Azure Storage アカウントを作成する

Azure ストレージ アカウントには、すべての Azure Storage データ オブジェクト (BLOB、ファイル、キュー、テーブル) が含まれます。 ストレージ アカウントでは、世界中のどこからでも HTTP または HTTPS 経由でアクセスできる Azure Storage データ用の一意の名前空間が提供されます。 Azure ストレージ アカウントの詳細については、「ストレージ アカウントの概要」を参照してください。 Azure Files 専用のストレージ アカウントを作成するには、SMB ファイル共有を作成するを参照してください。

このハウツー記事では、Azure portalAzure PowerShellAzure CLI、または Azure Resource Manager テンプレートを使ってストレージ アカウントを作成する方法を説明します。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

ありません。

次に、Azure にサインインします。

Azure portal にサインインします。

ストレージ アカウントの作成

ストレージ アカウントは、Azure Resource Manager のリソースです。 Resource Manager は、Azure のデプロイおよび管理サービスです。 詳細については、「Azure Resource Manager の概要」を参照してください。

Azure ストレージ アカウントなど、すべての Resource Manager リソースは、Azure リソース グループに属している必要があります。 リソース グループは、Azure サービスをグループ化するための論理コンテナーです。 ストレージ アカウントを作成するときに、新しいリソース グループを作成するか、既存のリソース グループを使用するかを選択できます。 このハウツーでは、新しいリソース グループを作成する方法を示します。

ストレージ アカウントの種類のパラメーター

PowerShell、Azure CLI、Bicep、Azure テンプレート、または Azure Developer CLI を使用してストレージ アカウントを作成する場合、ストレージ アカウントの種類は kind パラメーター (例: StorageV2) で指定されます。 パフォーマンスレベルと冗長構成は、sku パラメーターまたは SkuName パラメーター (例: Standard_GRS) で一緒に指定されます。 次の表は、必要な冗長構成で特定の種類のストレージ アカウントを作成するために、kind パラメーターと sku パラメーターまたは SkuName パラメーターに使用する値を示したものです。

ストレージ アカウントの種類 サポートされている冗長構成 kind パラメーターでサポートされる値 sku パラメーターまたは SkuName パラメーターでサポートされる値 階層型名前空間のサポート
Standard 汎用 v2 LRS、GRS、RA-GRS、ZRS、GZRS、RA-GZRS StorageV2 Standard_LRS、Standard_GRS、Standard_RAGRS、Standard_ZRS、Standard_GZRS、Standard_RAGZRS はい
Premium ブロック BLOB LRS、ZRS BlockBlobStorage Premium_LRS、Premium_ZRS はい
Premium ファイル共有 LRS、ZRS FileStorage Premium_LRS、Premium_ZRS いいえ
Premium ページ BLOB LRS StorageV2 Premium_LRS いいえ
レガシ Standard 汎用 v1 LRS、GRS、RA-GRS ストレージ Standard_LRS、Standard_GRS、Standard_RAGRS いいえ
レガシ BLOB ストレージ LRS、GRS、RA-GRS BlobStorage Standard_LRS、Standard_GRS、Standard_RAGRS いいえ

Azure portal を使用して Azure ストレージ アカウントを作成するには、以下の手順のようにします。

  1. 左側のポータル メニューで [ストレージ アカウント] を選択して、ストレージ アカウントの一覧を表示します。 ポータル メニューが表示されない場合は、メニュー ボタンを選択してオンに切り替えます。

    ブラウザーの左上隅近くにあるメニュー ボタンの位置を示す Azure portal のホームページの画像。

  2. [ストレージ アカウント] ページで、 [作成] を選択します。

    Azure portal の [ストレージ アカウント] ページにある作成ボタンの位置を示す画像。

新しいストレージ アカウントのオプションは、 [ストレージ アカウントを作成する] ページのタブにまとめられています。 次のセクションでは、各タブとそのオプションについて説明します。

[基本] タブ

[基本] タブでは、ストレージ アカウントに関する必須の情報を入力します。 [基本] タブの設定が済んだら、他のタブのオプションを設定して新しいストレージ アカウントをさらにカスタマイズするか、 [確認および作成] を選択して既定のオプションをそのまま使用し、アカウントの検証と作成を続けることができます。

次の表では [基本] タブのフィールドについて説明します。

Section フィールド 必須または省略可能 説明
プロジェクトの詳細 サブスクリプション 必須 新しいストレージ アカウントのサブスクリプションを選択します。
プロジェクトの詳細 Resource group 必須 このストレージ アカウント用に新しいリソース グループを作成するか、既存のものを選択します。 詳細については、「リソース グループ」を参照してください。
インスタンスの詳細 ストレージ アカウント名 必須 ストレージ アカウント用に一意の名前を選択します。 ストレージ アカウント名の長さは 3 ~ 24 文字で、数字と小文字のみを使用できます。
インスタンスの詳細 リージョン 必須 ストレージ アカウントの適切なリージョンを選択します。 詳細については、「Azure のリージョンと Availability Zones」をご覧ください。

ストレージ アカウントまたは冗長構成の種類によっては、サポートされていないリージョンがあります。 詳細については、「Azure Storage の冗長性」を参照してください。

リージョンの選択は、課金に影響を与える可能性があります。 詳細については、「ストレージ アカウントの課金」を参照してください。
インスタンスの詳細 パフォーマンス 必須 汎用 v2 ストレージ アカウント (既定) の場合は、 [Standard] パフォーマンスを選択します。 Microsoft は、ほとんどのシナリオにこのアカウントの種類をお勧めします。 詳細については、「ストレージ アカウントの種類」を参照してください。

待機時間を短くする必要があるシナリオの場合は、 [Premium] を選択します。 [Premium] を選択した後、作成する Premium ストレージ アカウントの種類を選択します。 次の種類の Premium ストレージ アカウントを使用できます。
インスタンスの詳細 冗長性 必須 目的の冗長構成を選択します。 すべてのリージョンのすべてのストレージ アカウントの種類で、すべての冗長オプションを使用できるわけではありません。 冗長構成の詳細については、「Azure Storage の冗長性」を参照してください。

Geo 冗長構成 (GRS または GZRS) を選択した場合、データは別のリージョンのデータ センターにレプリケートされます。 セカンダリ リージョンのデータへの読み取りアクセスを行う場合は、 [Make read access to data available in the event of regional unavailability](リージョンが使用できない場合に使用できるデータに読み取りアクセスを行う) をオンにします。

次の図は、新しいストレージ アカウントの基本的なプロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [基本] タブ。

[詳細設定] タブ

[詳細設定] タブでは、新しいストレージ アカウントの追加のオプションを構成し、既定の設定を変更することができます。 これらのオプションの一部は、ストレージ アカウントの作成後にも構成できますが、それ以外は作成時に構成する必要があります。

次の表では、 [詳細設定] タブのフィールドを説明します。

Section フィールド 必須または省略可能 説明
セキュリティ REST API 操作の安全な転送を必須にする 省略可能 セキュリティで保護された転送を必須にして、このストレージ アカウントへの受信要求は HTTPS を介してのみ行われるようにします (既定)。 最善のセキュリティのためにお勧めします。 詳細については、「セキュリティで保護された接続を確保するために安全な転送を要求する」を参照してください。
Security 個々のコンテナーでの匿名アクセスの有効化を許可する オプション この設定を有効にすると、適切なアクセス許可を持つユーザーは、ストレージ アカウント内のコンテナーへの匿名アクセスを有効にすることができます (既定)。 この設定を無効にすると、ストレージ アカウントへのすべての匿名アクセスが禁止されます。 セキュリティを最適化するために、この設定を無効にすることをお勧めします。

詳細については、「コンテナーと BLOB への匿名読み取りアクセスを防止する」を参照してください。

匿名アクセスを有効にしても、ユーザーがコンテナーの匿名アクセス設定を明示的に構成する追加の手順を実行しない限り、BLOB データを匿名アクセスで使用することはできません。
Security ストレージ アカウント キーへのアクセスを有効にする オプション この設定を有効にすると、クライアントは、アカウント アクセス キーまたは Microsoft Entra アカウントのいずれかを使用して、ストレージ アカウントへの要求を承認できます (既定)。 この設定を無効にすると、アカウント アクセス キーによる承認はできなくなります。 詳細については、Azure ストレージ アカウントの共有キーによる認可の禁止に関するページを参照してください。
Security Azure portal での既定の Microsoft Entra 承認 オプション 有効にすると、Azure portal では既定でユーザーの Microsoft Entra 資格情報を使用したデータ操作が承認されます。 データ操作を実行するための適切なアクセス許可が Azure ロールベースのアクセス制御 (Azure RBAC) を介してユーザーに割り当てられていない場合、ポータルでは代わりにデータ アクセス用にアカウント アクセス キーを使用します。 ユーザーは、アカウント アクセス キーの使用に切り替えることもできます。 詳細については、「Azure portal で Microsoft Entra 認可に既定で設定する」を参照してください。
Security TLS の最小バージョン 必須 ストレージ アカウントへの受信要求に対するトランスポート層セキュリティ (TLS) の最小バージョンを選択します。 既定値は TLS バージョン 1.2 です。 既定値に設定すると、TLS 1.0 または TLS 1.1 を使用して行われた受信要求は拒否されます。 詳細については、「ストレージ アカウントへの要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) を適用する」を参照してください。
セキュリティ コピー操作の許可されるスコープ (プレビュー) 必須 新しいアカウントにデータをコピーできるストレージ アカウントのスコープを選びます。 既定値は From any storage account です。 既定値に設定すると、適切なアクセス許可を持つユーザーは、任意のストレージ アカウントから新しいアカウントにデータをコピーできます。

同じ Microsoft Entra テナント内のストレージ アカウントからのコピー操作のみを許可するには、From storage accounts in the same Azure AD tenant を選びます。
同じ仮想ネットワーク上にプライベート エンドポイントを持つストレージ アカウントからのコピー操作のみを許可するには、From storage accounts that have a private endpoint to the same virtual network を選びます。

詳しくは、「コピー操作のソースをストレージ アカウントに制限する」をご覧ください。
Data Lake Storage 階層型名前空間を有効にする 省略可能 このストレージ アカウントを Azure Data Lake Storage ワークロードに使用するために、階層型名前空間を構成します。 詳細については、「Azure Data Lake Storage の概要」を参照してください。
Blob Storage SFTP を有効にする オプション セキュア ファイル転送プロトコル (SFTP) の使用を有効にして、インターネット経由で安全にデータを転送します。 詳細については、「Azure Blob Storage でのセキュア ファイル転送 (SFTP) プロトコルのサポート」を参照してください。
BLOB ストレージ ネットワーク ファイル システム (NFS) v3 を有効にする 省略可能 NFS v3 により、オブジェクト ストレージのスケールで Linux ファイル システムの互換性が得られます。また、Linux クライアントは、Azure 仮想マシン (VM) またはオンプレミスのコンピューターから Blob Storage にコンテナーをマウントできます。 詳細については、「Azure Blob Storage でのネットワーク ファイル システム (NFS) 3.0 プロトコルのサポート」を参照してください。
BLOB ストレージ クロステナント レプリケーションを許可する 必須 既定では、適切なアクセス許可を持つユーザーは、Microsoft Entra テナント間のオブジェクト レプリケーションを構成できます。 テナント間のレプリケーションを防ぐには、このオプションの選択を解除します。 詳細については、「Azure Active Microsoft Entra テナント間でのレプリケーションを禁止する」を参照してください。
Blob Storage アクセス層 必須 BLOB アクセス層を使用すると、使用方法に基づいて、最もコスト効率の高い方法で BLOB データを格納できます。 頻繁にアクセスされるデータには、ホット層 (既定値) を選択します。 頻繁にアクセスされないデータには、クール層を選択します。 詳細については、BLOB データのホット、クール、アーカイブ アクセス層に関するページを参照してください。

次の図は、新しいストレージ アカウントの詳細プロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [詳細] タブ。

[ネットワーク] タブ

[ネットワーク] タブでは、新しいストレージ アカウントのネットワーク接続とルーティングの基本設定を構成できます。 これらのオプションは、ストレージ アカウントを作成した後で構成することもできます。

次の表では、 [ネットワーク] タブのフィールドを説明します。

Section フィールド 必須または省略可能 説明
ネットワーク接続 ネットワーク アクセス 必須 既定では、受信ネットワーク トラフィックはストレージ アカウント用のパブリック エンドポイントにルーティングされます。 トラフィックを Azure 仮想ネットワーク経由でパブリック エンドポイントにルーティングする必要があるように指定できます。 また、ストレージ アカウント用にプライベート エンドポイントを構成することもできます。 詳細については、「Azure Storage のプライベート エンドポイントを使用する」を参照してください。
ネットワーク接続 エンドポイントの種類 必須 Azure Storage では、標準エンドポイント (既定) と Azure DNS ゾーン エンドポイント (プレビュー) の 2 種類のエンドポイントがサポートされています。 特定のサブスクリプション内で、リージョンごとに標準エンドポイントを持つアカウントを最大 250 個1、リージョンごとに Azure DNS ゾーン エンドポイントを持つアカウントを最大 5000 個、合計 5250 個のストレージ アカウントを作成できます。 プレビューに登録する方法については、「プレビューについて」を参照してください。
ネットワーク ルーティング ルーティング設定 必須 ネットワークのルーティングの優先順位では、インターネット経由でクライアントからストレージ アカウントのパブリック エンドポイントにネットワーク トラフィックをルーティングする方法を指定します。 既定では、新しいストレージ アカウントには Microsoft ネットワーク ルーティングが使用されます。 ストレージ アカウントに最も近い POP を使用してネットワーク トラフィックをルーティングすることもできます。これにより、ネットワーク コストが削減されるかもしれません。 詳細については、「Azure Storage のネットワーク ルーティング優先設定」を参照してください。

1 クォータの引き上げにより、任意のサブスクリプション内のリージョンごとに標準エンドポイントを使用するストレージ アカウントを最大 500 個作成できるので、リージョンごとの合計ストレージ アカウント数は 5500 個になります。 詳細については、「Azure Storage アカウントのクォータを増やす」を参照してください。

次の図は、新しいストレージ アカウントのネットワーク プロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [ネットワーク] タブ。

重要

Azure DNS ゾーン エンドポイントは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

[データ保護] タブ

[データ保護] タブでは、新しいストレージ アカウントの BLOB データのデータ保護オプションを構成できます。 これらのオプションは、ストレージ アカウントを作成した後で構成することもできます。 Azure Storage でのデータ保護オプションの概要については、「データ保護の概要」を参照してください。

次の表では、 [データ保護] タブのフィールドを説明します。

Section フィールド 必須または省略可能 説明
Recovery Enable point-in-time restore for containers (コンテナーのポイントインタイム リストアを有効にする) Optional ポイントインタイム リストアでは、ブロック BLOB データを以前の状態に復元できるようにすることで、誤った削除や破損を防ぐことができます。 詳細については、「ブロック BLOB のポイントインタイム リストア」を参照してください。

ポイントインタイム リストアを有効にすると、BLOB のバージョン管理、BLOB の論理的な削除、BLOB の変更フィードも有効になります。 これらの前提条件機能は、コストに影響を与える可能性があります。 詳細については、ポイントインタイム リストアに関する「価格と課金」を参照してください。
Recovery BLOB の論理的な削除の有効化 省略可能 BLOB の論理的な削除を使用すると、削除されたデータがシステムに指定された保持期間だけ維持されることにより、個々の BLOB、スナップショット、またはバージョンが誤った削除または上書きから保護されます。 保持期間中は、論理的に削除されたオブジェクトを削除された時点の状態に復元することができます。 詳細については、「BLOB の論理的な削除」を参照してください。

Microsoft は、ストレージ アカウントで BLOB の論理的な削除を有効にし、最小保持期間を 7 日に設定することをお勧めします。
Recovery コンテナーの論理的な削除を有効にする 省略可能 コンテナーの論理的な削除を使用すると、削除されたデータがシステムに指定された保持期間だけ維持されることにより、コンテナーとその内容が誤った削除から保護されます。 保持期間中は、論理的に削除されたコンテナーを削除された時点の状態に復元することができます。 詳細については、「コンテナーの論理的な削除」を参照してください。

Microsoft は、ストレージ アカウントでコンテナーの論理的な削除を有効にし、最小保持期間を 7 日に設定することをお勧めします。
Recovery ファイル共有の論理的な削除を有効にする 省略可能 ファイル共有の論理的な削除を使用すると、削除されたデータがシステムに指定された保持期間だけ維持されることにより、ファイル共有とその内容が誤った削除から保護されます。 保持期間中は、論理的に削除されたファイル共有を削除された時点の状態に復元することができます。 詳細については、「Azure ファイル共有の誤削除を防ぐ」を参照してください。

Microsoft は、Azure Files ワークロード用のファイル共有で論理的な削除を有効にし、最小保持期間を 7 日に設定することをお勧めします。
追跡 BLOB のバージョン管理を有効にする Optional BLOB のバージョン管理を有効にすると、BLOB が上書きされるときに、前のバージョンでの BLOB の状態が自動的に保存されます。 詳細については、「BLOB のバージョン管理」を参照してください。

Microsoft は、ストレージ アカウントのデータ保護を最善にするため、BLOB のバージョン管理を有効にすることをお勧めします。
追跡 BLOB の変更フィードを有効にする 省略可能 BLOB の変更フィードを有効にすると、ストレージ アカウント内のすべての BLOB とそのメタデータに対するすべての変更のトランザクション ログが提供されます。 詳細については、「Azure Blob Storage の変更フィードのサポート」を参照してください。
アクセス制御 バージョンレベルの不変性のサポートを有効にする 省略可能 BLOB バージョンにスコープを設定した不変性ポリシーのサポートを有効にします。 このオプションが選択された場合は、ストレージ アカウントを作成した後、アカウントまたはコンテナー用の既定の時間ベースの保持ポリシー (アカウントまたはコンテナー内で既定で継承する BLOB バージョン) を構成できます。 詳細については、「ストレージ アカウントでバージョン レベルの不変性のサポートを有効にする」を参照してください。

次の図は、新しいストレージ アカウントのデータ保護プロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [データ保護] タブ。

[暗号化] タブ

[暗号化] タブでは、データをクラウドに保存するときに暗号化する方法に関連するオプションを構成できます。 これらのオプションの一部は、ストレージ アカウントを作成するときにのみ構成できます。

フィールド 必須または省略可能 説明
暗号化の種類 必須 既定では、ストレージ アカウント内のデータが Microsoft マネージド キーを使用して暗号化されます。 Microsoft マネージド キーを利用してデータを暗号化することも、独自のキーで暗号化を管理することもできます。 詳細については、「保存データ向け Azure ストレージの暗号化」をご覧ください。
Enable support for customer-managed keys (カスタマー マネージド キーのサポートを有効にする) 必須 既定では、カスタマー マネージド キーは BLOB とファイルを暗号化するためにのみ使用できます。 すべてのサービスに対してカスタマー マネージド キーのサポートを有効にするには、このオプションを [All service types (blobs, files, tables, and queues)](すべての種類のサービス (BLOB、ファイル、テーブル、キュー)) に設定します。 このオプションを選択した場合、カスタマー マネージド キーを使用する必要はありません。 詳細については、「Azure Storage 暗号化のカスタマー マネージド キー」を参照してください。
暗号化キー [暗号化の種類] フィールドが [カスタマー マネージド キー] に設定されている場合は必須です。 [キー コンテナーとキーを選択する] を選択すると、使用するキー コンテナーとキーに移動するためのオプションが表示されます。 [Enter key from URI](URI からキーを入力する) を選択すると、キーの URI とサブスクリプションを入力するためのフィールドが表示されます。
ユーザー割り当て ID [暗号化の種類] フィールドが [カスタマー マネージド キー] に設定されている場合は必須です。 ストレージ アカウントの作成時にカスタマー マネージド キーを構成する場合は、キー コンテナーへのアクセスを承認するために使用するユーザー割り当て ID を指定する必要があります。
インフラストラクチャ暗号化を有効にする 省略可能 既定では、インフラストラクチャの暗号化は有効になっていません。 サービス レベルとインフラストラクチャ レベルの両方でデータを暗号化するには、インフラストラクチャの暗号化を有効にします。 詳細については、「データの二重暗号化のためにインフラストラクチャ暗号化を有効にしてストレージ アカウントを作成する」を参照してください。

次の図は、新しいストレージ アカウントの暗号化プロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [暗号化] タブ。

[タグ] タブ

[タグ] タブでは、Azure リソースを整理するための Resource Manager タグを指定できます。 詳細については、「論理的な組織化のためにリソース、リソース グループ、サブスクリプションにタグを付ける」を参照してください。

次の図は、新しいストレージ アカウントのインデックス タグ プロパティの標準構成を示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [タグ] タブ。

[確認と作成] タブ

[確認および作成] タブに移動すると、選択したストレージ アカウントの設定の検証が Azure によって実行されます。 検証に成功した場合は、ストレージ アカウントの作成に進むことができます。

検証が失敗した場合は、変更する必要がある設定がポータルに示されます。

次の図は、新しいストレージ アカウントを作成する前の [レビュー] タブのデータを示しています。

新しいストレージ アカウントの標準構成を示すスクリーンショット - [レビュー] タブ。

ストレージ アカウントを削除する

ストレージ アカウントを削除すると、アカウント内のすべてのデータを含む、アカウント全体が削除されます。 アカウントを削除する前に、保存する必要のあるすべてのデータを必ずバックアップしてください。

特定の状況では、削除したストレージ アカウントを回復できますが、必ず回復出来るとは限りません。 詳しくは、「削除されたストレージ アカウントを復旧する」をご覧ください。

Azure 仮想マシンに関連付けられているストレージ アカウントを削除しようとすると、まだ使用しているストレージ アカウントに関するエラー メッセージが表示されることがあります。 このエラーのトラブルシューティングで助けが必要な場合は、「ストレージ アカウントを削除する際のエラーのトラブルシューティング」を参照してください。

  1. Azure portal でストレージ アカウントに移動します。
  2. [削除] を選択します。

また、リソース グループを削除して、ストレージ アカウントとそのリソース グループ内の他のリソースを削除することもできます。 リソース グループの削除の詳細については、リソース グループの削除に関するページを参照してください。

汎用 v1 ストレージ アカウントを作成する

Note

Microsoft ではほとんどのシナリオで汎用 v2 アカウントを推奨していますが、Microsoft では新規および既存のお客様向けに汎用 v1 アカウントを引き続きサポートしています。 これらのリージョンで Azure Storage を利用できる場合は常に、新しいリージョンに汎用 v1 ストレージ アカウントを作成できます。 Microsoft では、現時点で汎用 v1 アカウントのサポートを廃止する予定はなく、Azure Storage 機能のサポート終了の少なくとも 1 年前に事前通知する予定です。 Microsoft では、汎用 v1 アカウントのセキュリティ更新プログラムを引き続き提供しますが、このアカウントの種類に対して新しい機能の開発は予定されていません。

2020 年 10 月 1 日以降にオンラインになった新しい Azure リージョンでは、汎用 v1 アカウントの料金は変更されており、これらのリージョンの汎用 v2 アカウントの料金と同じです。 2020 年 10 月 1 日より前に存在していた Azure リージョンの汎用 v1 アカウントの料金は変更されていません。 特定のリージョンの汎用 v1 アカウントの価格の詳細については、Azure Storage の価格ページを参照してください。 リージョンを選択し、 [価格プラン] の横にある [その他] を選択してください。

汎用 v1 (GPv1) ストレージ アカウントは、Azure portal から作成できなくなりました。 GPv1 ストレージ アカウントを作成する必要がある場合は、PowerShell、Azure CLI、Bicep、または Azure テンプレート用の「ストレージ アカウントの作成」セクションの手順に従います。 kind パラメーターには Storage を指定し、サポートされている値の表から sku または SkuName を選択します。

次のステップ