Azure Managed Applications でジャストインタイム アクセスを有効にして要求する

  • [アーティクル]

マネージド アプリケーションのコンシューマーが、マネージド リソース グループへの永続的なアクセスを発行元に許可することに消極的な場合があります。 マネージド アプリケーションの発行元としては、管理対象リソースに厳密にいつアクセスする必要があるかをコンシューマーに知らせることが望ましい場合があります。 コンシューマーが管理対象リソースへのアクセス権の付与を制御できるようにするため、Azure Managed Applications には、ジャストインタイム (JIT) アクセスと呼ばれる機能が提供されています。 JIT アクセスによって、発行元は、トラブルシューティングやメンテナンスを行うために、マネージド アプリケーションのリソースに対して昇格されたアクセス権を要求することができます。 発行元は、リソースへの読み取り専用アクセス権を常に所有していますが、特定の期間にさらに大きなアクセス権を持つことができます。

アクセス権を付与するためのワークフローは次のとおりです。

  1. 発行元が、マーケットプレースにマネージド アプリケーションを追加し、JIT アクセスを使用できることを指定します。

  2. デプロイ時に、コンシューマーが、マネージド アプリケーションのインスタンスに対する JIT アクセスを有効にします。

  3. デプロイ後に、コンシューマーは、JIT アクセスの設定を変更できます。

  4. 発行元が、マネージド リソースのトラブルシューティングや更新が必要なときに、アクセス要求を送信します。

  5. コンシューマーが、要求を承認します。

この記事では、JIT アクセスを有効にし、要求を送信するために発行元が行う操作について説明します。 JIT アクセス要求の承認については、Azure Managed Applications でのジャストインタイム アクセスの承認に関する記事を参照してください。

JIT アクセス手順を UI に追加する

CreateUiDefinition.json ファイルに、コンシューマーが JIT アクセスを有効にできる手順を含めます。 オファリングで JIT 機能をサポートするには、CreateUiDefinition.json ファイルに次の内容を追加します。

"steps" に:

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

"outputs" に:

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

JIT アクセスを有効化する

パートナー センターでオファーを作成するとき、JIT アクセスを必ず有効にしてください。

  1. パートナー センターのコマーシャル マーケットプレース ポータルにサインインします。

  2. 新しいマネージド アプリケーションを作成する方法については、「Azure アプリケーション オファーを作成する」の手順に従ってください。

  3. 技術的な構成ページで、 [ジャストインタイム (JIT) アクセスを有効にする] チェックボックスを選択します。

    ジャストインタイム アクセスを有効にする

JIT 構成手順が UI に追加され、コマーシャル マーケットプレースのオファリングで JIT アクセスが有効になっています。 コンシューマーは、マネージド アプリケーションをデプロイするときに、インスタンスに対する JIT アクセスをオンにすることができます。

アクセスの要求

発行元は、コンシューマーの管理対象リソースにアクセスする必要があるときに、特定のロール、時刻、期間の要求を送信します。 コンシューマーは、その要求を承認する必要があります。

JIT アクセス要求を送信するには:

  1. アクセスする必要があるマネージド アプリケーションで [JIT アクセス] を選択します。

  2. [資格のあるロール] を選択し、目的のロールの [アクション] 列で [アクティブ化] を選択します。

    アクセス要求をアクティブ化する

  3. [ロールのアクティブ化] フォームで、ロールをアクティブにする開始時刻と期間を選択します。 [アクティブ化] を選択して要求を送信します。

    アクセスをアクティブ化する

  4. 新しい JIT 要求がコンシューマーに正常に送信されたことを示す通知を表示して確認します。

    通知

    これで、コンシューマーが要求が承認するまで待機する必要があります。

  5. マネージド アプリケーションのすべての JIT 要求の状態を表示するには、 [JIT アクセス][要求履歴] を選択します。

    状態の表示

既知の問題

マネージド アプリケーション定義の中に、JIT アクセスを要求するアカウントのプリンシパル ID を明示的に含める必要があります。 パッケージに指定されるグループを介してのみアカウントを含めることはできません。 この制限は、今後のリリースで解消される予定です。

次のステップ

JIT アクセス要求の承認については、Azure Managed Applications でのジャストインタイム アクセスの承認に関する記事を参照してください。