次の方法で共有

App Service ランディング ゾーン アクセラレータの ID とアクセス管理に関する考慮事項

この記事では、Azure App Service ランディング ゾーン アクセラレータを使用するときに適用できる ID とアクセス管理に関する設計上の考慮事項と推奨事項について説明します。 認証とアプリの構成は、この記事で説明する考慮事項の一部です。

ID とアクセス管理の設計領域の詳細を確認します。

設計に関する考慮事項

ランディング ゾーン アクセラレータを使用して App Service ソリューションをデプロイする場合、キー ID とアクセス管理に関する重要な考慮事項がいくつかあります。

  • アプリとそのデータに必要なセキュリティと分離のレベルを決定します。 パブリック アクセスを使用すると、アプリの URL を持つすべてのユーザーがアプリにアクセスできるようになりますが、プライベート アクセスでは、承認されたユーザーとネットワークのみにアクセスが制限されます。
  • App Service ソリューションに必要な認証と承認の種類 (匿名、社内の企業ユーザー、ソーシャル アカウント、その他 の ID プロバイダー、またはこれらの種類の組み合わせ) を決定します。
  • App Service ソリューションが Microsoft Entra ID で保護されているバックエンド リソースに接続するときに、システム割り当てマネージド ID とユーザー割り当て マネージド ID のどちらを使用するかを決定します。
  • 既定のロールで既存のアクセス許可の変更が必要な場合は、カスタム ロールを最小限の特権の原則に従って作成することを検討してください。
  • キー、シークレット、証明書、およびアプリケーション構成のセキュリティ強化ストレージを選択します。
    • アプリ構成を使用して、アプリケーション、マイクロサービス、サーバーレス アプリケーション間でパスワード、シークレット、キーではない共通の構成値を共有します。
    • Azure Key Vault を使用します。 パスワード、接続文字列、キー、シークレット、証明書のセキュリティ強化されたストレージが提供されます。 Key Vault を使用してシークレットを格納し、App Service マネージド ID 経由で App Service アプリケーションからアクセスできます。 そうすることで、必要に応じてアプリケーションからシークレットへのアクセスを提供しながら、シークレットをセキュリティで保護することができます。

設計に関する推奨事項

App Service デプロイには、次のベスト プラクティスを組み込む必要があります。

  • App Service ソリューションで認証が必要な場合:
    • App Service ソリューション全体へのアクセスを認証済みユーザーに制限する必要がある場合は、匿名アクセスを無効にします。
    • 独自の認証および承認コードを記述する代わりに、App Service の 組み込みの 認証および承認機能を使用します。
    • 個別のスロットまたは環境に個別のアプリケーション登録を使用します。
    • App Service ソリューションが内部ユーザーのみを対象としている場合は、 クライアント証明書認証 を使用してセキュリティを強化します。
    • App Service ソリューションが外部ユーザーを対象としている場合は、 Azure AD B2C を使用してソーシャル アカウントと Microsoft Entra アカウントに対する認証を行います。
  • 可能な限り 、Azure 組み込みロール を使用します。 これらのロールは、読み取り専用アクセスを必要とするユーザーの閲覧者ロールや、リソースを作成および管理できる必要があるユーザーの共同作成者ロールなど、特定のシナリオで一般的に必要となる一連のアクセス許可を提供するように設計されています。
    • 組み込みロールがニーズを満たしていない場合は、1 つ以上の組み込みロールのアクセス許可を組み合わせてカスタム ロールを作成できます。 これにより、最小限の特権の原則に従いながら、ユーザーが必要とするアクセス許可の正確なセットを付与できます。
    • App Service リソースを定期的に監視して、セキュリティ ポリシーに従って使用されていることを確認します。 これを行うと、承認されていないアクセスや変更を特定し、適切なアクションを実行するのに役立ちます。
  • ユーザー、グループ、およびサービスにアクセス許可を割り当てる場合は、最小限の特権の原則を使用します。 この原則では、特定のタスクを実行するために必要な最小限のアクセス許可のみを付与し、それ以上は付与しない必要があることを示します。 このガイダンスに従うと、リソースに対する偶発的または悪意のある変更のリスクを軽減できます。
  • システム割り当て マネージド ID を 使用して、Microsoft Entra ID によって保護されるセキュリティ強化されたバックエンド リソースにアクセスします。 これにより、App Service ソリューションがアクセスできるリソースと、そのリソースに対するアクセス許可を制御できます。
  • 自動デプロイの場合は、CI/CD パイプラインからデプロイするために最低限必要なアクセス許可を持つ サービス プリンシパル を設定します。
  • App Service の AppServiceHTTPLogs アクセスログ診断を有効化します。 これらの詳細なログを使用して、アプリに関する問題を診断し、アクセス要求を監視できます。 これらのログを有効にすると、サブスクリプション レベルのイベントに関する分析情報を提供する Azure Monitor アクティビティ ログも提供されます。
  • App Service の Azure セキュリティ ベースラインの ID 管理特権アクセス に関するセクションに記載されている推奨事項に従います。

ランディング ゾーン アクセラレータの ID とアクセス管理の目的は、デプロイされたアプリとその関連リソースがセキュリティで保護され、承認されたユーザーのみがアクセスできるようにすることです。 これにより、機密データを保護し、アプリとそのリソースの誤用を防ぐことができます。