共有プライベート エンドポイントを介してプライベート ネットワーク内の Key Vault にアクセスする

Azure Web PubSub Service では、共有プライベート エンドポイント接続経由でプライベート ネットワーク内の Key Vault にアクセスできます。 この記事では、パブリック ネットワークではなく共有プライベート エンドポイントを経由してキー コンテナーに送信呼び出しをルーティングするように Web PubSub サービス インスタンスを構成する方法について説明します。

Azure Web PubSub Service API によって作成された、セキュリティで保護されたリソースのプライベート エンドポイントは、"共有プライベート リンク リソース" と呼ばれます。 これは、Azure Private Link サービスに統合されている Azure Key Vault などのリソースへのアクセスは "共有" されるためです。 これらのプライベート エンドポイントは、Azure Web PubSub Service の実行環境内に作成され、直接見ることはできません。

Note

この記事の例では、次のリソース ID を使用します。

• この Azure Web PubSub Service のリソース ID は _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub です。
• Azure Key Vault のリソース ID は、/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv です。

手順に従う場合には、Azure Web PubSub サービスと Azure Key Vault のリソース ID に置き換えます。

前提条件

• Azure サブスクリプションをお持ちでない場合は、[無料アカウント] (https://azure.microsoft.com/free/?WT.mc_id=A261C142F) を作成してください。
• Azure CLI 2.25.0 以降 (Azure CLI を使用している場合)。
• Standard 価格レベル以上の Azure Web PubSub サービス インスタンス
• Azure Key Vault リソース。

1.Key Vault への共有プライベート エンドポイント リソースを作成する

Azure Portal

1. Azure portal で、Azure Web PubSub サービス リソース ページに移動します。

2. メニューから [ネットワーキング] を選択します。

3. [プライベート アクセス] タブを選択します。

4. [共有プライベート エンドポイントの追加] を選択します。

   

5. 共有プライベート エンドポイントの名前を入力します。

6. [リソースから選択] を選択し、一覧からリソースを選択するか、 [リソース ID を指定] を選択し、キー コンテナーのリソース ID を入力して、キー コンテナー リソースを入力します。

7. [要求メッセージ] に「承認してください」と入力します。

8. [追加] を選択します。

   

共有プライベート エンドポイント リソースが、プロビジョニングに [成功] した状態になります。 接続状態は、ターゲット リソース側で承認の [保留中] になります。

Azure CLI

Azure CLI で次の API 呼び出しを実行して、共有プライベート リンク リソースを作成できます。 uri は実際の値に置き換えます。

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

API への要求本文を表す create-pe.json ファイルの内容は次のとおりです。

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

発信プライベート エンドポイントを作成するプロセスは長時間実行される (非同期の) 操作です。 すべての非同期 Azure 操作の場合と同様に、PUT の呼び出しでは、次の出力のような Azure-AsyncOperation ヘッダー値が返されます。

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

この URI を定期的にポーリングして、操作の状態を取得できます。 状態が "成功" に変わるまで待ってから、次の手順に進みます。

Azure-AsyncOperationHeader 値に手動でクエリを実行することによって、状態をポーリングできます。

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2.Key Vault へのプライベート エンドポイント接続を承認する

プライベート エンドポイント接続を作成した後、キー コンテナー リソースの Azure Web PubSub サービスからの接続要求を承認する必要があります。

Azure Portal

1. Azure portal で、キー コンテナー リソースに移動します。

2. メニューから [ネットワーキング] を選択します。

3. [プライベート エンドポイント接続] を選択します。

   

4. Azure Web PubSub Service によって作成されたプライベート エンドポイントを選択します。

5. [ 承認]、[はい] の順に選択し、確定します。

6. プライベート エンドポイント接続が承認されるのを待ちます。

   

Azure CLI

1. プライベート エンドポイント接続を一覧表示します。

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   保留中のプライベート エンドポイント接続があるはずです。 その id を書き留めます。

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. プライベート エンドポイント接続を承認します。

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3.共有プライベート リンク リソースの状態を照会する

Azure Web PubSub Service に承認が反映されるまでに数分かかります。 Azure portal または Azure CLI を使用して、状態を確認できます。 コンテナーの状態が承認されると、Azure Web PubSub Service と Azure Key Vault 間の共有プライベート エンドポイントがアクティブになります。

Azure Portal

1. Azure portal で、Azure Web PubSub サービス リソースに移動します。

2. メニューから [ネットワーキング] を選択します。

3. [共有プライベート リンク リソース] を選択します。

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

これにより、JSON が返されます。接続状態は 「properties」 セクションの下の 「status」 として表示されます。

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

リソースの "プロビジョニング状態" (properties.provisioningState) が Succeeded で、"接続状態" (properties.status) が Approved である場合、共有プライベート リンク リソースが機能しており、Azure Web PubSub Service がプライベート エンドポイントを介して通信できます。

これで、カスタム ドメインなどの機能を通常どおり構成できます。 Key Vault に特別なドメインを使用する必要はありません。 Azure Web PubSub サービスは、DNS 解決を自動的に処理します。

次のステップ

詳細情報:

• プライベート エンドポイントとは
• カスタム ドメインを構成する