次の方法で共有

Azure ストレージ アカウントの SAS キーを使用してコスト データをエクスポートする

  • [アーティクル]

次の情報は、Microsoft パートナーに限り適用されます。

パートナーは、自社の Microsoft Partner Agreement に関連付けられているテナントに自社の Azure サブスクリプションを持たない場合が少なくありません。 Microsoft Partner Agreement プランを契約しているパートナーが課金アカウントの課金管理者であれば、共有アクセス サービス (SAS) キーを使用することにより、コスト データをエクスポートし、別のテナントのストレージ アカウントにコピーすることができます。 言い方を変えると、SAS キーが設定されているストレージ アカウントがあると、パートナーが Partner Agreement の範囲外のストレージ アカウントを使用して、エクスポートされた情報を受け取ることができます。 この記事は、パートナーが SAS キーを作成し、Cost Management によるエクスポートを構成するうえで役立ちます。

要件

  • 提供状況: この機能はパブリック クラウドでのみ使用できます。

  • Microsoft Partner Agreement を持つパートナーである必要があります。 あなたの Azure プランの顧客は、Microsoft 顧客契約に署名済みであることが必要です。

  • SAS キーベースのエクスポートは、間接エンタープライズ契約ではサポートされていません。

  • SAS キーベースのエクスポートは、パートナー テナントから Azure portal にサインインするパートナーに対して提供されています。 ただし、顧客管理に Azure Lighthouse を使用している場合、SAS キー オプションはサポートされません。

  • パートナー組織の課金アカウントの課金管理者である必要があります。

  • パートナー組織の別のテナントにあるストレージ アカウントを構成するためのアクセス権が付与されている必要があります。 自分のストレージ アカウントにデータをエクスポートする場合のアクセス許可とデータ アクセスは、自分で責任を持って管理してください。

  • このストレージ アカウントに、ファイアウォールを構成することはできません。

  • ストレージ アカウントの構成ては、コピー操作の許可スコープ (プレビュー) オプションが [任意のストレージ アカウントから] に設定されている必要があります。

Azure Storage に SAS キーを構成する

ストレージ アカウントの SAS トークンを取得するか、Azure portal を使用して作成します。 Azure portal で作成する場合には、次の手順を使用します。 SAS キーに関する詳細については、Shared Access Signature (SAS) を使用してデータに対する制限付きアクセス権を付与する方法に関するページを参照してください。

  1. Azure portal 内で、ストレージ アカウントに移動します。
    • アカウントに複数のテナントに対するアクセス権が付与されている場合には、目的のストレージ アカウントにアクセスできるディレクトリに切り替えます。 Azure portal の右上隅で自分のアカウントを選択して、 [ディレクトリの切り替え] を選択します。
    • ストレージ アカウントにアクセスするにあたり、対応するテナント アカウントを使って Azure portal にサインインする操作が必要になることがあります。
  2. 左側のメニューで、 [Shared Access Signature] を選択します。
    Azure ストレージに構成した Shared Access Signature のスクリーンショット。
  3. 前の画像に示したとおりの設定でトークンを構成します。
    1. [使用できるサービス] には、 [BLOB] を選択します。
    2. [使用できるリソースの種類] には、 [サービス][コンテナー][オブジェクト] を選択します。
    3. [与えられているアクセス許可] には、 [読み取り][書き込み][削除][リスト][追加][作成] を選択します。
    4. 有効期限と日付を選択します。 エクスポートの SAS トークンは、期限切れになる前に更新するようにしてください。 期限切れまでの期間を長くするほど、新しい SAS トークンが必要になるまでにエクスポートを実行できる期間が長くなります。
  4. [許可されるプロトコル] には、 [HTTPS のみ] を選択します。
  5. [Preferred routing tier]\(優先ルーティング層\) には [Basic] を選択します。
  6. [署名キー] には [key1] を選択します。 SAS トークンの署名に使用されるキーをローテーションまたは更新する場合は、新しい SAS トークンを再生成する必要があります。
  7. [SAS と接続文字列を生成する] を選択します。 表示される SAS トークンの値が、エクスポートを構成するときに必要になるトークンです。

SAS トークンを使用して新しいエクスポートを作成する

課金アカウントのスコープの [エクスポート] に移動し、次の手順に従って新しいエクスポートを作成します。

  1. [作成] を選択します
  2. 通常のエクスポートの場合と同じように、エクスポートの詳細を構成します。 既存のディレクトリやコンテナーを使用するようにエクスポートを構成することも、新しいディレクトリやコンテナーを指定することもできます。 これらはエクスポート プロセスによって自動的に作成されます。
  3. ストレージの構成では、 [Use a SAS token]\(SAS トークンを使用する\) を選択します。
    SAS トークンを選択する [新しいエクスポート] を示したスクリーンショット。
  4. ストレージ アカウントの名前を入力し、SAS トークンを貼り付けます。
  5. コンテナーまたはディレクトリには、既存のものか、新たに作成するものを指定します。
  6. [作成] を選択します

SAS トークンベースのエクスポートは、トークンが有効な間に限り機能します。 現在のトークンが期限切れになる前にトークンを設定しなおすようにしてください。そうしないと、エクスポートが動作を停止します。 トークンはストレージ アカウントに対するアクセスを可能にするものであるため、他の機密情報と同等の注意をもって保護する必要があります。 自分のストレージ アカウントにデータをエクスポートする場合のアクセス許可とデータ アクセスは、自分で責任を持って管理してください。

SAS トークンを使用したエクスポートのトラブルシューティング

SAS トークンベースのエクスポートを構成または使用する際によく見られる問題は次のとおりです。

  • Azure portal に SAS キー オプションが表示されない。

    • Microsoft Partner Agreement を締結しており、かつ、課金アカウントの課金管理者としてのアクセス許可が付与されていることを確認してください。 そのようなユーザーだけが、SAS キーを使用したエクスポートを実行できます。

  • エクスポートを構成しようとすると、次のエラーメッセージが表示される:

    SAS トークンが BLOB サービスに対して有効になっていること、SAS トークンがコンテナーとオブジェクトのリソースの種類に対して有効になっていること、SAS トークンに作成、読み取り、書き込み、削除のアクセス許可が付与されていることを確認してください。 (Storage サービスのエラー コード: AuthorizationResourceTypeMismatch)

    • Azure Storage で SAS キーを正しく構成および生成していることを確認してください。

  • エクスポートを作成した後に、SAS キーの全体を表示できない。

    • キーが表示されないのは、正常な動作です。 SAS エクスポートを構成した後は、セキュリティ上の理由からキーが非表示になります。

  • エクスポートが構成されているテナントからストレージ アカウントにアクセスできない。

    • これは期待される動作です。 ストレージ アカウントが別のテナントにある場合には、そのストレージ アカウントを探す前に、Azure portal 内でそのテナントに移動する必要があります。

  • SAS トークン関連のエラーが発生し、エクスポートが失敗する。

    • エクスポートは、SAS トークンが有効な間に限り機能します。 新しいキーを作成してから、エクスポートを実行してください。

次のステップ