Azure ファイル共有にアクセスするためのネットワークエンドポイントを構成する

[アーティクル]
05/10/2024

Azure Files では、Azure ファイル共有にアクセスするための次の主な 2 種類のエンドポイントが提供されます。

パブリックエンドポイント。パブリック IP アドレスを持ち、世界中のどこからでもアクセスできます。
プライベートエンドポイント。仮想ネットワーク内に存在し、その仮想ネットワークのアドレス空間内からのプライベート IP アドレスを持ちます。

パブリックおよびプライベートエンドポイントは、Azure ストレージアカウントに存在します。ストレージアカウントは、複数のファイル共有だけでなく、BLOB コンテナーやキューなどのその他のストレージリソースをデプロイできるストレージの共有プールを表す管理構造です。

この記事では、Azure ファイル共有に直接アクセスするためのストレージアカウントのエンドポイントを構成する方法について説明します。この記事の内容の多くは、Azure File Sync がストレージアカウントのパブリックエンドポイントとプライベートエンドポイントと相互運用する方法にも適用されます。 Azure File Sync のネットワークに関する考慮事項の詳細については、Azure File Sync のプロキシとファイアウォールの設定の構成に関するページを参照してください。

このガイドを読む前に、「Azure Files のネットワークに関する考慮事項」をお読みください。

適用対象

ファイル共有の種類	SMB	NFS
Standard ファイル共有 (GPv2)、LRS/ZRS
Standard ファイル共有 (GPv2)、GRS/GZRS
Premium ファイル共有 (FileStorage)、LRS/ZRS

前提条件

この記事では、既に Azure サブスクリプションが作成されていることを前提としています。サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
この記事では、オンプレミスから接続するストレージアカウントに Azure ファイル共有が既に作成されていることを前提としています。 Azure ファイル共有を作成する方法については、「Azure ファイル共有を作成する」をご覧ください。
Azure PowerShell を使用する場合は、最新バージョンをインストールしてください。
Azure CLI を使用する場合は、最新バージョンをインストールしてください。

エンドポイント構成

ストレージアカウントへのネットワークアクセスを制限するようにエンドポイントを構成できます。ストレージアカウントへのアクセスを仮想ネットワークに制限するには、次の 2 つの方法があります。

ストレージアカウントに 1 つ以上のプライベートエンドポイントを作成し、パブリックエンドポイントへのアクセスをすべて制限します。これで、そのストレージアカウント内の Azure ファイル共有にアクセスできるのは、特定の仮想ネットワーク内から送信されたトラフィックだけになります。 Private Link の価格を参照してください。
パブリックエンドポイントを 1 つ以上の仮想ネットワークに制限します。これは、"サービスエンドポイント" と呼ばれる仮想ネットワークの機能を使用して実現できます。サービスエンドポイントを使用してストレージアカウントへのトラフィックを制限する場合、そのストレージアカウントには引き続きパブリック IP アドレス経由でアクセスしますが、アクセスは構成で指定されている場所からのみ可能です。

プライベートエンドポイントの作成

ストレージアカウントのプライベートエンドポイントを作成すると、次の Azure リソースがデプロイされます。

プライベートエンドポイント: ストレージアカウントのプライベートエンドポイントを表す Azure リソース。これは、ストレージアカウントとネットワークインターフェイスを接続するリソースと考えることができます。
ネットワークインターフェイス (NIC) : 指定された仮想ネットワークおよびサブネット内のプライベート IP アドレスを保持するネットワークインターフェイス。これは、仮想マシン (VM) をデプロイするとデプロイされるリソースとまったく同じものですが、VM に割り当てられるのではなく、プライベートエンドポイントによって所有されます。
プライベートドメインネームシステム (DNS) ゾーン: 以前にこの仮想ネットワークに対してプライベートエンドポイントをデプロイしたことがない場合は、新しいプライベート DNS ゾーンが仮想ネットワークにデプロイされます。この DNS ゾーン内のストレージアカウントに対しては、DNS A レコードも作成されます。この仮想ネットワークにプライベートエンドポイントを既にデプロイしてある場合は、ストレージアカウントに対する新しい A レコードが、既存の DNS ゾーンに追加されます。 DNS ゾーンのデプロイは省略可能です。ただし、AD サービスプリンシパルを使用して Azure ファイル共有をマウントする場合、または FileREST API を使用する場合は、これをお勧めし、そうする必要があります。

Note

この記事では、Azure パブリックリージョンを対象に、ストレージアカウントの DNS サフィックス core.windows.net を使用しています。この注釈は、Azure US Government クラウドや 21Vianet クラウドによって運用される Microsoft Azure などの Azure ソブリンクラウドにも適用されます。環境に適したサフィックスに置き換えます。

プライベートエンドポイントを作成するストレージアカウントに移動します。ストレージアカウントの目次で [ネットワーキング] 、 [プライベートエンドポイント接続] 、 [+ プライベートエンドポイント] の順に選択して、新しいプライベートエンドポイントを作成します。

表示されるウィザードには、設定するページが複数あります。

[基本] ブレードで、プライベートエンドポイントの目的のサブスクリプション、リソースグループ、名前、ネットワークインターフェイス名、およびリージョンを選択します。これらには任意の内容を指定でき、ストレージアカウントと一致している必要はありませんが、プライベートエンドポイントは、そのプライベートエンドポイントを作成しようとしている仮想ネットワークと同じリージョン内に作成する必要があります。その後、[次へ: リソース] を選択します。

[リソース] ブレードで、ターゲットサブリソースのファイルを選択します。 [次へ: Virtual Network] を選択します。

[Virtual Network] ブレードでは、プライベートエンドポイントを追加する特定の仮想ネットワークとサブネットを選択できます。新しいプライベートエンドポイントの動的または静的 IP アドレスの割り当てを選択します。静的を選択した場合は、名前とプライベート IP アドレスも指定する必要があります。必要に応じて、アプリケーションセキュリティグループを指定することもできます。完了したら、[次: DNS] を選びます。

DNS ブレードには、プライベートエンドポイントとプライベート DNS ゾーンを統合するための情報が含まれています。サブスクリプションとリソースグループが正しいことを確認し、[次へ: タグ] を選択します。

必要に応じて、タグを適用してリソースを分類できます。たとえば、[名前] の [環境] と [値] の [テスト] をすべてのテストリソースに適用します。必要に応じて名前と値のペアを入力し、[次へ: レビュー + 作成] を選択します。

[確認および作成] をクリックしてプライベートエンドポイントを作成します。

ストレージアカウント用のプライベートエンドポイントを作成するには、まず、プライベートエンドポイントを追加するストレージアカウントと仮想ネットワークサブネットへの参照を取得する必要があります。 <storage-account-resource-group-name>、<storage-account-name>、<vnet-resource-group-name>、<vnet-name>、<vnet-subnet-name> を、次のように置き換えます。

$storageAccountResourceGroupName = "<storage-account-resource-group-name>"
$storageAccountName = "<storage-account-name>"
$virtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$virtualNetworkName = "<vnet-name>"
$subnetName = "<vnet-subnet-name>"

# Get storage account reference, and throw error if it doesn't exist
$storageAccount = Get-AzStorageAccount `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name $storageAccountName `
        -ErrorAction SilentlyContinue

if ($null -eq $storageAccount) {
    $errorMessage = "Storage account $storageAccountName not found "
    $errorMessage += "in resource group $storageAccountResourceGroupName."
    Write-Error -Message $errorMessage -ErrorAction Stop
}

# Get virtual network reference, and throw error if it doesn't exist
$virtualNetwork = Get-AzVirtualNetwork `
        -ResourceGroupName $virtualNetworkResourceGroupName `
        -Name $virtualNetworkName `
        -ErrorAction SilentlyContinue

if ($null -eq $virtualNetwork) {
    $errorMessage = "Virtual network $virtualNetworkName not found "
    $errorMessage += "in resource group $virtualNetworkResourceGroupName."
    Write-Error -Message $errorMessage -ErrorAction Stop
}

# Get reference to virtual network subnet, and throw error if it doesn't exist
$subnet = $virtualNetwork | `
    Select-Object -ExpandProperty Subnets | `
    Where-Object { $_.Name -eq $subnetName }

if ($null -eq $subnet) {
    Write-Error `
            -Message "Subnet $subnetName not found in virtual network $virtualNetworkName." `
            -ErrorAction Stop
}

プライベートエンドポイントを作成するには、ストレージアカウントに対するプライベートリンクサービス接続を作成する必要があります。プライベートリンクサービス接続は、プライベートエンドポイントの作成に対する入力です。

# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
    Set-AzVirtualNetwork -ErrorAction Stop

# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name "$storageAccountName-Connection" `
        -PrivateLinkServiceId $storageAccount.Id `
        -GroupId "file" `
        -ErrorAction Stop

# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name "$storageAccountName-PrivateEndpoint" `
        -Location $virtualNetwork.Location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -ErrorAction Stop

Azure プライベート DNS ゾーンを作成すると、ストレージアカウントの元の名前 (storageaccount.file.core.windows.net など) を仮想ネットワーク内のプライベート IP アドレスに解決できます。プライベートエンドポイントの作成の観点からは省略可能ですが、AD ユーザープリンシパルを使用して直接 Azure ファイル共有をマウントする、または REST API 経由でアクセスする場合は、明示的に必要になります。

# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$storageAccountSuffix = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
$dnsZoneName = "privatelink.file.$storageAccountSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
    Where-Object { $_.Name -eq $dnsZoneName } | `
    Where-Object {
        $privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
                -ResourceGroupName $_.ResourceGroupName `
                -ZoneName $_.Name `
                -ErrorAction SilentlyContinue
        
        $privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
    }

if ($null -eq $dnsZone) {
    # No matching DNS zone attached to virtual network, so create new one.
    $dnsZone = New-AzPrivateDnsZone `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -Name $dnsZoneName `
            -ErrorAction Stop

    $privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -ZoneName $dnsZoneName `
            -Name "$virtualNetworkName-DnsLink" `
            -VirtualNetworkId $virtualNetwork.Id `
            -ErrorAction Stop
}

これで、プライベート DNS ゾーンへの参照を用意できたので、ストレージアカウントの A レコードを作成する必要があります。

$privateEndpointIP = $privateEndpoint | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object @{ 
        Name = "NetworkInterfaces"; 
        Expression = { Get-AzNetworkInterface -ResourceId $_.Id } 
    } | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateIpAddress

$privateDnsRecordConfig = New-AzPrivateDnsRecordConfig `
        -IPv4Address $privateEndpointIP

New-AzPrivateDnsRecordSet `
        -ResourceGroupName $virtualNetworkResourceGroupName `
        -Name $storageAccountName `
        -RecordType A `
        -ZoneName $dnsZoneName `
        -Ttl 600 `
        -PrivateDnsRecords $privateDnsRecordConfig `
        -ErrorAction Stop | `
    Out-Null

storageAccountResourceGroupName="<storage-account-resource-group-name>"
storageAccountName="<storage-account-name>"
virtualNetworkResourceGroupName="<vnet-resource-group-name>"
virtualNetworkName="<vnet-name>"
subnetName="<vnet-subnet-name>"

# Get storage account ID 
storageAccount=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "id" | \
    tr -d '"')

# Get virtual network ID
virtualNetwork=$(az network vnet show \
        --resource-group $virtualNetworkResourceGroupName \
        --name $virtualNetworkName \
        --query "id" | \
    tr -d '"')

# Get subnet ID
subnet=$(az network vnet subnet show \
        --resource-group $virtualNetworkResourceGroupName \
        --vnet-name $virtualNetworkName \
        --name $subnetName \
        --query "id" | \
    tr -d '"')

プライベートエンドポイントを作成するには、まず、サブネットのプライベートエンドポイントネットワークポリシーが無効に設定されていることを確認する必要があります。次に、az network private-endpoint create コマンドを使用して、プライベートエンドポイントを作成できます。

# Disable private endpoint network policies
az network vnet subnet update \
        --ids $subnet \
        --disable-private-endpoint-network-policies \
        --output none

# Get virtual network location
region=$(az network vnet show \
        --ids $virtualNetwork \
        --query "location" | \
    tr -d '"')

# Create a private endpoint
privateEndpoint=$(az network private-endpoint create \
        --resource-group $storageAccountResourceGroupName \
        --name "$storageAccountName-PrivateEndpoint" \
        --location $region \
        --subnet $subnet \
        --private-connection-resource-id $storageAccount \
        --group-id "file" \
        --connection-name "$storageAccountName-Connection" \
        --query "id" | \
    tr -d '"')

Azure プライベート DNS ゾーンを作成すると、ストレージアカウントの元の名前 (storageaccount.file.core.windows.net など) を仮想ネットワーク内のプライベート IP アドレスに解決できます。プライベートエンドポイントの作成の観点からは省略可能ですが、AD ユーザープリンシパルを使用して Azure ファイル共有をマウントしたり、REST API 経由でアクセスしたりする場合は、明示的に必要になります。

# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
storageAccountSuffix=$(az cloud show \
        --query "suffixes.storageEndpoint" | \
    tr -d '"')

# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
dnsZoneName="privatelink.file.$storageAccountSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
        --query "[?name == '$dnsZoneName'].id" \
        --output tsv)

dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
    possibleResourceGroupName=$(az resource show \
            --ids $possibleDnsZone \
            --query "resourceGroup" | \
        tr -d '"')
    
    link=$(az network private-dns link vnet list \
            --resource-group $possibleResourceGroupName \
            --zone-name $dnsZoneName \
            --query "[?virtualNetwork.id == '$virtualNetwork'].id" \
            --output tsv)
    
    if [ -z $link ]
    then
        echo "1" > /dev/null
    else 
        dnsZoneResourceGroup=$possibleResourceGroupName
        dnsZone=$possibleDnsZone
        break
    fi  
done

if [ -z $dnsZone ]
then
    # No matching DNS zone attached to virtual network, so create a new one
    dnsZone=$(az network private-dns zone create \
            --resource-group $virtualNetworkResourceGroupName \
            --name $dnsZoneName \
            --query "id" | \
        tr -d '"')
    
    az network private-dns link vnet create \
            --resource-group $virtualNetworkResourceGroupName \
            --zone-name $dnsZoneName \
            --name "$virtualNetworkName-DnsLink" \
            --virtual-network $virtualNetwork \
            --registration-enabled false \
            --output none
    
    dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi

これで、プライベート DNS ゾーンへの参照を用意できたので、ストレージアカウントの A レコードを作成する必要があります。

privateEndpointNIC=$(az network private-endpoint show \
        --ids $privateEndpoint \
        --query "networkInterfaces[0].id" | \
    tr -d '"')

privateEndpointIP=$(az network nic show \
        --ids $privateEndpointNIC \
        --query "ipConfigurations[0].privateIPAddress" | \
    tr -d '"')

az network private-dns record-set a create \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --name $storageAccountName \
        --output none

az network private-dns record-set a add-record \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --record-set-name $storageAccountName \
        --ipv4-address $privateEndpointIP \
        --output none

接続を検証する

仮想ネットワーク内に VM がある場合、または「Azure Files の DNS 転送の構成」の説明に従って DNS 転送を構成している場合は、プライベートエンドポイントが正しく設定されていることをテストできます。 PowerShell、コマンドライン、またはターミナルから次のコマンドを実行します (Windows、Linux、または macOS で動作します)。 <storage-account-name> を適切なストレージアカウント名に置き換える必要があります。

nslookup <storage-account-name>.file.core.windows.net

正常に動作した場合は、次のような出力が表示されます。192.168.0.5 は、仮想ネットワーク内のプライベートエンドポイントのプライベート IP アドレスです (Windows の場合に表示される出力)。

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

ご使用の仮想ネットワーク内に VM がある場合、または「Azure Files の DNS 転送の構成」で説明されているような DNS 転送を構成してある場合は、次のコマンドを実行して、ご使用のプライベートエンドポイントが正しく設定されていることをテストできます。

$storageAccountHostName = [System.Uri]::new($storageAccount.PrimaryEndpoints.file) | `
    Select-Object -ExpandProperty Host

Resolve-DnsName -Name $storageAccountHostName

成功した場合は、次の出力が表示されます。ここで、192.168.0.5 は、仮想ネットワーク内のプライベートエンドポイントのプライベート IP アドレスです。

Name                             Type   TTL   Section    NameHost
----                             ----   ---   -------    --------
storageaccount.file.core.windows CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
.net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 600
Section    : Answer
IP4Address : 192.168.0.5

httpEndpoint=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "primaryEndpoints.file" | \
    tr -d '"')

hostName=$(echo $httpEndpoint | cut -c7-$(expr length $httpEndpoint) | tr -d "/")
nslookup $hostName

すべてが正常に動作した場合は、次のような出力が表示されます。192.168.0.5 は、仮想ネットワーク内のプライベートエンドポイントのプライベート IP アドレスです。ファイル共有をマウントするには、引き続き、privatelink パスでなく storageaccount.file.core.windows.net を使用する必要があります。

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
storageaccount.file.core.windows.net      canonical name = storageaccount.privatelink.file.core.windows.net.
Name:   storageaccount.privatelink.file.core.windows.net
Address: 192.168.0.5

パブリックエンドポイントアクセスを制限する

パブリックエンドポイントアクセスを制限するには、まず、パブリックエンドポイントへの一般的なアクセスを無効にする必要があります。パブリックエンドポイントへのアクセスを無効にしても、プライベートエンドポイントには影響しません。パブリックエンドポイントが無効になったら、そこに引き続きアクセスできる特定のネットワークまたは IP アドレスを選択できます。一般に、ストレージアカウントのほとんどのファイアウォールポリシーではネットワークアクセスが 1 つ以上の仮想ネットワークに制限されます。

パブリックエンドポイントへのアクセスを無効にする

パブリックエンドポイントへのアクセスが無効にされている場合でも、そのプライベートエンドポイントを介してストレージアカウントにアクセスできます。それ以外の場合は、特に許可されているソースからのものでない限り、ストレージアカウントのパブリックエンドポイントへの有効な要求は拒否されます。

パブリックエンドポイントへのすべてのアクセスを制限するストレージアカウントに移動します。ストレージアカウントの目次で、 [ネットワーク] を選択します。

ページの上部で、[選択した仮想ネットワークと IP アドレスから有効] オプションボタンを選びます。これにより、パブリックエンドポイントの制限を制御するためのいくつかの設定が表示されるようになります。 [信頼されたサービスの一覧にある Azure サービスがこのストレージアカウントにアクセスすることを許可します] を選び、Azure File Sync などの信頼できるファーストパーティの Microsoft サービスに、ストレージアカウントへのアクセスを許可します。

次の PowerShell コマンドを使用すると、ストレージアカウントのパブリックエンドポイントに対するすべてのトラフィックが拒否されます。このコマンドでは、-Bypass パラメーターが AzureServices に設定されていることに注意してください。これにより、Azure File Sync などの信頼できるファーストパーティのサービスが、パブリックエンドポイント経由でストレージアカウントにアクセスできるようになります。

# This assumes $storageAccount is still defined from the beginning of this of this guide.
$storageAccount | Update-AzStorageAccountNetworkRuleSet `
        -DefaultAction Deny `
        -Bypass AzureServices `
        -WarningAction SilentlyContinue `
        -ErrorAction Stop | `
    Out-Null

次の CLI コマンドを使用すると、ストレージアカウントのパブリックエンドポイントに対するすべてのトラフィックが拒否されます。このコマンドでは、-bypass パラメーターが AzureServices に設定されていることに注意してください。これにより、Azure File Sync などの信頼できるファーストパーティのサービスが、パブリックエンドポイント経由でストレージアカウントにアクセスできるようになります。

# This assumes $storageAccountResourceGroupName and $storageAccountName 
# are still defined from the beginning of this guide.
az storage account update \
    --resource-group $storageAccountResourceGroupName \
    --name $storageAccountName \
    --bypass "AzureServices" \
    --default-action "Deny" \
    --output none

パブリックエンドポイントへのアクセスを特定の仮想ネットワークに制限する

ストレージアカウントを特定の仮想ネットワークに制限すると、指定した仮想ネットワーク内からパブリックエンドポイントへの要求が許可されます。これは、"サービスエンドポイント" と呼ばれる仮想ネットワークの機能を使用して実現できます。これは、プライベートエンドポイントの有無に関係なく使用できます。

パブリックエンドポイントを特定の仮想ネットワークに制限するストレージアカウントに移動します。ストレージアカウントの目次で、 [ネットワーク] を選択します。

ページの上部で、[選択した仮想ネットワークと IP アドレスから有効] オプションボタンを選びます。これにより、パブリックエンドポイントの制限を制御するためのいくつかの設定が表示されるようになります。 [+ 既存の仮想ネットワークを追加] を選び、パブリックエンドポイント経由でのストレージアカウントへのアクセスを許可する特定の仮想ネットワークを選びます。仮想ネットワークとその仮想ネットワークのサブネットを選び、[有効化] を選びます。

[信頼されたサービスの一覧にある Azure サービスがこのストレージアカウントにアクセスすることを許可します] を選び、Azure File Sync などの信頼できるファーストパーティの Microsoft サービスに、ストレージアカウントへのアクセスを許可します。

サービスエンドポイントを使用して、ストレージアカウントのパブリックエンドポイントへのアクセスを特定の仮想ネットワークに制限するには、まず、ストレージアカウントと仮想ネットワークに関する情報を収集する必要があります。この情報を収集するには、<storage-account-resource-group>、<storage-account-name>、<vnet-resource-group-name>、<vnet-name>、<subnet-name> を指定します。

$storageAccountResourceGroupName = "<storage-account-resource-group>"
$storageAccountName = "<storage-account-name>"
$restrictToVirtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$restrictToVirtualNetworkName = "<vnet-name>"
$subnetName = "<subnet-name>"

$storageAccount = Get-AzStorageAccount `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name $storageAccountName `
        -ErrorAction Stop

$virtualNetwork = Get-AzVirtualNetwork `
        -ResourceGroupName $restrictToVirtualNetworkResourceGroupName `
        -Name $restrictToVirtualNetworkName `
        -ErrorAction Stop

$subnet = $virtualNetwork | `
    Select-Object -ExpandProperty Subnets | `
    Where-Object { $_.Name -eq $subnetName }

if ($null -eq $subnet) {
    Write-Error `
            -Message "Subnet $subnetName not found in virtual network $restrictToVirtualNetworkName." `
            -ErrorAction Stop
}

仮想ネットワークからのトラフィックが、ストレージアカウントのパブリックエンドポイントへのアクセスを Azure ネットワークファブリックによって許可されるためには、仮想ネットワークのサブネットで Microsoft.Storage サービスエンドポイントが公開されている必要があります。次の PowerShell コマンドを使用すると、まだ存在しない場合は、Microsoft.Storage サービスエンドポイントがサブネットに追加されます。

$serviceEndpoints = $subnet | `
    Select-Object -ExpandProperty ServiceEndpoints | `
    Select-Object -ExpandProperty Service

if ($serviceEndpoints -notcontains "Microsoft.Storage") {
    if ($null -eq $serviceEndpoints) {
        $serviceEndpoints = @("Microsoft.Storage")
    } elseif ($serviceEndpoints -is [string]) {
        $serviceEndpoints = @($serviceEndpoints, "Microsoft.Storage")
    } else {
        $serviceEndpoints += "Microsoft.Storage"
    }

    $virtualNetwork = $virtualNetwork | Set-AzVirtualNetworkSubnetConfig `
            -Name $subnetName `
            -AddressPrefix $subnet.AddressPrefix `
            -ServiceEndpoint $serviceEndpoints `
            -WarningAction SilentlyContinue `
            -ErrorAction Stop | `
        Set-AzVirtualNetwork `
            -ErrorAction Stop
}

ストレージアカウントへのトラフィックを制限する最後のステップでは、ネットワークルールを作成し、ストレージアカウントのネットワークルールセットに追加します。

$networkRule = $storageAccount | Add-AzStorageAccountNetworkRule `
    -VirtualNetworkResourceId $subnet.Id `
    -ErrorAction Stop

$storageAccount | Update-AzStorageAccountNetworkRuleSet `
        -DefaultAction Deny `
        -Bypass AzureServices `
        -VirtualNetworkRule $networkRule `
        -WarningAction SilentlyContinue `
        -ErrorAction Stop | `
    Out-Null

storageAccountResourceGroupName="<storage-account-resource-group>"
storageAccountName="<storage-account-name>"
restrictToVirtualNetworkResourceGroupName="<vnet-resource-group-name>"
restrictToVirtualNetworkName="<vnet-name>"
subnetName="<subnet-name>"

storageAccount=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "id" | \
    tr -d '"')

virtualNetwork=$(az network vnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --name $restrictToVirtualNetworkName \
        --query "id" | \
    tr -d '"')

subnet=$(az network vnet subnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --vnet-name $restrictToVirtualNetworkName \
        --name $subnetName \
        --query "id" | \
    tr -d '"')

仮想ネットワークからのトラフィックが、ストレージアカウントのパブリックエンドポイントへのアクセスを Azure ネットワークファブリックによって許可されるためには、仮想ネットワークのサブネットで Microsoft.Storage サービスエンドポイントが公開されている必要があります。次の CLI コマンドを使用すると、まだ存在しない場合は、Microsoft.Storage サービスエンドポイントがサブネットに追加されます。

serviceEndpoints=$(az network vnet subnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --vnet-name $restrictToVirtualNetworkName \
        --name $subnetName \
        --query "serviceEndpoints[].service" \
        --output tsv)

foundStorageServiceEndpoint=false
for serviceEndpoint in $serviceEndpoints
do
    if [ $serviceEndpoint = "Microsoft.Storage" ]
    then
        foundStorageServiceEndpoint=true
    fi
done

if [ $foundStorageServiceEndpoint = false ] 
then
    serviceEndpointList=""

    for serviceEndpoint in $serviceEndpoints
    do
        serviceEndpointList+=$serviceEndpoint
        serviceEndpointList+=" "
    done
    
    serviceEndpointList+="Microsoft.Storage"

    az network vnet subnet update \
            --ids $subnet \
            --service-endpoints $serviceEndpointList \
            --output none
fi

az storage account network-rule add \
        --resource-group $storageAccountResourceGroupName \
        --account-name $storageAccountName \
        --subnet $subnet \
        --output none

az storage account update \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --bypass "AzureServices" \
        --default-action "Deny" \
        --output none

次の方法で共有

Azure ファイル共有にアクセスするためのネットワークエンドポイントを構成する

適用対象

前提条件

エンドポイント構成

プライベートエンドポイントの作成

接続を検証する

パブリックエンドポイントアクセスを制限する

パブリックエンドポイントへのアクセスを無効にする

パブリックエンドポイントへのアクセスを特定の仮想ネットワークに制限する

関連項目

フィードバック

その他のリソース

次の方法で共有

Azure ファイル共有にアクセスするためのネットワーク エンドポイントを構成する

適用対象

前提条件

エンドポイント構成

プライベート エンドポイントの作成

接続を検証する

パブリック エンドポイント アクセスを制限する

パブリック エンドポイントへのアクセスを無効にする

パブリック エンドポイントへのアクセスを特定の仮想ネットワークに制限する

関連項目

フィードバック

その他のリソース

Azure ファイル共有にアクセスするためのネットワークエンドポイントを構成する

プライベートエンドポイントの作成

パブリックエンドポイントアクセスを制限する

パブリックエンドポイントへのアクセスを無効にする

パブリックエンドポイントへのアクセスを特定の仮想ネットワークに制限する