ストレージアカウント 2

・ストレージアカウントのセキュリティ

大きく３つ
1、ネットワークによる制御
IP or VNETによる制御

２、アクセスレベルによる制御
Publicとprivate接続

３、認証
キーベース認証とAAD認証

ネットワークレベルの制御はファイヤーウォールが基本、
閉域化の場合はプライベートエンドポイント
評価の順序はネットワーク→アクセスレベルor認証

アクセスレベルはパブリックとプライベートがある
パブリックはソーリーページ等Webサーバの代替も可能、セミナーでの資料配布もOK
また、コンテナレベルで許可するかBlobレベルでの許可を選べる

認証は共有キー（アクセスキー/SAS） or Azure ADによる制御が可能
※MSとしてはAzure AD認証を推奨している

アカウントのアクセス キーを管理する - Azure Storage

ストレージ アカウントのアクセスキーを表示、管理、およびローテーションする方法について説明します。

learn.microsoft.com

ストレージアカウントのアクセスを許可する　これの無効を推奨

共有キーによる承認の防止 - Azure Storage

Microsoft Entra ID を使用してクライアントに要求の認証を要求するには、共有キーで認証されたストレージ アカウントへの要求を許可しないようにします。

learn.microsoft.com

共有キーによる承認の防止 - Azure Storage

Microsoft Entra ID を使用してクライアントに要求の認証を要求するには、共有キーで認証されたストレージ アカウントへの要求を許可しないようにします。

learn.microsoft.com

AzureADによる制御はストレージアカウントというAzureリソースに対する権限と
Blobに対する権限の2種類あることおさえる
※ストレージアカウントにアクセスできる権限があってもBlobデータにアクセスできる権限がない場合データ参照はできない

■データ冗長性
まずは以下の３つをおさえる

・LRS　Locally redundant storage

・ZRS   Zone redundant storage

・GRS   Geo redundant storage

そして、セカンダリリージョンのデータを使いたい場合は
RA-GRS  Read access-GRSが可能（サポートに依頼する必要あり）

データの冗長性 - Azure Storage

Azure Storage でのデータ冗長性について説明します。 Microsoft Azure Storage アカウント内のデータは、持続性と高可用性を保証するため、レプリケートされます。

learn.microsoft.com

GZRS 　Geo zone redundant storage

データの冗長性 - Azure Storage

Azure Storage でのデータ冗長性について説明します。 Microsoft Azure Storage アカウント内のデータは、持続性と高可用性を保証するため、レプリケートされます。

learn.microsoft.com

冗長化の変更の制約

LRS→GRS/RA-GRSの変更はポータルから可能、逆も可能
LRS→ZRS/GZRS/RA-GZRSは、サポート依頼で変更可能（オンライン）
ZRS→LRSはサポートされていない（LRSで新規作成し手動でデータコピー）

ストレージ アカウントがレプリケートされる方法を変更する - Azure Storage

既存ストレージ アカウントのデータがレプリケートされる方法を変更する方法について説明します。

learn.microsoft.com

以前触れたがすべてのストレージでこの冗長が利用できるわけではないので注意

ストレージ アカウントがレプリケートされる方法を変更する - Azure Storage

既存ストレージ アカウントのデータがレプリケートされる方法を変更する方法について説明します。

learn.microsoft.com