プライベートエンドポイントでストレージアカウントにアクセスする

ストレージアカウントのコンテナーに、ファイルを置くのはいいのですが、既定ではパブリックアクセスが有効となっています。

そのため、Azureポータルにログインできてしまえば、誰でも閲覧可能になります。

これをパブリックアクセスを無効にし、特定の仮想マシンからのみ閲覧できるようにしたいと思います。所謂セキュリティ向上の設定です。

簡単な図ですが、以下の様な設計です。プライベートエンドポイント接続を使用します。

まずは、ストレージアカウントのネットワーク設定からパブリックネットワークアクセスを無効にします。

もう、これだけでポータルからストレージアカウントのデータを確認できなくなりました。

次に、プライベートエンドポイント接続を追加します。画像では、既に設定されていますが参考までに。

すでに設定済みのプライベートエンドポイント接続です。プライベートエンドポイント接続用のネットワークインターフェイスを作り、仮想マシンが使用中のIPアドレスとストレージアカウントのFQDNを結びつけます。

さて、実際に作成画面ですが、基本は適当名前で良いです。対象サブリソースは、コンテナーの中を見たいのであれば「blob」を選択します。

仮想ネットワークは、仮想マシンが使用している仮想ネットワークを選んでください。IPアドレスも動的で良いでしょう。

プライベートDNSゾーンと統合するようにしてください。アクセスできなくなります。

プライベートエンドポイント接続と紐づいた仮想マシンから、ポータルで確認することができるようになりました。