Azure VM からストレージ アカウントへアクセスする際の挙動

Arika Okubo

こんにちは、Azure サポートチームの小久保です。

今回は、Azure VM からストレージ アカウントへアクセスする際の挙動ついてご案内します。

本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

VM からストレージ アカウントへアクセスを行う場合、両者のリージョンが異なる場合と、同じ場合ではアクセス元の IP アドレスが異なる点に、ご注意ください。

補足 : 検証結果


※1 ストレージ アカウントの診断ログは、BLOB コンテナーの $logs 配下に格納されます。

※2 ストレージ アカウントの診断ログ フォーマット

[参考]

Storage Analytics Log Format

https://docs.microsoft.com/ja-jp/rest/api/storageservices/Storage-Analytics-Log-Format?redirectedfrom=MSDN

まとめ


上記の仕組みにより、SAS (Shared Access Signatures) を使用して、ストレージ アカウントへのアクセスを制限する場合には注意が必要です。

現時点の SAS の機能では、Azure VM とストレージ アカウントが同一リージョンに存在する構成において、当該 VM からのアクセスのみを許可するといった制御が非常に難しく、以下の回避策をご検討ください。

[参考]

Azure Storage ファイアウォールおよび仮想ネットワークの構成 (プレビュー)

https://docs.microsoft.com/ja-jp/azure/storage/common/storage-network-security/