Japan Azure PaaS Support Team

2023 年 5 月頃に送付された Azure Storage のセキュリティ設定の変更に関する通知(_LVK-RT8)について

2 minute read

質問

“Important notice: Default security settings for new Azure Storage accounts will be updated” (_LVK-RT8)
というタイトルの通知が来ました。

  • この通知の内容はなんですか?
  • 既存のストレージアカウントも影響を受けますか?
  • 何か対応をする必要がありますか?

回答

最もお問い合わせを頂いている内容から記載させて頂きます。

<概要>

  • 2023 年 8 月以降、新規に作成するストレージに関して、
    「(アカウントレベルの)パブリックアクセスを許可する」「クロステナントレプリケーションを許可する」 という設定の初期値が変更されるという内容です。

  • 既存のストレージアカウントの設定は変更されません。
    また、変更ができなくなるということではございません。
    これまで初期値が “有効” として作成されていた項目が、新規に作られるストレージアカウントでは “無効” で作成されるようになる、というだけであり、
    必要に応じて変更頂くことが可能です。

  • 上述の通り、既存のストレージアカウントには影響がないことから、ほとんどのユーザーにおいて 特に何か対応する必要がない ものと判断しています。
    2023 年 8 月以降、新規にストレージアカウントを作成された際は、
    「アカウントレベルの匿名パブリックアクセス」と 「クロステナントレプリケーションを許可する」を有効として利用されたい場合、
    設定を変更する必要がある点だけご注意下さい。

<詳細>

今回の通知は Azure Storage をご利用しているユーザーにお送りしています。

Blobパブリックアクセスについて

まず、ストレージアカウントには “Blob パブリックアクセスを許可する” という設定がございます。
これはストレージ内の Blob ファイルの、匿名アクセス(認証を利用せずアクセスすること)に関係する設定です。
より詳細は下記の資料をご確認下さい。

コンテナーと BLOB の匿名パブリック読み取りアクセスを構成する
https://learn.microsoft.com/ja-jp/azure/storage/blobs/anonymous-read-access-configure?tabs=portal

これまでは、この設定について、初期値が “有効” となっておりましたが、
2023 年 8 月より、新規に作成されるストレージアカウントに対して、この設定の初期値を “無効” に変更します。
既存のストレージアカウントの設定は変更されません。

現状の設定は Azure Portal から簡単にご確認頂けます。
ストレージアカウントの管理画面から “構成” を開いて、”BLOB パブリックアクセスを許可する” を確認してください。

image-df1dff38-ce80-4081-ae2c-e846e9f17c51.png

コマンドから確認する場合は、 Get-AzStorageAccount 等を利用して、 AllowBlobPublicAccess を確認します。
詳細は下記の資料をご確認下さい。

Get-AzStorageAccount
https://learn.microsoft.com/ja-jp/powershell/module/az.storage/Get-azStorageAccount?view=azps-8.3.0

クロステナントレプリケーションについて

また、クロステナントレプリケーションという設定がございます。
オブジェクトレプリケーションという機能があり、これを別の Azure AD テナント上のストレージと実施するための設定です。
より詳細は下記の資料をご確認下さい。

Azure Active Directory テナント間でのオブジェクト レプリケーションを禁止する
https://learn.microsoft.com/ja-JP/azure/storage/blobs/object-replication-prevent-cross-tenant-policies?tabs=portal

これまでは、この設定について、初期値が “有効” となっておりましたが、
2023 年 8 月より、新規に作成されるストレージアカウントに対して、この設定の初期値を “無効” に変更します。
既存のストレージアカウントの設定は変更されません。
現状の設定は Azure Portal から簡単にご確認頂けます。

ストレージアカウントの管理画面より、”オブジェクトレプリケーション” を開いて、上部の “詳細設定” を確認してください。

image-cd02a7a1-0bd1-4891-852b-1eb71d0863ac.png

コマンドから確認する場合は、Get-AzStorageAccount 等を利用して、AllowCrossTenantReplication を確認します。
詳細は下記の資料をご確認下さい。

Get-AzStorageAccount
https://learn.microsoft.com/ja-jp/powershell/module/az.storage/Get-azStorageAccount?view=azps-8.3.0

<補足>

通知の中に “EnableAnonymousAccessForNewStorageAccounts” という機能について紹介がございます。
サブスクリプション レベルで「EnableAnonymousAccessForNewStorageAccounts」を登録すれば、
現状と同じく初期値が “有効” の状態で作成されます。

Azure Portal よりサブスクリプションの管理画面を開いて、
プレビュー機能 ⇒ EnableAnonymousAccessForNewStorageAccounts を検索
と実施頂くことで登録可能です。

image-79e30737-9910-4f2d-8dca-a3eef2037ab7.png

参考ドキュメント





2023 年 5 月 19 日時点の内容となります。
本記事の内容は予告なく変更される場合がございますので予めご了承ください。



タグ:

更新日時:

関連記事

Azure Cache for Redis の最小 TLS バージョンの確認、変更方法

11 minute read

はじめに トランスポート層セキュリティ (TLS) バージョン 1.2 以降の排他的使用に向けた業界全体の推進活動に対応するために、Azure Cache for Redis は、2025 年 3 月に TLS 1.2 の使用を求める方向に進んでいます。 TLS バージョン 1.0 と 1.1 は、BEAST...