ある企業が Azure ストレージアカウントの RBAC データプレーンロールを設計している。Azure のストレージに関する組み込みロールの説明として正しいものを 2 つ選択してください。
- A. ストレージアカウント共同作成者(Storage Account Contributor)ロールはストレージアカウントの管理操作(ARM レベル)を行えるが、BLOB データの読み書きはできない
- B. 所有者(Owner)ロールはリソースの管理権限のみを持ち、BLOB データプレーンへのアクセスは別途データロールが必要である
- C. ストレージ BLOB データ所有者(Storage Blob Data Owner)ロールを持つユーザーはアカウントキーを取得して任意のデータにアクセスできる
- D. ストレージ BLOB データ共同作成者(Storage Blob Data Contributor)ロールは BLOB の読み取り・書き込み・削除が可能だが、コンテナ自体の作成・削除はできない
- E. ストレージ BLOB データ閲覧者(Storage Blob Data Reader)ロールは BLOB の読み取りとダウンロードのみを許可し、コンテナの一覧表示はできない
解答と解説を見る
正解: A, B
ストレージアカウント共同作成者ロールは Azure Resource Manager(ARM)レベルのストレージ管理操作(アカウントの設定変更、キーの再生成など)を行えるが、BLOB や Files のデータプレーン(実際のデータの読み書き)へのアクセスは含まれない。RBAC のコントロールプレーンとデータプレーンは分離されており、データアクセスには別途データプレーンロール(Storage Blob Data Contributor など)が必要である。同様に、サブスクリプションレベルの Owner ロールも ARM 操作権限のみを持ち、データプレーンへのアクセスには Storage Blob Data Owner などのデータロールが必要である。選択肢 E は誤りで、Storage Blob Data Reader はコンテナの一覧表示も含む。選択肢 C は誤りで、データロールはデータプレーンへのアクセスを提供するものでアカウントキーの取得とは別の機能である。選択肢 D は誤りで、Storage Blob Data Contributor はコンテナの作成・削除も可能である(Microsoft ドキュメントにより確認できる)。
📚 関連サービスの解説: Azure ストレージ アカウント ・ Azure Blob Storage