ファイルをAzure blob storageにアップロード - CRL-290029 Forbidden

認証：役割とSAS権限
Azure Blob Storageは、複数の認証メカニズムをサポートしています。

• Azure AD + RBAC （推奨）

  • 次のような役割を付与します。

    • Storage Blob Data Reader→読み取り専用
    • Storage Blob Data Contributor →読み取り/書き込み/削除

  • これらの役割は、BLOBとコンテナに対する 読み取り権限と書き込み権限 を定義するものです。

  • ストレージのオペレーションとRBAC マッピングについては、Azure ロールベースのアクセス制御ドキュメント ​を参照してください。

  共有アクセス署名（SAS）

  • SAS トークンは次のコードをエンコードします。

    • sp経由の権限（例：読み取り用のsp=r、読み取り/書き込み用のsp=rw、完全なCRUD + リスト用のsp=rwdl）。
    • sip経由のオプションのIP制限（このトークンを使用できるIP範囲またはIP範囲）。

  • Microsoft Azure Essentials: Fundamentals of Azureは、SASの例を示しています。

    code language-none
    &sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range

    • sp パラメーターは読み取り/書き込みを制御します。sipは、リクエストの送信元のみを制限します。

• アカウントキー（共有キー）

  • 直接使用する場合は、完全なアカウントレベルの読み取り/書き込み。きめ細かいアクセスには推奨されず、Adobe環境では一般的に推奨されません。

ネットワーク/IP コントロール：ファイアウォールとSAS sip

これらのコントロールは、リクエストがアカウントに到達できるかどうかを 制御します。実行できるのは 何ではありません。

• ストレージアカウントファイアウォール/仮想ネットワークルール

  • 特定のパブリック IP範囲またはVNetにストレージ アカウントへのアクセスを許可できます。
  • これは、呼び出し元が読み取りまたは書き込みをしているかどうかに関係なく適用されます。権限は引き続きRBACまたはSASから取得されます。
  • Microsoft ドキュメント：​ ストレージアカウントのネットワークセキュリティ ​

• SAS sip （IP範囲）

  • トークンを使用できるIPを制限するSAS トークンのオプションのパラメーター。
  • ただし、許可される操作はsp （権限）によって定義されます。IPは、これらの権限を行使できるユーザーを絞り込むだけです。