Azure Storage Account FW のトラブルシューティング

Azure Storage Account FW の トラブルシューティング あれ？つながらない？そんなときにはこれを確認！

本日のお品書き 1. 自己紹介 2. 本日の内容について 1. Azure Storage Account のFWの注意点 2. 繋がらないときのデバッグ方法 3. 参考リンク

いつもの自己紹介 • 名前： iboy (Yohei Iwasaki) • 出身：福岡県 • 経歴： • SIer でソースコード解析、開発環境や研究環境を構築 • 某Windows OSを開発している企業で Azure の技術サポート • 都内のSIer で SE/システムアーキテクト <- 今ここ • 趣味： • Azure、フットサル、ランニング、音楽シミュレーションゲーム • ブログ：iboyのマイページ – Qiita • Azure VM/Storage Account/Azure Files • 検証/知見のまとめ、技術ノウハウ • Xアカウント：@I_BOY_1204 ブログ Xアカウント

• https://qiita.com/iboy

Azure Storage Account のFWの注意点 大原則：ファイアウォール設定はパブリックエンドポイントにのみ有効 仮想ネットワークルール IPネットワーク規則 • 原則 • Azure Virtual Network 内の特定のサブ ネットからの通信を制御 • 原則 • 特定のパブリックIPアドレスからの通信を 制御 • イメージ • サービスエンドポイントを使っていると こっちかな？ • イメージ • Azure VMでもパブリックIPアドレスもっ て、インターネット経由ならこっちか な？ 例外：「仮想ネットワークルール」を利用 • ストレージアカウントとパブリックIPが同一リージョンとなる通信 • 同一orペアリージョンからサービスエンドポイントを経由した通信 参考：どういうときにどの設定を利用するかの事例をまとめたブログを執筆 Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita 4

• https://qiita.com/iboy/items/3257395771a6ba507a1c

構成例：Azure Storage Account のFWの例外 ①ストレージアカウントとパブリックIPが同一リージョン ②同一orペアリージョンからサービスエンドポイントを経由 設定： AzureFirewallSubnet を仮想ネットワークルールで許可 設定： test-west サブネットを仮想ネットワークルールで許可 参考：どういうときにどの設定を利用するかの事例をまとめたブログを執筆 Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita

• https://qiita.com/iboy/items/3257395771a6ba507a1c

繋がらないときのデバッグ⓪：(非推奨)原因特定には不十分な方法 • ストレージアカウントFW設定の確認でL4レイヤーのコマンドを利用 • ストレージアカウントFWはL7レイヤーで動作 • Test-NetConnection 等はFWでDenyしていても成功してしまう

繋がらないときのデバッグ①：ポータルからアクセス 簡易調査には十分に有効! すべてがこれでOKというわけではない 例: ポータルからパブリックアクセス無効のBlobコンテナにアクセス [事実] • メッセージからわかること • ファイアフォールでブロック • IPが36.***.***.***であること [注意点] • 表記のIPはポータルへアクセスしたIP • FQDNで<SAName>.blob.core.windows.net への経路が違 う場合は違うIPになる可能性あり 盲点：つまり、書いてあるIPを開けてもアクセスできない場合が存在する

繋がらないときのデバッグ②：診断設定の利用
これが最強! 診断設定の利用

ログの例
{
"time": "2026-03-18T12:52:01.0963770Z",
"resourceId": "<Resource ID>",
"category": "StorageRead",
"operationName": "ListBlobs",
"operationVersion": "2025-07-05",
"schemaVersion": "1.0",
"statusCode": 403,
"statusText": "AuthorizationFailure",
"durationMs": 8,
"callerIpAddress": "20.46.126.165:1027",
<省略>
"location": "eastus2",
"properties": {
"accountName": "100prvtrj6rphenuuys",
"userAgentHeader": "AzCopy/10.32.1 azsdk-go-azblob/v1.6.2
(go1.24.13; Windows_NT)",
"clientRequestId": "ee418e2d-2171-4021-6d62-2c7ab2784e6e",
"serviceType": "blob",
"objectKey": "/",
"metricResponseType": "AuthorizationError",
<省略>
},
<省略>
}

参考①：Azure Files の診断設定を試す | Japan Azure IaaS Core Support Blog
参考②：Azure Blob Storage の監視 | Microsoft Learn

• https://jpaztech.github.io/blog/storage/azureFilesMonitoring/
• https://learn.microsoft.com/ja-jp/azure/storage/blobs/monitor-blob-storage?tabs=azure-portal#analyze-logs-for-azure-blob-storage

まとめ • ストレージアカウントのFWでは • 最後に経由するリソースのリージョンに注意 • サービスエンドポイント利用時にペアリージョンに注意 • ストレージアカウントFWのデバッグには診断設定を使おう • Test-NetConnectionではFWの構成はテストできない • Portalで表示されるIPは、コントロールプレーンへのアクセス元IP

参考リンク • Microsoft 公式ドキュメント • Azure Blob Storage の監視 | Microsoft Learn • Azure サポートチームブログ • Azure Files の診断設定を試す | Japan Azure IaaS Core Support Blog • 非公式技術ブログ • Azure Storage Accountのファイアウォール設定で困ることが多いので設定方 法まとめ #AzureStorage - Qiita

• https://learn.microsoft.com/ja-jp/azure/storage/blobs/monitor-blob-storage?tabs=azure-portal#analyze-logs-for-azure-blob-storage
• https://jpaztech.github.io/blog/storage/azureFilesMonitoring/
• https://qiita.com/iboy/items/3257395771a6ba507a1c