ある動画配信サービスが、プレミアム会員向けにしか公開しない高解像度動画ファイルを Azure Blob Storage に格納している。動画ファイルを会員にだけ一時的にアクセス可能にしながら、ストレージアカウントへのフルアクセスは付与したくない。最も適切なアクセス制御の方法はどれか。
- A. Shared Access Signature(SAS)トークンを生成し、有効期限付きの限定 URL を会員にのみ発行する
- B. Azure Active Directory のマネージド ID を会員のブラウザに設定してアクセスを制御する
- C. ストレージアカウントの接続文字列を会員に共有して認証させる
- D. コンテナのアクセスレベルを「パブリック(BLOB)」に設定して全員がアクセスできるようにする
解答と解説を見る
正解: A
Shared Access Signature(SAS)は、特定の Blob またはコンテナへの限定的なアクセス(読み取り・書き込みなどの操作を選択可能)を有効期限付きで付与できる署名付き URL である。ストレージアカウントのキーや接続文字列を共有せず、必要な権限・期間のみを精細に制御できる。選択肢 C のストレージアカウント接続文字列の共有は、ストレージアカウント全体への管理者レベルのアクセスを付与してしまい、絶対に行ってはならない。選択肢 D のパブリックアクセスは会員以外にも動画が公開されてしまい要件を満たさない。選択肢 B のマネージド ID は Azure リソース(VM・Azure Functions など)に対してストレージアクセスを付与するための機能であり、一般エンドユーザーのブラウザに設定するものではない。