキャッシュに変換します。 この機能により、複数サイトの同期、迅速なディザスター リカバリー、クラウド側バックアップが可能となります。 詳細については、こちらを参照してください。 |
| Azure HDInsight | Microsoft.HDInsight |
新しい HDInsight クラスターのための既定のファイル システムの初期コンテンツをプロビジョニングします。 詳細については、こちらを参照してください。 |
| Azure Import/Export(アズール インポート/エクスポート) | Microsoft.ImportExport |
データをAzure Storageにインポートするか、Azure Storageからデータをエクスポートします。 詳細については、こちらを参照してください。 |
| Azure Monitor | Microsoft.Insights |
リソース ログ、Microsoft Defender for Endpoint データ、サインインログと監査ログのMicrosoft Entra、ログのMicrosoft Intuneなど、セキュリティで保護されたストレージ アカウントに監視データを書き込みます。 詳細については、こちらを参照してください。 |
| Azure ネットワーク サービス | Microsoft.Network |
Azure Network WatcherサービスやAzure Traffic Manager サービスを通じて、ネットワーク トラフィック ログを格納して分析します。 詳細については、こちらを参照してください。 |
| Azure Site Recovery | Microsoft.SiteRecovery |
ファイアウォールが有効なキャッシュ、ソース、またはターゲットのストレージ アカウントを使用している場合は、Azure IaaS 仮想マシンのディザスター リカバリーのレプリケーションを有効にします。 詳細については、こちらを参照してください。 |
マネージド ID に基づく信頼されたアクセス
次の表に、これらのサービスのリソース インスタンスに適切なアクセス許可がある場合にストレージ アカウント データにアクセスできるサービスを示します。
| サービス | リソース プロバイダー名 | 目的 |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure API Management | Microsoft.ApiManagement/service |
ポリシーを使用して、ファイアウォールの内側にあるストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Microsoft 自律システム | Microsoft.AutonomousSystems/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Managed Redis | Microsoft.Cache/Redis |
ストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Azure AI Search | Microsoft.Search/searchServices |
インデックス作成、処理、およびクエリのためのストレージ アカウントへのアクセスを有効にします。 |
| 鋳造ツール | Microsoft.CognitiveService/accounts |
ストレージ アカウントへのアクセスを有効にします。 詳細については、こちらを参照してください。 |
| Microsoft Cost Management | Microsoft.CostManagementExports |
ファイアウォールの背後にあるストレージ アカウントへのエクスポートを有効にします。 詳細については、こちらを参照してください。 |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
ストレージ アカウントへのアクセスを有効にします。 サーバーレス SQL ウェアハウスには、追加の構成が必要です。 詳細については、こちらを参照してください。 |
| Azure Data Factory | Microsoft.DataFactory/factories |
Data Factory ランタイムを使用して、ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Explorer(データ探索サービス) | Microsoft.Kusto/Clusters |
インジェスト用のデータと外部テーブルのデータを読み取り、外部テーブルにデータを書き込みます。 詳細については、こちらを参照してください。 |
| Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Share | Microsoft.DataShare/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure デバイス レジストリ | Microsoft.DeviceRegistry/schemaRegistries |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
IoT ハブからのデータをBlob Storageに書き込むことができるようにします。 詳細については、こちらを参照してください。 |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/domains |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Event Grid | Microsoft.EventGrid/topics |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Fabric | Microsoft.Fabric |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Healthcare API | Microsoft.HealthcareApis/services |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Healthcare API | Microsoft.HealthcareApis/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Key Vault マネージド HSM | Microsoft.keyvault/managedHSMs |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
ロジック アプリがストレージ アカウントにアクセスできるようにします。 詳細については、こちらを参照してください。 |
| Azure Logic Apps | Microsoft.Logic/workflows |
ロジック アプリがストレージ アカウントにアクセスできるようにします。 詳細については、こちらを参照してください。 |
| Azure Machine Learning studio | Microsoft.MachineLearning/registries |
承認されたAzure Machine Learningワークスペースが実験の出力、モデル、ログをBlob Storageに書き込み、そこからデータを読み取ることができます。 詳細については、こちらを参照してください。 |
| Azure Machine Learning | Microsoft.MachineLearningServices |
許可されたAzure Machine Learningワークスペースは、実験の出力、モデル、ログをBlob Storageに書き込み、そのデータを読み取ることができます。 詳細については、こちらを参照してください。 |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
承認されたAzure Machine Learningワークスペースが、実験の出力、モデル、ログをBlob Storageに書き込み、データを読み取ることができます。 詳細については、こちらを参照してください。 |
| Azure Media Services | Microsoft.Media/mediaservices |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Project アルカディア | Microsoft.ProjectArcadia/workspaces |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Microsoft Purview | Microsoft.Purview/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
ストレージ アカウントへのアクセスを有効にします。 |
| Security Center | Microsoft.Security/dataScanners |
ストレージ アカウントへのアクセスを有効にします。 |
| 特異性 | Microsoft.Singularity/accounts |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure Storage アクション | Microsoft.Storageactions/Storagetasks |
ストレージ アカウントへのアクセスを有効にします。 |
| Azure SQL Database | Microsoft.Sql |
ファイアウォールの内側にあるストレージ アカウントへの監査データの書き込みを許可します。 |
| Azure SQL サーバー | Microsoft.Sql/servers |
ファイアウォールの内側にあるストレージ アカウントへの監査データの書き込みを許可します。 |
| Azure Synapse Analytics | Microsoft.Sql |
COPY ステートメントまたは PolyBase を使用して (専用プール)、またはサーバーレス プールで openrowset 関数と外部テーブルを使用して、特定の SQL データベースのデータのインポートとエクスポートを行うことを許可します。
詳細については、こちらを参照してください。 |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
ストリーミング ジョブのデータをBlob Storageに書き込むことができるようにします。 詳細については、こちらを参照してください。 |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
ストリーミング ジョブのデータをBlob Storageに書き込むことができるようにします。 詳細については、こちらを参照してください。 |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Azure Storage内のデータへのアクセスを有効にします。 |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
ストレージ アカウントへのアクセスを有効にします。 |
アカウントで階層型名前空間機能が有効になっていない場合は、リソース インスタンスごとに Azure ロールを 管理 ID に明示的に割り当てることでアクセス許可を付与できます。 この場合、インスタンスのアクセススコープは、マネージド ID に割り当てられたAzureロールに対応します。
階層型名前空間機能が有効になっているアカウントでも、同じ手法を使用できます。 ただし、ストレージ アカウントに含まれるディレクトリまたは BLOB のアクセス制御リスト (ACL) にマネージド ID を追加する場合は、Azure ロールを割り当てる必要はありません。 この場合、インスタンスのアクセス範囲は、マネージド ID がアクセス権を持つディレクトリまたはファイルと一致します。
Azureロールと ACL を組み合わせてアクセス権を付与することもできます。 詳細については、Azure Data Lake Storage の
特定のリソースにアクセスを許可するには、リソース インスタンス ルールを使用することをお勧めします。