Azure Blob Storage と Go で作業を開始する

[アーティクル]
08/05/2024

この記事では、Go 用 Azure Blob Storage クライアントモジュールを使用して、Azure Blob Storage に接続する方法について説明します。接続されると、コードは、Blob Storage サービスのコンテナー、BLOB、機能を使って動作できます。

API リファレンスのドキュメント | ライブラリのソースコード | パッケージ (pkg.go.dev)

前提条件

Azure サブスクリプション - 無料アカウントを作成する
Azure Storage アカウント - ストレージアカウントの作成
Go 1.18+

プロジェクトの設定

このセクションでは、Go 用 Azure Blob Storage クライアントモジュールを操作するためのプロジェクトの準備について説明します。

GOPATH から、次のコマンドを使用して、azblob モジュールをインストールします。

go get github.com/Azure/azure-sdk-for-go/sdk/storage/azblob

Microsoft Entra ID で認証するには (推奨)、次のコマンドを使用して azidentity モジュールをインストールします。

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

次にコードファイルを開き、必要なインポートパスを追加します。この例では、以下を .go ファイルに追加します。

import (
    "github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

BLOB クライアントモジュールの情報:

azblob: サービス、コンテナー、BLOB を操作するために使用できるメソッドが含まれています。

Blob Storage へのアクセスを承認して接続する

アプリを Blob Storage に接続するには、azblob.NewClient を使用してクライアントオブジェクトを作成します。このオブジェクトは、ストレージアカウントレベルでデータリソースを操作するための開始点となります。それを使って、ストレージアカウントとそのコンテナーを操作できます。

ベストプラクティスを含むクライアントオブジェクトの作成と管理の詳細については、「データリソースを操作するクライアントオブジェクトの作成および管理」を参照してください。

Microsoft Entra 認可トークン (推奨)、アカウントアクセスキー、または Shared Access Signature (SAS) を使用して、クライアントオブジェクトを認可できます。

Microsoft Entra ID を使用して認可するには、セキュリティプリンシパルを使用する必要があります。次の記事では、さまざまな認証シナリオに関するガイダンスを提供しています。

DefaultAzureCredential を使用してアクセスを承認する

Blob Storage へのアクセスを承認して接続する最も簡単で安全な方法は、DefaultAzureCredential インスタンスを作成して OAuth トークンを取得することです。その後、その資格情報を使用して、azblob.NewClient を使用してクライアントオブジェクトを作成できます。

func getServiceClientTokenCredential(accountURL string) *azblob.Client {
    // Create a new service client with token credential
    credential, err := azidentity.NewDefaultAzureCredential(nil)
    handleError(err)

    client, err := azblob.NewClient(accountURL, credential, nil)
    handleError(err)

    return client
}

Shared Access Signature (SAS) トークンを使用するには、アカウントの URL 文字列にトークンを追加し、azblob.NewClientWithNoCredential を使用してクライアントオブジェクトを作成します。

func getServiceClientSAS(accountURL string, sasToken string) *azblob.Client {
    // Create a new service client with an existing SAS token

    // Append the SAS to the account URL with a "?" delimiter
    accountURLWithSAS := fmt.Sprintf("%s?%s", accountURL, sasToken)

    client, err := azblob.NewClientWithNoCredential(accountURLWithSAS, nil)
    handleError(err)

    return client
}

Note

Microsoft では、Shared Access Signature (SAS) を使うシナリオにはユーザー委任 SAS を使うことをお勧めします。ユーザー委任 SAS は、アカウントキーの代わりに Microsoft Entra 資格情報で保護されます。詳細については、「Shared Access Signatures (SAS) でデータの制限付きアクセスを付与する」を参照してください。

Shared Access Signature キーを使用するには、キーを文字列として指定し、azblob.NewClientWithSharedKeyCredential を使用してクライアントオブジェクトを初期化します。

func getServiceClientSharedKey(accountName string, accountKey string) *azblob.Client {
    // Create a new service client with shared key credential
    credential, err := azblob.NewSharedKeyCredential(accountName, accountKey)
    handleError(err)

    accountURL := fmt.Sprintf("https://%s.blob.core.windows.net", accountName)

    client, err := azblob.NewClientWithSharedKeyCredential(accountURL, credential, nil)
    handleError(err)

    return client
}

また、接続文字列を使用してクライアントオブジェクトを作成することもできます。

func getServiceClientConnectionString(connectionString string) *azblob.Client {
    // Create a new service client with connection string
    client, err := azblob.NewClientFromConnectionString(connectionString, nil)
    handleError(err)

    return client
}

アカウントキーの取得方法と、キーを適切に管理して保護するためのベストプラクティスガイドラインについては、「ストレージアカウントアクセスキーを管理する」をご覧ください。

重要

アカウントアクセスキーは慎重に使用する必要があります。アカウントアクセスキーを紛失した場合、または誤ってセキュリティで保護されていない場所に置いた場合には、サービスが脆弱になる可能性があります。アクセスキーを持つすべてのユーザーは、ストレージアカウントに対する要求を承認でき、実質的にすべてのデータにアクセスできます。 DefaultAzureCredential はセキュリティ機能と利点が強化されており、Azure サービスに対する認可を管理するために推奨されるアプローチです。

アプリの構築

Azure Blob Storage のデータリソースを操作するアプリを構築する際、コードでは主に、ストレージアカウント、コンテナー、BLOB という 3 つのリソースの種類と対話します。これらのリソースの種類、リソースの相互関係、およびアプリがリソースと対話する方法について詳しくは、「アプリが Blob Storage データリソースと対話する方法を理解する」を参照してください。

以下のガイドでは、Go 用の Azure Blob Storage クライアントモジュールを使って、データにアクセスし、特定のアクションを実行する方法について説明します。

ガイド	説明
再試行ポリシーを構成する	クライアント操作の再試行ポリシーを実装します。
BLOB をコピーする	ある場所から別の場所に BLOB をコピーします。
コンテナーの作成	コンテナーを作成します。
BLOB の削除と復元	BLOB を削除し、論理的な削除が有効になっている場合は、削除された BLOB を復元します。
コンテナーを削除して復元する	コンテナーを削除し、論理的な削除が有効になっている場合は、削除されたコンテナーを復元します。
BLOB をダウンロードする	文字列、ストリーム、ファイルパスを使って BLOB をダウンロードします。
タグを使って BLOB を検索する	タグの設定と取得を行い、タグを使って BLOB を検索します。
BLOB をリストする	さまざまな方法で BLOB の一覧を表示します。
コンテナーをリストする	アカウントのコンテナーの一覧を表示し、さまざまなオプションを使って一覧をカスタマイズします。
プロパティとメタデータの管理 (BLOB)	コンテナーのプロパティとメタデータを管理します。
プロパティとメタデータの管理 (コンテナー)	コンテナーのプロパティとメタデータを管理します。
BLOB をアップロードする	文字列、ストリーム、ファイルパス、その他の方法を使って BLOB をアップロードする方法について説明します。

Note

このガイドのコードサンプルは、Azure Blob Storage と Go の使用を開始するのに役立つことを目的としています。エラー処理と Context の値は、アプリケーションのニーズに合わせて変更する必要があります。

次の方法で共有