ストレージセキュリティ
●サービスエンドポイント
設定すると、インターネットからのアクセスをブロックし、指定した仮想ネットワークからのアクセスのみを許可する様に構成できる。
例えば、そのストレージサービスを外部からインターネットを経由せず、同じリージョン内の仮想マシンからアクセスして使用する場合に役立つ。
●Shared Access Signature(SAS)
ストレージサービスのリソースに対して制限月のアクセス権を付与できる機能。使用できるサービス種類や許可する操作、アクセス可能な日時などを指定した上で、アクセスするための接続文字列を生成することができる。
SASを設定すると、設定時に指定したサービスの種類やそれらに対して許可する操作などのパラメータから、SASトークンと呼ばれる情報が生成される。さらに、ストレージリソースの所在及びエンドポイント情報であるリソースURIとSASトークンを組み合わせたSAS URL(SAS URI)も生成される。
■サービスSASの設定
サービスSASでは、Blob、キュー、テーブル、ファイルサービスのいずれか1つのストレージサービスへのリソースアクセス権限を付与できる。
●Storage Service Encryption(SSE)
ストレージサービスで使用されるストレージそのものを暗号化する機能。
ストレージサービスに保存されるデータは、この機能によって暗号化された状態でAzureのデータセンター内に保持され、データが取得されるときに暗号化が解除される。
■SSEで使用される暗号化キー
既定では、ストレージアカウント内のデータは、Microsoftマネージドキーで暗号化される。ユーザーは設定の変更も鍵の管理も不要。
ただ、必要に応じてMicrosoftマネージドキーではなく、独自のキーであるカスタマーマネージドキーで暗号化を管理することもできる。
●カスタマーマネージドキーを使用するための設定変更
使用する場合は、ストレージアカウントの管理画面で暗号化のメニューをクリックし、暗号化の種類をカスタマーマネージドキーに変更して使用するキーの作成や選択を行う。なお、
使用するキーはAzure Key Vaultというサービスのキーコンテナーに格納して管理する。