Azure Storage Accountへのアクセス制御に必要なロールは何ですか?

1.ストレージ BLOB データ閲覧者、ストレージ BLOB データ共同作成者などのデータ アクセス ロール

2.閲覧者 ロール

 

の2つです。

ポイントは、リソースをリスト(表示)する為の「閲覧者」ロールと、「データアクセス」に必要なロールの2つが必要なことだと思います。これはStorage Accountのみで意識する必要があることです。

具体的なアクセス制御(IAM)設定の画面は以下のようになります。同じユーザに2つのロールを割り当てています。下記の設定により、Storage Accountのデータが閲覧可能となります。

「閲覧者」ロールが付与されていないと、該当ユーザがAzure Portal上からアクセス制御対象のストレージアカウントを表示できない(リソースとしてリストすることができない)ということになります。
「ストレージBLOBデータ閲覧者」のみのロールを割り当てた場合、以下のようにAzure Portal上で、表示できません。

一報、「閲覧者」のみを割り当てた場合でも、コンテナ内のデータにアクセスしようとした際に、以下のようにエラーとなります。以下エラーは、Storage Accountのデータに対するアクセス件が不足している場合に表示されます。

Storage Account については1つのロールだけでアクセス制御ができない為、少し注意が必要だと思います。なお、本件については、下記URLに記載があります。
BLOB データにアクセスするための Azure ロールを割り当てる

Azure portal で Azure AD の資格情報を使用して BLOB データにアクセスするには、ユーザーに次のロールが割り当てられている必要があります。

・ストレージ BLOB データ閲覧者、ストレージ BLOB データ共同作成者などのデータ アクセス ロール
・少なくとも Azure Resource Manager 閲覧者ロール
これらのロールをユーザーに割り当てる方法については、「Azure portal を使用して Azure ロールを割り当てる」に記載されている手順に従ってください。


閲覧者ロールは Azure Resource Manager のロールであり、ユーザーにストレージ アカウントのリソースの表示を許可しますが、変更は許可しません。
これは Azure Storage 内のデータに読み取りアクセス許可を提供しませんが、アカウント管理リソースに対してのみです。
ユーザーが Azure portal 内の BLOB コンテナーに移動できるようにするには、閲覧者ロールが必要です。

以下FAQについてもご参照ください。
Azure Blob Storageのコンテナーごとにアクセス制御を実施することはできますか?

Azure のストレージアカウントに保存したファイルをAzure Portalで閲覧することができない

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください