既定では、ストレージ アカウントは、任意のネットワーク上のクライアントからの接続を受け入れます。 選択したネットワークへのアクセスを制限したり、すべてのネットワークからのトラフィックを防止したり、 プライベート エンドポイント経由でのみアクセスを許可したりできます。
既定のパブリック ネットワーク アクセス規則を設定する
セキュリティで保護するストレージ アカウントに移動します。
サービス メニューの [セキュリティとネットワーク] で [ネットワーク] を選択します。
ストレージ アカウントのパブリック エンドポイントを介して有効になっているネットワーク アクセスを選択します。
すべてのネットワークからのトラフィックを許可するには、[ すべてのネットワークから有効] を選択します。
特定の仮想ネットワーク、IP アドレス範囲、または特定の Azure リソースからのトラフィックのみを許可するには、 選択した仮想ネットワークと IP アドレスから [有効] を選択します。 仮想ネットワーク、IP アドレス範囲、またはリソース インスタンスを追加するように求められます。
すべてのネットワークからのトラフィックをブロックするには、[ 無効] を選択します。
[保存] を選択して変更を保存します。
Azure PowerShell をインストールして Azure にサインインします。
許可するパブリック ネットワーク アクセスの種類を選択します。
すべてのネットワークからのトラフィックを許可するには、Update-AzStorageAccountNetworkRuleSet コマンドを使用し、-DefaultAction パラメーターを Allow に設定します。
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
特定の仮想ネットワークからのトラフィックのみを許可するには、Update-AzStorageAccountNetworkRuleSet コマンドを使用し、-DefaultAction パラメーターを Deny に設定します。
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Von Bedeutung
-DefaultAction パラメーターを Deny に設定しない限り、ネットワーク ルールは無効です。 ただし、この設定を変更すると、アプリケーションが Azure Storage に接続する機能に影響を及ぼす可能性があります。 この設定を変更する前に、許可されたネットワークへのアクセスを許可するか、プライベート エンドポイントを使用してアクセスを設定するようにしてください。
すべてのネットワークからのトラフィックをブロックするには、Set-AzStorageAccount コマンドを使用し、-PublicNetworkAccess パラメーターを Disabled に設定します。 トラフィックは、プライベート エンドポイント経由でのみ許可されます。 そのプライベート エンドポイントを作成する必要があります。
Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
Azure CLI をインストールしてサインインします。
許可するパブリック ネットワーク アクセスの種類を選択します。
すべてのネットワークからのトラフィックを許可するには、az storage account update コマンドを使用し、--default-action パラメーターを Allow に設定します。
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
特定の仮想ネットワークからのトラフィックのみを許可するには、az storage account update コマンドを使用し、--default-action パラメーターを Deny に設定します。
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Von Bedeutung
--default-action パラメーターを Deny に設定しない限り、ネットワーク ルールは無効です。 ただし、この設定を変更すると、アプリケーションが Azure Storage に接続する機能に影響を及ぼす可能性があります。 この設定を変更する前に、許可されたネットワークへのアクセスを許可するか、プライベート エンドポイントを使用してアクセスを設定するようにしてください。
すべてのネットワークからのトラフィックをブロックするには、az storage account update コマンドを使用し、--public-network-access パラメーターを Disabled に設定します。 トラフィックは、プライベート エンドポイント経由でのみ許可されます。 そのプライベート エンドポイントを作成する必要があります。
az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
注
ストレージ サービスへのアクセスを制限するファイアウォール設定は、アクセスを許可する設定を保存した後、最大 1 分間有効です。
次のステップ