はじめに
Azure Storage は BLOB などに対して Azure AD を使用したアクセス許可が構成可能です。
こちらの場合、条件付きアクセスは効くのか?を検証しました。
設定
ストレージ アカウントに対して user01 に閲覧者とストレージ BLOB データ共同作成者のロールを付与します。この場合、共有キーの閲覧は不可なので、Azure AD でのロールに基づいたアクセス許可になります。
Azure Storage に対してブロックの条件付きアクセスを設定します。
動作確認
Azure Storage Explorer からアクセスしてみます。
ブロックされ、理由も表示されました。想定通り動作しています。
ちなみに除外しているユーザーであればアクセスできます。
次に Azure ポータルから確認します。こちらはコンテナーのページを表示した時点でエラーが出ます。
Storage Browser の場合はコンテナーの表示まではできますが、
コンテナーをクリックするとエラーが出ます。こちらも想定通りの動作かと思います。
まとめ
Azure AD によるアクセス許可の場合は条件付きアクセスが有効となることが確認できました。今回試していませんが、おそらくサービス プリンシパルやマネージド ID でも同じことができるのではないかと考えています。
Discussion