展開
Azure App Configuration では、デプロイ中に構成を読み取り、管理するために次の方法がサポートされています。
- ARM テンプレート
- Bicep
- Terraform
デプロイでの Azure App Configuration リソースの管理
Azure Resource Manager の認可
Azure App Configuration リソースを管理するには、Azure Resource Manager のアクセス許可が必要です。 これらのアクセス許可を提供する Azure ロールベースのアクセス制御 (Azure RBAC) ロールには、Microsoft.AppConfiguration/configurationStores/write または Microsoft.AppConfiguration/configurationStores/* アクションが含まれます。 このアクションの組み込みロールには、次のようなロールがあります。
- 所有者
- Contributor
Azure RBAC と Microsoft Entra ID の詳細については、「Microsoft Entra ID を使用して Azure App Configuration へのアクセスを承認する」をご覧ください。
デプロイでの Azure App Configuration データの管理
キー値やスナップショットなどの Azure App Configuration データは、デプロイで管理できます。 この方法を使用して App Configuration データを管理する場合は、構成ストアの Azure Resource Manager 認証モードをパススルーに設定することをお勧めします。 この認証モードでは、データ アクセスにデータ プレーンと Azure Resource Manager の管理ロールを組み合わせて使用することが必要とされ、監査目的でデータ アクセスをデプロイの呼び出し元に適切に関連付けることができるようになります。
重要
ARM テンプレート、Bicep、または REST API を使用して、Azure Resource Manager 認証モードを構成するには、App Configuration コントロール プレーン API バージョン 2023-08-01-preview
以降が必要です。 REST API の例を参照してください。
Azure Resource Manager 認証モード
Azure portal で Azure App Configuration リソースの Azure Resource Manager 認証モードを構成するには、次の手順に従います。
Azure portal で Azure App Configuration リソースに移動する
[設定] から [アクセス設定] 設定を探します
Azure Resource Manager 認証モードで、推奨されるパススルー認証を選択します
Note
ローカル認証モードは下位互換性のために存在しますが、いくつかの制限があります。 デプロイ時のデータ アクセスに対する適切な監査はサポートされていません。 ローカル認証モードでは、アクセス キー認証が無効になっている場合、ARM テンプレート/Bicep/Terraform 内でのキーバリュー データへのアクセスが無効になります。 ローカル認証モードでデータにアクセスするには、Azure App Configuration データ プレーンのアクセス許可は必要ありません。
Azure App Configuration 認可
App Configuration リソースの Azure Resource Manager 認証モードが パススルーに設定されている場合、デプロイで Azure App Configuration データを読み取って管理するには、Azure App Configuration データ プレーンのアクセス許可が必要です。 この要件は、リソースのベースライン管理アクセス許可の要件に追加されます。 Azure App Configuration データ プレーンのアクセス許可には、Microsoft.AppConfiguration/configurationStores/*/read と Microsoft.AppConfiguration/configurationStores/*/write が含まれます。 このアクションの組み込みロールには、次のようなロールがあります。
- App Configuration データ所有者
- App Configuration データ閲覧者
Azure RBAC と Microsoft Entra ID の詳細については、「Microsoft Entra ID を使用して Azure App Configuration へのアクセスを承認する」をご覧ください。
プライベート ネットワーク アクセス
App Configuration リソースがプライベート ネットワーク アクセスに制限されている場合、パブリック ネットワーク経由で App Configuration データにアクセスするデプロイはブロックされます。 App Configuration リソースへのアクセスがプライベート ネットワークに制限されているときにデプロイを成功させるには、次のアクションを実行する必要があります。
- Azure リソース管理のプライベート リンク を設定する必要があります
- App Configuration リソースでは、Azure Resource Manager 認証モードがパススルーに設定されている必要があります
- App Configuration リソースで Azure Resource Manager プライベート ネットワーク アクセスが有効になっている必要があります
- App Configuration データにアクセスするデプロイは、構成済みの Azure Resource Manager プライベート リンクを介して実行する必要があります
これらの条件がすべて満たされている場合は、App Configuration データにアクセスするデプロイが成功します。
Azure Portal で Azure App Configuration リソースの Azure Resource Manager プライベート ネットワーク アクセスを有効にするには、次の手順に従います。
Azure portal で Azure App Configuration リソースに移動する
[設定] から [ネットワーク] 設定を探します
[プライベート アクセス] の [Azure Resource Manager のプライベート アクセスを有効にする] をオンにします
Note
Azure Resource Manager プライベート ネットワーク アクセスは、パススルー 認証モードでのみ有効にすることができます。
次のステップ
ARM テンプレートと Bicep を使用したデプロイの詳細については、以下のリンク先のドキュメントをご確認ください。