ある開発チームが外部パートナーに対して Azure BLOB ストレージの特定コンテナへの読み取りアクセスを一時的に付与したい。パートナーのアカウントに Azure の権限を与えることなく、72 時間限定でアクセスを許可するセキュアな方法として最も適切なものはどれか。
- A. サービス SAS(Shared Access Signature)トークンを生成してパートナーに共有する
- B. ストレージアカウントのアクセスキーをパートナーに共有する
- C. ストレージアカウントの公開アクセスを一時的に有効にする
- D. ストレージアカウントに対して匿名アクセスを有効にしてコンテナを公開する
解答と解説を見る
正解: A
サービス SAS は特定のリソース(コンテナや BLOB)に対して、指定した権限(読み取り)と有効期限(72 時間)を設定した URI 署名トークンであり、外部パートナーが Azure アカウントを持たなくてもアクセスできる。有効期限後は自動的に無効になる。ストレージアカウントのアクセスキーはアカウント全体への完全な管理権限を持つため、外部パートナーへの共有は重大なセキュリティリスクになる。公開アクセスの有効化はすべてのユーザーに無制限にアクセスを許可するため、一時的な制限付きアクセスの要件を満たさない。匿名アクセスも同様に期限設定ができず、特定パートナーに限定することもできない。