---
title: Azure Storage Account FW のトラブルシューティング
tags: 
author: [Yohei Iwasaki](https://image.docswell.com/user/iboy)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/LE1Y3KZX7G.jpg?width=480
description: Azure Storage Account FW のトラブルシューティング by Yohei Iwasaki
published: March 27, 26
canonical: https://image.docswell.com/s/iboy/5Q28PY-yonaaz13
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/LE1Y3KZX7G.jpg)

Azure Storage Account FW の
トラブルシューティング
あれ？つながらない？そんなときにはこれを確認！


# Page. 2

![Page Image](https://bcdn.docswell.com/page/GEWGPD9KJ2.jpg)

本日のお品書き
1. 自己紹介
2. 本日の内容について
1. Azure Storage Account のFWの注意点
2. 繋がらないときのデバッグ方法
3. 参考リンク


# Page. 3

![Page Image](https://bcdn.docswell.com/page/47ZLKG9NJ3.jpg)

いつもの自己紹介
• 名前： iboy (Yohei Iwasaki)
• 出身：福岡県
• 経歴：
• SIer でソースコード解析、開発環境や研究環境を構築
• 某Windows OSを開発している企業で Azure の技術サポート
• 都内のSIer で SE/システムアーキテクト <- 今ここ
• 趣味：
• Azure、フットサル、ランニング、音楽シミュレーションゲーム
• ブログ：iboyのマイページ – Qiita
• Azure VM/Storage Account/Azure Files
•
検証/知見のまとめ、技術ノウハウ
• Xアカウント：@I_BOY_1204
ブログ
Xアカウント


# Page. 4

![Page Image](https://bcdn.docswell.com/page/YJ6WQYK9JV.jpg)

Azure Storage Account のFWの注意点
大原則：ファイアウォール設定はパブリックエンドポイントにのみ有効
仮想ネットワークルール
IPネットワーク規則
• 原則
• Azure Virtual Network 内の特定のサブ
ネットからの通信を制御
• 原則
• 特定のパブリックIPアドレスからの通信を
制御
• イメージ
• サービスエンドポイントを使っていると
こっちかな？
• イメージ
• Azure VMでもパブリックIPアドレスもっ
て、インターネット経由ならこっちか
な？
例外：「仮想ネットワークルール」を利用
• ストレージアカウントとパブリックIPが同一リージョンとなる通信
• 同一orペアリージョンからサービスエンドポイントを経由した通信
参考：どういうときにどの設定を利用するかの事例をまとめたブログを執筆
Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita
4


# Page. 5

![Page Image](https://bcdn.docswell.com/page/GJ5MRGPDJ4.jpg)

構成例：Azure Storage Account のFWの例外
①ストレージアカウントとパブリックIPが同一リージョン
②同一orペアリージョンからサービスエンドポイントを経由
設定：
AzureFirewallSubnet を仮想ネットワークルールで許可
設定：
test-west サブネットを仮想ネットワークルールで許可
参考：どういうときにどの設定を利用するかの事例をまとめたブログを執筆
Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita


# Page. 6

![Page Image](https://bcdn.docswell.com/page/LE3WPR6QE5.jpg)

繋がらないときのデバッグ⓪：(非推奨)原因特定には不十分な方法
• ストレージアカウントFW設定の確認でL4レイヤーのコマンドを利用
• ストレージアカウントFWはL7レイヤーで動作
• Test-NetConnection 等はFWでDenyしていても成功してしまう


# Page. 7

![Page Image](https://bcdn.docswell.com/page/8EDKLYVW7G.jpg)

繋がらないときのデバッグ①：ポータルからアクセス
簡易調査には十分に有効! すべてがこれでOKというわけではない
例: ポータルからパブリックアクセス無効のBlobコンテナにアクセス
[事実]
• メッセージからわかること
• ファイアフォールでブロック
• IPが36.***.***.***であること
[注意点]
• 表記のIPはポータルへアクセスしたIP
• FQDNで<SAName>.blob.core.windows.net への経路が違
う場合は違うIPになる可能性あり
盲点：つまり、書いてあるIPを開けてもアクセスできない場合が存在する


# Page. 8

![Page Image](https://bcdn.docswell.com/page/V7PK26VXJ8.jpg)

繋がらないときのデバッグ②：診断設定の利用
これが最強! 診断設定の利用
ログの例
{
"time": "2026-03-18T12:52:01.0963770Z",
"resourceId": "<Resource ID>",
"category": "StorageRead",
"operationName": "ListBlobs",
"operationVersion": "2025-07-05",
"schemaVersion": "1.0",
"statusCode": 403,
"statusText": "AuthorizationFailure",
"durationMs": 8,
"callerIpAddress": "20.46.126.165:1027",
<省略>
"location": "eastus2",
"properties": {
"accountName": "100prvtrj6rphenuuys",
"userAgentHeader": "AzCopy/10.32.1 azsdk-go-azblob/v1.6.2
(go1.24.13; Windows_NT)",
"clientRequestId": "ee418e2d-2171-4021-6d62-2c7ab2784e6e",
"serviceType": "blob",
"objectKey": "/",
"metricResponseType": "AuthorizationError",
<省略>
},
<省略>
}
参考①：Azure Files の診断設定を試す | Japan Azure IaaS Core Support Blog
参考②：Azure Blob Storage の監視 | Microsoft Learn


# Page. 9

![Page Image](https://bcdn.docswell.com/page/2JVVD3Z3JQ.jpg)

まとめ
• ストレージアカウントのFWでは
• 最後に経由するリソースのリージョンに注意
• サービスエンドポイント利用時にペアリージョンに注意
• ストレージアカウントFWのデバッグには診断設定を使おう
• Test-NetConnectionではFWの構成はテストできない
• Portalで表示されるIPは、コントロールプレーンへのアクセス元IP


# Page. 10

![Page Image](https://bcdn.docswell.com/page/5EGLY34YJL.jpg)

参考リンク
• Microsoft 公式ドキュメント
• Azure Blob Storage の監視 | Microsoft Learn
• Azure サポートチームブログ
• Azure Files の診断設定を試す | Japan Azure IaaS Core Support Blog
• 非公式技術ブログ
• Azure Storage Accountのファイアウォール設定で困ることが多いので設定方
法まとめ #AzureStorage - Qiita