Azureのストレージ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azureのデータ・ストア]]
* 目次 [#m2699ff0]
#contents
*概要 [#w2672b00]
Azureのストレージ
*ストレージの種類 [#n763d7de]
**Blob [#w947118f]
-エクサバイト単位の高いスケーラビリティを持つ~
非構造化データ用オブジェクト ストレージ
-エンドポイント:https://<storage-account>.blob.core.wind...
-[[ブロック Blob>#g0d70ad4]] と [[追加 Blob>#mdbf59f9]]、...
***コンテナ [#o68aa604]
BLOB のセットを整理する論理的な入れ物。
***ブロック Blob [#g0d70ad4]
-大量のデータを効率的にアップロードするための最適化
-ブロックで構成され、それぞれがブロック ID で識別
-ブロック BLOB には、最大 50,000 個のブロックを含められる。
-各ブロックは、許可される最大サイズまで、異なるサイズにで...
***追加 Blob [#mdbf59f9]
-ブロックで構成され、追加操作用に最適化
-変更は追加ブロック操作を介した末尾への追加のみ。
-ブロックの更新または削除はサポートされない。
-追加 BLOB ではブロックの ID は公開されない。
***ページ Blob [#ia336c65]
-ランダムな読み書き操作用に最適化
-512 バイトのページのコレクション
-作成するには、初期化し、最大サイズを指定。
-VHDファイルをアップロードして[[Disk>#b3652e6e]]として使...
**Table [#f7fa6f63]
-大規模な半構造化データセットを使用できる NoSQL KVS(キー...
-エンドポイント:https://<storage-account>.table.core.win...
**Queue [#ge178d0f]
-大容量のクラウド サービス向けの永続Queue
-エンドポイント:https://<storage-account>.queue.core.win...
**File [#v4ca71d7]
-[[SMB>ネットワークの基礎編#j38a4dc1]]プロトコルを介して...
-エンドポイント:https://<storage-account>.file.core.wind...
**[[Disk>Azureのディスク ストレージ]] [#b3652e6e]
**[[Azure Data Lake]] [#l96bb73e]
-[[Blob>#w947118f]]をベースに構築された、ビッグ データ分...
-エンドポイント:https://<storage-account>.dfs.core.windo...
*ストレージ・アカウント [#t36c3007]
**概要 [#u33ccbd4]
-Azure Storage データ オブジェクトの~
格納およびアクセスのための一意の名前空間を提供
-以下の[[オプション>#jd544d7e]]と[[タイプ>#qca1308e]]を組...
**オプション [#jd544d7e]
***汎用ストレージ・アカウント [#p63b7b9c]
-サービス:[[Blob>#w947118f]]、[[Table>#f7fa6f63]]、[[Que...
-GPv1アカウント(汎用v1)
--アクセス層を選択する機能がなく、~
すべてがホット・ストレージ層扱いになる。
--冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[...
-GPv2アカウント(汎用v2)
--GPv1にホット/クール/アーカイブのアクセス層とストレージ...
--冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[...
-アクセス層
|#|層|説明|h
|1|ホット・アクセス層|頻繁にアクセスされるような普通のデ...
|2|クール・アクセス層|30日以上更新されないデータ向け|
|3|アーカイブ・アクセス層|180日以上更新されないデータ向け...
***BlockStorage アカウント [#r0e01420]
-従来の [[BLOB>#w947118f]] 専用ストレージ アカウント。
-サービス:[[Blob>#w947118f]](ブロック BLOB と追加 BLOB ...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[[...
***BlockBlobStorage アカウント [#i5fb0862]
-Premium パフォーマンス特性を持つストレージ・アカウント。
-サービス:[[Blob>#w947118f]](ブロック BLOB と追加 BLOB ...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***FileStorage アカウント [#dba66f6a]
Azure File Storage / Azure Filesとも呼ばれる。
-Premium パフォーマンス特性を持つストレージ・アカウント。
-サービス:[[File>#v4ca71d7]]
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
**タイプ [#qca1308e]
***Standard / Premium [#lb14497c]
-Standard
--磁気媒体(HDD)を使ってデータが保存される。
--あらゆるタイプのデータに使用できる。
---ストレージのパフォーマンス変動の影響を受けにくい。
---開発/テスト、アクセク頻度の少ないワークロード
-Premium
--ハイパフォーマンスのストレージ。
--SSD を使ってデータが保存される。
***[[ディスクの場合>Azureのディスク ストレージ#s68ff9a2]]...
**推奨の組合せ [#i80d1744]
***Standard GPv2 [#e60884af]
-サービス:[[Blob>#w947118f]]、[[Table>#f7fa6f63]]、[[Que...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[[...
***Premium ブロック BLOB [#wc98b622]
-サービス:ブロック [[Blob>#w947118f]] のみ
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***Premium ファイル共有 [#h960c9ee]
-サービス:[[File>#v4ca71d7]]のみ
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***Premium ページ BLOB [#pdfec1ca]
-サービス:ページ [[Blob>#w947118f]] のみ
-冗長オプション:[[LRS>#q3d73577]]
*その他のトピック [#l082961c]
**[[データ冗長オプション>Azureの冗長化]] [#l8905289]
各オプション環境下で、3多重化される。
***LRS(ローカル冗長ストレージ) [#q3d73577]
-可用性セット(AS)、ラック分散
-1つのデータセンター上で3多重化される。
***ZRS(ゾーン冗長ストレージ) [#kf2c295e]
-可用性ゾーン(AZ)、DC分散
-複数のデータセンター上で3多重化される。
***GRS(Geo冗長ストレージ) [#y1b6854f]
-ペアリージョン、地理分散
-プライマリリージョンでローカル3多重化され、
-セカンダリリージョンにレプリケーション。
***GZRS(Geoゾーン冗長ストレージ) [#c3d778b5]
-[[ZRS>#kf2c295e]]+[[GRS>#y1b6854f]]
-プライマリリージョンで複数のデータセンター上で3多重化さ...
-セカンダリリージョンにレプリケーション。
***RA-GRS(読み取りアクセスの Geo冗長ストレージ) [#e7ea3...
[[GRS>#y1b6854f]]で、複数のリージョンで同時にreadできるよ...
***RA-GZRS [#v153361d]
[[GZRS>#c3d778b5]]で、複数のリージョンで同時にreadできる...
**ツール [#q09b4d10]
***Storage Explorer [#mfc2b935]
GUI ベースのストレージデータ管理ツール
***azcopy [#ceba9c1b]
コマンドラインベースのファイルコピーツール
**認証・認可 [#a3325540]
***[[RBAC>Role Based Access Control (RBAC)]] [#q86bc2b4]
-ログで追跡が出来るので本番用。
-[[Azure Active Directory]]での認証が必要。
-アプリケーションの場合は、[[Azure Managed ID]]を使用する。
-その際、権限を絞り、意図しない権限付与に注意。
--[[ストレージ・キー>#v69132a8]]列挙のアクセス許可を持つ~
ロールが問題になるので、スコープの設定に注意する。
---Storage Account Contributor
---Storage Account Key Operator Service Role
---DevTests Labs User
---Log Analytics Contributor
---Virtual Machine Contributor
--その他
---Storage Blob Data Owner([[SASトークン>#q2d3103b]]発行...
-参考
--Managed Identity と RBAC を使って Azure Storage をアク...
https://blog.shibayan.jp/entry/20190915/1568480037
***[[SASトークン>トークン#w01b1c2d]] [#q2d3103b]
-ログで追跡が出来ないので開発用。
-One Driveの共有(URL)のような機能。
-特定のBlogやTableの決められた範囲へ期限内のアクセス許可...
-アクセス・ポリシー機能を併用しないと、Revokeできない。
***ストレージ・キー [#v69132a8]
-ログで追跡が出来ないので開発用。
-ストレージ アカウントの共有キーとも言う。
-ポータル上は「アクセス キー」と表示される。
-開発では便利だが、本番ではキーの管理が面倒。
**セキュア化とロックダウン [#p914312a]
***作業内容の安全性の確認 [#i1151b2e]
-入力制御(インバウンド)
--経路解放~
以下の使い分け併用が可能。
---IPアドレス制限~
・ファイアウォール規則で送信元のIPアドレスを絞れる。~
・ただし、多く場合、入力元のFirewallなどの併用が必要。~
・Firewallを使用すると、監視には有効だが高額になる。~
・入力元がAzureサービスの場合、~
・例えば[[Azure Firewall]]では、[[送信元IPアドレスの問...
・この場合、[[Azure Service Endpoint]]を使用する必要が...
---[[Azure Service Endpoint]]~
・監視機能がない。~
・通信の課金がない。~
・入力元の仮想ネットワークを許可する。
---[[Azure Private Link]] / [[Endpoint>Azure Private Endp...
・監視機能がない。~
・通信に課金がある(大量データは注意)。~
・入力元の制限ではなく、入力元へ引き込む。
--[[認証・認可>#a3325540]]
--攻撃の検知
---診断設定からアクセス・ログの取得
---ATP(Advanced Threat Protection)の利用
-ハードニング(サーバ)
--機能無効化
---パブリック・アクセス機能~
・[[認証・認可>#a3325540]]が不要のアクセスが可能になる~
・Blobコンテナ単位で設定が可能~
・経路解放の設定と併用可能。
---その他の機能~
・静的 Web サイト機能 (既定値:無効)~
・[[CORS>CORS (Cross-Origin Resource Sharing)]](既定値:...
・CDN(既定値:無効)~
・[[SASトークン>#q2d3103b]](権限で制御)~
・Search(既定値:設定なし)~
・安全な転送が必要(既定値 : HTTPS を強制しない)~
例外的に、既定値から変更した方がセキュア
--高額請求抑止~
Premium ストレージの利用抑止
--アンチマルウェア~
3rd party ソリューション
--透過的暗号化
---既定で SSE (Storage Service Encryption)が有効
---独自キーの持ち込みも可能だが、通常は不要
-出力制御(アウトバウンド)~
なし。
***変更・保守、作業の一覧化 [#t9e31b56]
-ストレージの主なメンテナンス作業と、必要な権限付与
--Reader ロールは常時割り当てで OK。
--Storage XX Data Contributor ロールは積極的に使う。
|サービス|作業者|認証|ツール|作業|経路&br;リスク|情報&br;...
|Storage|インフラ&br;運用担当者|AzADユーザ&br;アカウント|...
|~|~|~|~|ジオ・フェイルオーバを行う||||~|
|~|~|~|~|[[ストレージ・キー>#v69132a8]]を再生成する||× キ...
|~|~|~|~|アクセスログを確認する||||Storage Blob Data Read...
|~|~|~|~|ATP からの通知を確認する||||(メールなどで通知さ...
|~|アプリ開発者|AzADユーザ&br;アカウント|Storage Explorer...
|~|~|~|~|Blob ファイルを追加 / 変更 / 削除する||~||~|
|~|アプリケーション|[[Azure Managed ID]]|-|Blob データを...
|~|~|~|~|Queue データを読み書きする||~||Storage Queue Dat...
-[[意図しない権限付与に注意が必要>#q86bc2b4]]
*IaC化 [#ea519673]
**[[Azure PowerShell]] [#lc06db33]
...
**[[Azure CLI]] [#k80fcfb2]
***ストレージ アカウント [#i5202896]
>az storage account create ^
--name <storageAccountsName> ^
--resource-group <既存のresourceGroupName> ^
--location <location> ^
--sku Standard_LRS
***ストレージ コンテナ [#g1d2a4d1]
-ロールの割り当て~
ストレージ BLOB データ共同作成者ロールを自分に割り当て
>az ad signed-in-user show --query objectId -o tsv | az ...
--role "Storage Blob Data Contributor" ^
--assignee @- ^
--scope "/subscriptions/<subscriptionId>/resourceGroups...
※ 標準入力を指定するには「@-」とする(Bash環境の例は[[コ...
-コンテナの作成~
auth-modeは、作成操作を何をもって承認するか?的な意味。
>az storage container create ^
--account-name <storageAccountsName> ^
--name <containerName> ^
--auth-mode login
***IPアドレス制限 [#efd06333]
-ルールの追加
>az storage account network-rule add ^
--resource-group <resourceGroupName> ^
--account-name <storageAccountsName> ^
--ip-address xxx.xxx.xxx.xxx
-ルールの確認
--CLI
az storage account network-rule list ^
--account-name <storageAccountsName>
--ポータル~
ストレージ・アカウント → ネットワーク~
→ 選択されたネットワーク → ファイアウォール欄
--動作確認~
Azure Storage ExplorerなどでIPアドレス制限を確認する。
※ データ・パープライン系は「West US 2」辺りが良いかも。
**参考 [#xa8abb4e]
-Microsoft Docs
--Azure Storage
---クイックスタート~
・PowerShell を使用して BLOB を作成する~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/st...
・Azure CLI を使用して BLOB を作成する~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/st...
---Azure CLI で BLOB データへのアクセスの承認方法を選択す...
https://docs.microsoft.com/ja-jp/azure/storage/blobs/auth...
--PowerShell > ... > ...
---https://docs.microsoft.com/en-us/powershell/module/az....
---https://docs.microsoft.com/ja-jp/powershell/module/az....
--[[Azure CLI]] > ... > ...
---az storage account~
https://docs.microsoft.com/ja-jp/cli/azure/storage/account
---az storage container~
https://docs.microsoft.com/ja-jp/cli/azure/storage/contai...
--SKU の種類 (Azure Storage)~
https://docs.microsoft.com/ja-jp/rest/api/storagerp/srp_s...
--Azure RBAC のスコープについて~
https://docs.microsoft.com/ja-jp/azure/role-based-access-...
*参考 [#xfa622f2]
-使ったことない人向けのAzure用語 - Qiita~
https://qiita.com/onokatio/items/1cba032329f81ed83f20
-SQL Server と Azure ストレージを組み合わせたデータベース...
https://blog.engineer-memo.com/2018/02/12/sql-server-と-a...
**microsoft.com [#ke499e69]
***Microsoft Azure [#pf41dc98]
-BLOB Storage~
https://azure.microsoft.com/ja-jp/services/storage/blobs/
-Table Storage~
https://azure.microsoft.com/ja-jp/services/storage/tables/
-Queue Storage~
https://azure.microsoft.com/ja-jp/services/storage/queues/
-File Storage~
https://azure.microsoft.com/ja-jp/services/storage/files/
-Azure Storage の価格~
--Azure Storage Blob の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure ページ BLOB Storage の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure Files の料金~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure Queue Storage の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
***Microsoft Docs [#u1244aaf]
-Azure Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/
--common
---Azure Storage の概要~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---ストレージ アカウントの概要~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---Azure Storage Analytics のログ~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---Azure Defender for Storage を構成する~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
--blobs
---Azure Blob Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/
---Blob (オブジェクト) Storage について - Azure Storage~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/stor...
--files
---Azure Files のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/files/
---Azure Files の概要~
https://docs.microsoft.com/ja-jp/azure/storage/files/stor...
--tables~
---Azure Table Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/tables/
---Table Storage の概要 - Azure のオブジェクト ストレージ~
https://docs.microsoft.com/ja-jp/azure/storage/tables/tab...
--queues~
---Azure Queue storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/queues/
---Azure Queue Storage の概要 - Azure Storage~
https://docs.microsoft.com/ja-jp/azure/storage/queues/sto...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:ビッグ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azureのデータ・ストア]]
* 目次 [#m2699ff0]
#contents
*概要 [#w2672b00]
Azureのストレージ
*ストレージの種類 [#n763d7de]
**Blob [#w947118f]
-エクサバイト単位の高いスケーラビリティを持つ~
非構造化データ用オブジェクト ストレージ
-エンドポイント:https://<storage-account>.blob.core.wind...
-[[ブロック Blob>#g0d70ad4]] と [[追加 Blob>#mdbf59f9]]、...
***コンテナ [#o68aa604]
BLOB のセットを整理する論理的な入れ物。
***ブロック Blob [#g0d70ad4]
-大量のデータを効率的にアップロードするための最適化
-ブロックで構成され、それぞれがブロック ID で識別
-ブロック BLOB には、最大 50,000 個のブロックを含められる。
-各ブロックは、許可される最大サイズまで、異なるサイズにで...
***追加 Blob [#mdbf59f9]
-ブロックで構成され、追加操作用に最適化
-変更は追加ブロック操作を介した末尾への追加のみ。
-ブロックの更新または削除はサポートされない。
-追加 BLOB ではブロックの ID は公開されない。
***ページ Blob [#ia336c65]
-ランダムな読み書き操作用に最適化
-512 バイトのページのコレクション
-作成するには、初期化し、最大サイズを指定。
-VHDファイルをアップロードして[[Disk>#b3652e6e]]として使...
**Table [#f7fa6f63]
-大規模な半構造化データセットを使用できる NoSQL KVS(キー...
-エンドポイント:https://<storage-account>.table.core.win...
**Queue [#ge178d0f]
-大容量のクラウド サービス向けの永続Queue
-エンドポイント:https://<storage-account>.queue.core.win...
**File [#v4ca71d7]
-[[SMB>ネットワークの基礎編#j38a4dc1]]プロトコルを介して...
-エンドポイント:https://<storage-account>.file.core.wind...
**[[Disk>Azureのディスク ストレージ]] [#b3652e6e]
**[[Azure Data Lake]] [#l96bb73e]
-[[Blob>#w947118f]]をベースに構築された、ビッグ データ分...
-エンドポイント:https://<storage-account>.dfs.core.windo...
*ストレージ・アカウント [#t36c3007]
**概要 [#u33ccbd4]
-Azure Storage データ オブジェクトの~
格納およびアクセスのための一意の名前空間を提供
-以下の[[オプション>#jd544d7e]]と[[タイプ>#qca1308e]]を組...
**オプション [#jd544d7e]
***汎用ストレージ・アカウント [#p63b7b9c]
-サービス:[[Blob>#w947118f]]、[[Table>#f7fa6f63]]、[[Que...
-GPv1アカウント(汎用v1)
--アクセス層を選択する機能がなく、~
すべてがホット・ストレージ層扱いになる。
--冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[...
-GPv2アカウント(汎用v2)
--GPv1にホット/クール/アーカイブのアクセス層とストレージ...
--冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[...
-アクセス層
|#|層|説明|h
|1|ホット・アクセス層|頻繁にアクセスされるような普通のデ...
|2|クール・アクセス層|30日以上更新されないデータ向け|
|3|アーカイブ・アクセス層|180日以上更新されないデータ向け...
***BlockStorage アカウント [#r0e01420]
-従来の [[BLOB>#w947118f]] 専用ストレージ アカウント。
-サービス:[[Blob>#w947118f]](ブロック BLOB と追加 BLOB ...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[[...
***BlockBlobStorage アカウント [#i5fb0862]
-Premium パフォーマンス特性を持つストレージ・アカウント。
-サービス:[[Blob>#w947118f]](ブロック BLOB と追加 BLOB ...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***FileStorage アカウント [#dba66f6a]
Azure File Storage / Azure Filesとも呼ばれる。
-Premium パフォーマンス特性を持つストレージ・アカウント。
-サービス:[[File>#v4ca71d7]]
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
**タイプ [#qca1308e]
***Standard / Premium [#lb14497c]
-Standard
--磁気媒体(HDD)を使ってデータが保存される。
--あらゆるタイプのデータに使用できる。
---ストレージのパフォーマンス変動の影響を受けにくい。
---開発/テスト、アクセク頻度の少ないワークロード
-Premium
--ハイパフォーマンスのストレージ。
--SSD を使ってデータが保存される。
***[[ディスクの場合>Azureのディスク ストレージ#s68ff9a2]]...
**推奨の組合せ [#i80d1744]
***Standard GPv2 [#e60884af]
-サービス:[[Blob>#w947118f]]、[[Table>#f7fa6f63]]、[[Que...
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]、[[...
***Premium ブロック BLOB [#wc98b622]
-サービス:ブロック [[Blob>#w947118f]] のみ
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***Premium ファイル共有 [#h960c9ee]
-サービス:[[File>#v4ca71d7]]のみ
-冗長オプション:[[LRS>#q3d73577]]、[[ZRS>#kf2c295e]]
***Premium ページ BLOB [#pdfec1ca]
-サービス:ページ [[Blob>#w947118f]] のみ
-冗長オプション:[[LRS>#q3d73577]]
*その他のトピック [#l082961c]
**[[データ冗長オプション>Azureの冗長化]] [#l8905289]
各オプション環境下で、3多重化される。
***LRS(ローカル冗長ストレージ) [#q3d73577]
-可用性セット(AS)、ラック分散
-1つのデータセンター上で3多重化される。
***ZRS(ゾーン冗長ストレージ) [#kf2c295e]
-可用性ゾーン(AZ)、DC分散
-複数のデータセンター上で3多重化される。
***GRS(Geo冗長ストレージ) [#y1b6854f]
-ペアリージョン、地理分散
-プライマリリージョンでローカル3多重化され、
-セカンダリリージョンにレプリケーション。
***GZRS(Geoゾーン冗長ストレージ) [#c3d778b5]
-[[ZRS>#kf2c295e]]+[[GRS>#y1b6854f]]
-プライマリリージョンで複数のデータセンター上で3多重化さ...
-セカンダリリージョンにレプリケーション。
***RA-GRS(読み取りアクセスの Geo冗長ストレージ) [#e7ea3...
[[GRS>#y1b6854f]]で、複数のリージョンで同時にreadできるよ...
***RA-GZRS [#v153361d]
[[GZRS>#c3d778b5]]で、複数のリージョンで同時にreadできる...
**ツール [#q09b4d10]
***Storage Explorer [#mfc2b935]
GUI ベースのストレージデータ管理ツール
***azcopy [#ceba9c1b]
コマンドラインベースのファイルコピーツール
**認証・認可 [#a3325540]
***[[RBAC>Role Based Access Control (RBAC)]] [#q86bc2b4]
-ログで追跡が出来るので本番用。
-[[Azure Active Directory]]での認証が必要。
-アプリケーションの場合は、[[Azure Managed ID]]を使用する。
-その際、権限を絞り、意図しない権限付与に注意。
--[[ストレージ・キー>#v69132a8]]列挙のアクセス許可を持つ~
ロールが問題になるので、スコープの設定に注意する。
---Storage Account Contributor
---Storage Account Key Operator Service Role
---DevTests Labs User
---Log Analytics Contributor
---Virtual Machine Contributor
--その他
---Storage Blob Data Owner([[SASトークン>#q2d3103b]]発行...
-参考
--Managed Identity と RBAC を使って Azure Storage をアク...
https://blog.shibayan.jp/entry/20190915/1568480037
***[[SASトークン>トークン#w01b1c2d]] [#q2d3103b]
-ログで追跡が出来ないので開発用。
-One Driveの共有(URL)のような機能。
-特定のBlogやTableの決められた範囲へ期限内のアクセス許可...
-アクセス・ポリシー機能を併用しないと、Revokeできない。
***ストレージ・キー [#v69132a8]
-ログで追跡が出来ないので開発用。
-ストレージ アカウントの共有キーとも言う。
-ポータル上は「アクセス キー」と表示される。
-開発では便利だが、本番ではキーの管理が面倒。
**セキュア化とロックダウン [#p914312a]
***作業内容の安全性の確認 [#i1151b2e]
-入力制御(インバウンド)
--経路解放~
以下の使い分け併用が可能。
---IPアドレス制限~
・ファイアウォール規則で送信元のIPアドレスを絞れる。~
・ただし、多く場合、入力元のFirewallなどの併用が必要。~
・Firewallを使用すると、監視には有効だが高額になる。~
・入力元がAzureサービスの場合、~
・例えば[[Azure Firewall]]では、[[送信元IPアドレスの問...
・この場合、[[Azure Service Endpoint]]を使用する必要が...
---[[Azure Service Endpoint]]~
・監視機能がない。~
・通信の課金がない。~
・入力元の仮想ネットワークを許可する。
---[[Azure Private Link]] / [[Endpoint>Azure Private Endp...
・監視機能がない。~
・通信に課金がある(大量データは注意)。~
・入力元の制限ではなく、入力元へ引き込む。
--[[認証・認可>#a3325540]]
--攻撃の検知
---診断設定からアクセス・ログの取得
---ATP(Advanced Threat Protection)の利用
-ハードニング(サーバ)
--機能無効化
---パブリック・アクセス機能~
・[[認証・認可>#a3325540]]が不要のアクセスが可能になる~
・Blobコンテナ単位で設定が可能~
・経路解放の設定と併用可能。
---その他の機能~
・静的 Web サイト機能 (既定値:無効)~
・[[CORS>CORS (Cross-Origin Resource Sharing)]](既定値:...
・CDN(既定値:無効)~
・[[SASトークン>#q2d3103b]](権限で制御)~
・Search(既定値:設定なし)~
・安全な転送が必要(既定値 : HTTPS を強制しない)~
例外的に、既定値から変更した方がセキュア
--高額請求抑止~
Premium ストレージの利用抑止
--アンチマルウェア~
3rd party ソリューション
--透過的暗号化
---既定で SSE (Storage Service Encryption)が有効
---独自キーの持ち込みも可能だが、通常は不要
-出力制御(アウトバウンド)~
なし。
***変更・保守、作業の一覧化 [#t9e31b56]
-ストレージの主なメンテナンス作業と、必要な権限付与
--Reader ロールは常時割り当てで OK。
--Storage XX Data Contributor ロールは積極的に使う。
|サービス|作業者|認証|ツール|作業|経路&br;リスク|情報&br;...
|Storage|インフラ&br;運用担当者|AzADユーザ&br;アカウント|...
|~|~|~|~|ジオ・フェイルオーバを行う||||~|
|~|~|~|~|[[ストレージ・キー>#v69132a8]]を再生成する||× キ...
|~|~|~|~|アクセスログを確認する||||Storage Blob Data Read...
|~|~|~|~|ATP からの通知を確認する||||(メールなどで通知さ...
|~|アプリ開発者|AzADユーザ&br;アカウント|Storage Explorer...
|~|~|~|~|Blob ファイルを追加 / 変更 / 削除する||~||~|
|~|アプリケーション|[[Azure Managed ID]]|-|Blob データを...
|~|~|~|~|Queue データを読み書きする||~||Storage Queue Dat...
-[[意図しない権限付与に注意が必要>#q86bc2b4]]
*IaC化 [#ea519673]
**[[Azure PowerShell]] [#lc06db33]
...
**[[Azure CLI]] [#k80fcfb2]
***ストレージ アカウント [#i5202896]
>az storage account create ^
--name <storageAccountsName> ^
--resource-group <既存のresourceGroupName> ^
--location <location> ^
--sku Standard_LRS
***ストレージ コンテナ [#g1d2a4d1]
-ロールの割り当て~
ストレージ BLOB データ共同作成者ロールを自分に割り当て
>az ad signed-in-user show --query objectId -o tsv | az ...
--role "Storage Blob Data Contributor" ^
--assignee @- ^
--scope "/subscriptions/<subscriptionId>/resourceGroups...
※ 標準入力を指定するには「@-」とする(Bash環境の例は[[コ...
-コンテナの作成~
auth-modeは、作成操作を何をもって承認するか?的な意味。
>az storage container create ^
--account-name <storageAccountsName> ^
--name <containerName> ^
--auth-mode login
***IPアドレス制限 [#efd06333]
-ルールの追加
>az storage account network-rule add ^
--resource-group <resourceGroupName> ^
--account-name <storageAccountsName> ^
--ip-address xxx.xxx.xxx.xxx
-ルールの確認
--CLI
az storage account network-rule list ^
--account-name <storageAccountsName>
--ポータル~
ストレージ・アカウント → ネットワーク~
→ 選択されたネットワーク → ファイアウォール欄
--動作確認~
Azure Storage ExplorerなどでIPアドレス制限を確認する。
※ データ・パープライン系は「West US 2」辺りが良いかも。
**参考 [#xa8abb4e]
-Microsoft Docs
--Azure Storage
---クイックスタート~
・PowerShell を使用して BLOB を作成する~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/st...
・Azure CLI を使用して BLOB を作成する~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/st...
---Azure CLI で BLOB データへのアクセスの承認方法を選択す...
https://docs.microsoft.com/ja-jp/azure/storage/blobs/auth...
--PowerShell > ... > ...
---https://docs.microsoft.com/en-us/powershell/module/az....
---https://docs.microsoft.com/ja-jp/powershell/module/az....
--[[Azure CLI]] > ... > ...
---az storage account~
https://docs.microsoft.com/ja-jp/cli/azure/storage/account
---az storage container~
https://docs.microsoft.com/ja-jp/cli/azure/storage/contai...
--SKU の種類 (Azure Storage)~
https://docs.microsoft.com/ja-jp/rest/api/storagerp/srp_s...
--Azure RBAC のスコープについて~
https://docs.microsoft.com/ja-jp/azure/role-based-access-...
*参考 [#xfa622f2]
-使ったことない人向けのAzure用語 - Qiita~
https://qiita.com/onokatio/items/1cba032329f81ed83f20
-SQL Server と Azure ストレージを組み合わせたデータベース...
https://blog.engineer-memo.com/2018/02/12/sql-server-と-a...
**microsoft.com [#ke499e69]
***Microsoft Azure [#pf41dc98]
-BLOB Storage~
https://azure.microsoft.com/ja-jp/services/storage/blobs/
-Table Storage~
https://azure.microsoft.com/ja-jp/services/storage/tables/
-Queue Storage~
https://azure.microsoft.com/ja-jp/services/storage/queues/
-File Storage~
https://azure.microsoft.com/ja-jp/services/storage/files/
-Azure Storage の価格~
--Azure Storage Blob の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure ページ BLOB Storage の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure Files の料金~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
--Azure Queue Storage の価格~
https://azure.microsoft.com/ja-jp/pricing/details/storage...
***Microsoft Docs [#u1244aaf]
-Azure Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/
--common
---Azure Storage の概要~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---ストレージ アカウントの概要~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---Azure Storage Analytics のログ~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
---Azure Defender for Storage を構成する~
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
--blobs
---Azure Blob Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/
---Blob (オブジェクト) Storage について - Azure Storage~
https://docs.microsoft.com/ja-jp/azure/storage/blobs/stor...
--files
---Azure Files のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/files/
---Azure Files の概要~
https://docs.microsoft.com/ja-jp/azure/storage/files/stor...
--tables~
---Azure Table Storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/tables/
---Table Storage の概要 - Azure のオブジェクト ストレージ~
https://docs.microsoft.com/ja-jp/azure/storage/tables/tab...
--queues~
---Azure Queue storage のドキュメント~
https://docs.microsoft.com/ja-jp/azure/storage/queues/
---Azure Queue Storage の概要 - Azure Storage~
https://docs.microsoft.com/ja-jp/azure/storage/queues/sto...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:ビッグ...
ページ名: