ある企業が Azure ストレージアカウントへのネットワークアクセスを強化したい。特定の Azure 仮想ネットワーク(VNet)サブネットからのみアクセスを許可し、インターネットからの直接アクセスを遮断したいが、ストレージアカウントのパブリック DNS 名(xxx.blob.core.windows.net)を引き続き使用する場合に最も適切な構成はどれか。
- A. ストレージアカウントのファイアウォールで許可する IP アドレス範囲に VNet のアドレス空間を追加する
- B. プライベートエンドポイントを作成して VNet 内のプライベート IP アドレスからアクセスする
- C. ストレージアカウントのファイアウォールで VNet サービスエンドポイントを使用して指定サブネットのみ許可する
- D. VNet ピアリングを設定してストレージアカウントと同じリージョンの VNet を接続する
解答と解説を見る
正解: C
VNet サービスエンドポイントを使用すると、指定したサブネットからのトラフィックのみを許可しながら、パブリック DNS 名(xxx.blob.core.windows.net)を引き続き使用できる。ストレージのファイアウォールで「選択されたネットワーク」を設定し、対象サブネットを追加することでインターネットからの直接アクセスを遮断できる。プライベートエンドポイントは VNet 内にプライベート IP を作成し DNS も上書きされるため、パブリック DNS 名の継続使用という要件を変える可能性がある。IP アドレス範囲の追加はプライベート IP アドレスの指定には使えず(パブリック IP のみ対応)、VNet サブネットからのアクセス制御には適さない。VNet ピアリングはネットワーク接続の設定であり、ストレージのアクセス制御とは別の概念である。
📚 関連サービスの解説: Azure ストレージ アカウント ・ Azure Virtual Network(VNet)