クイックスタート: GitHub Actions を使用した Bicep ファイルのデプロイ

GitHub Actions は、ソフトウェア開発ワークフローを自動化する一連の GitHub 機能です。 このクイックスタートでは、Azure Resource Manager のデプロイに GitHub Actions を使って、Bicep ファイルの Azure へのデプロイを自動化します。

GitHub Actions と Bicep ファイルの概要を簡単に示します。 GitHub Actions とプロジェクトの設定に関する詳細なステップが必要な場合は、「 Bicep と GitHub Actions を使用して Azure リソースをデプロイする」を参照してください。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• GitHub アカウント。 お持ちでない場合は、無料でサインアップしてください。
• Bicep ファイルとワークフロー ファイルを保存するための GitHub リポジトリ。 リポジトリを作成するには、新しいリポジトリの作成に関するページをご覧ください。

リソース グループの作成

リソース グループを作成する。 このクイックスタートの後半で、このリソース グループに Bicep ファイルをデプロイします。

CLI

az group create -n exampleRG -l westus

PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

デプロイ資格情報を生成する

サービス プリンシパル

GitHub Actions は ID の下で実行されます。 サービス プリンシパルを作成するには、az ad sp create-for-rbac コマンドを使用して、ID のサービス プリンシパルを作成します。 前のセッションで作成したリソース グループの共同作成者ロールをサービス プリンシパルに付与し、その ID を持つ GitHub アクションがこのリソース グループにリソースを作成できるようにします。 最低限必要なアクセス権を付与することをお勧めします。

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

{app-name} のプレースホルダーはアプリケーションの名前に置き換えます。 {subscription-id} は、サブスクリプション ID で置き換えてください。

これにより、以下のようなご自分の App Service アプリにアクセスするためのロールの割り当て資格情報を含む JSON オブジェクトが出力されます。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

この JSON オブジェクトを後のためにコピーします。 必要なのは、clientId、clientSecret、subscriptionId、tenantId の値を持つセクションだけです。 前の例の tenantId 行など、最終行の末尾に余分なカンマがないことを確認してください。そのようなカンマがある場合、JSON ファイルが無効になります。 デプロイ中に、"ログインに失敗しました: コンテンツは有効な JSON オブジェクトではありません。 'auth-type' が正しいかどうかを再確認してください。"というエラーが発生します。

Open ID Connect

Open ID Connect は、有効期間の短いトークンを使用する認証方法です。 GitHub Actions を使用して OpenID Connect を設定すると、セキュリティが強化されたより複雑なプロセスになります。

1. 既存のアプリケーションがない場合は、リソースにアクセスできる新しい Active Directory アプリケーションとサービス プリンシパルを登録します。 Active Directory アプリケーションを作成します。

   az ad app create --display-name myApp
   

   このコマンドにより、あなたの client-id である appId を持つ JSON が出力されます。 後で AZURE_CLIENT_ID の GitHub シークレットとして使用する値を保存します。

   この objectId 値は、Graph API を使用してフェデレーション資格情報を作成するときに使用し、APPLICATION-OBJECT-ID として参照します。

2. サービス プリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。

   このコマンドにより、異なる objectId を持つ JSON 出力が生成され、次のステップで使用されます。 新しい objectId は assignee-object-id です。

   後で AZURE_TENANT_ID の GitHub シークレットとして使用するために、appOwnerTenantId をコピーします。

    az ad sp create --id $appId
   

3. サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。 既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソース グループ名に、$assigneeObjectId を生成された assignee-object-id に置き換えます。 Azure CLI を使用して Azure サブスクリプションを管理する方法について説明します。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 次のコマンドを実行して、Active Directory アプリケーションの新しいフェデレーション ID 資格情報を作成します。

   • APPLICATION-OBJECT-ID を Active Directory アプリケーションの objectId (アプリ作成時に生成) に置き換えてください。
   • 後で参照するには、CREDENTIAL-NAME の値を設定します。
   • subject を設定します。 この値は、ワークフローに応じて、GitHub によって定義されます。
     • GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
     • 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。 たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
     • プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
   

   Active Directory 作成アプリケーション、サービス プリンシパル、およびフェデレーション資格情報を Azure portal で作成する方法については、「Connect GitHub および Azure」を参照してください。

GitHub シークレットを構成する

サービス プリンシパル

Azure の資格情報、リソース グループ、およびサブスクリプションのシークレットを作成します。 これらのシークレットは、[ワークフローの作成] セクションで使用します。

1. GitHub で、自分のリポジトリに移動します。

2. [設定] > [シークレットと変数] > [アクション] > [新しいリポジトリ シークレット] の順に選択します。

3. Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。 シークレットに AZURE_CREDENTIALS という名前を付けます。

4. AZURE_RG という名前の別のシークレットを作成します。 リソース グループの名前をシークレットの値フィールドに追加します (exampleRG)。

5. AZURE_SUBSCRIPTION という名前の別のシークレットを作成します。 シークレットの値フィールドにサブスクリプション ID を追加します (例: 90fd3f9d-4c61-432d-99ba-1273f236afa2)。

Open ID Connect

ログイン アクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。 これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

1. GitHub リポジトリを開き、 [Settings](設定) に移動します。

2. [Settings](設定) > [Secrets](シークレット) > [New secret](新しいシークレット) の順に選択します。

3. AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Active Directory アプリケーションの次の値を使用します。

   GitHub シークレット	Active Directory アプリケーション
   AZURE_CLIENT_ID	アプリケーション (クライアント) ID
   AZURE_TENANT_ID	ディレクトリ (テナント) ID
   AZURE_SUBSCRIPTION_ID	サブスクリプション ID

4. [Add secret](シークレットの追加) を選択して各シークレットを保存します。

Bicep ファイルを追加する

GitHub リポジトリに Bicep ファイルを追加します。 次の Bicep ファイルでは、ストレージ アカウントが作成されます。

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2021-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Bicep ファイルでは storagePrefix と呼ばれる 1 つのパラメーターが 3 文字から 11 文字で必要です。

ファイルは、リポジトリ内のどこに置いてもかまいません。 次のセクションのワークフロー サンプルでは、Bicep ファイル名が main.bicep であり、リポジトリのルートに保存されていることを想定しています。

ワークフローを作成する

ワークフローでは、トリガーされた場合に実行するステップを定義します。 これは、お使いのリポジトリの /.github/workflows/ パスの YAML (.yml) ファイルです。 ワークフロー ファイルの拡張子には、 .yml または .yaml を指定できます。

ワークフローを作成するには、次の手順を実行します。

1. GitHub リポジトリの上部のメニューで、 [Actions](アクション) を選択します。

2. [New workflow](新しいワークフロー) を選択します。

3. [Set up a workflow yourself](ワークフローを自分でセットアップする) を選択します。

4. main.yml 以外の別の名前を使用する場合は、ワークフロー ファイルの名前を変更します。 例: deployBicepFile.yml。

5. .yml ファイルの内容を次のコードに置き換えます。

   サービス プリンシパル

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v1
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   mystore を独自のストレージ アカウント名プレフィックスに置き換えます。

   注意

   代わりに、ARM デプロイ アクション (例: .azuredeploy.parameters.json) に JSON 形式のパラメーター ファイルを指定できます。

   ワークフロー ファイルの最初のセクションには次のものが含まれます。

   • name:ワークフローの名前。
   • on: ワークフローをトリガーする GitHub イベントの名前。 ワークフローは、メイン ブランチにプッシュ イベントがある場合にトリガーされます。

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v1
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

6. [変更点のコミット] を選択します。

7. [Commit directly to the main branch](メイン ブランチに直接コミットする) を選択します。

8. [Commit new file](新しいファイルをコミットする) (または [Commit changes](変更をコミットする) ) を選択します。

ワークフロー ファイルまたは Bicep ファイルのいずれかを更新すると、ワークフローがトリガーされます。 変更をコミットすると、ワークフローがすぐに開始されます。

ワークフローの状態を確認する

1. [Actions]\(アクション\) タブを選択します。[ deployBicepFile.yml の作成] ワークフローが一覧表示されます。 ワークフローの実行には 1 から 2 分かかります。
2. ワークフローを選択して開き、Status が Success であることを確認します。

リソースをクリーンアップする

リソース グループとリポジトリが不要になったら、リソース グループと GitHub リポジトリを削除して、デプロイしたリソースをクリーンアップします。

CLI

az group delete --name exampleRG

PowerShell

Remove-AzResourceGroup -Name exampleRG

次のステップ

Bicep ファイルの構造と構文