GitHub Actions を使用して Azure に接続する

Azure ログインを Azure PowerShell または Azure CLI とともに使用して Azure リソースを操作する方法について説明します。

GitHub Actions ワークフローで Azure PowerShell または Azure CLI を使用するには、まず、Azure login アクションを使用してログインする必要があります。

Azure ログイン アクションは、Azure で認証する 2 つの異なる方法をサポートします。

• シークレットを持つサービス プリンシパル
• フェデレーション ID 資格情報を使用した Azure サービス プリンシパルでの OpenID Connect (OIDC)

既定では、ログイン アクションは Azure CLI でログインし、Azure CLI のGitHub Actions ランナー環境を設定します。 Azure login アクションの enable-AzPSSession プロパティを使用すると、Azure PowerShell を使用できます。 これにより、Azure PowerShell モジュールを使用してGitHub Actions ランナー環境が設定されます。

Azure ログインを使用して、Azure Government や Azure Stack Hub などのパブリックまたはソブリン クラウドに接続できます。

OpenID Connect で Azure ログイン アクションを使用

OpenID Connect を使用して Azure Login を設定し、GitHub Actions ワークフローで使用するには、次が必要です。

• サブスクリプションに適切なロールが割り当てられているサービス プリンシパルを持つ Azure Active Directory アプリケーション。
• GitHub Actions によって GitHub リポジトリに対して発行されたトークンを信頼するように、フェデレーション資格情報を使用して構成された Azure Active Directory アプリケーション。 これは、Azure portalまたは Microsoft Graph REST API で構成できます。
• GitHub 発行トークンをワークフローに要求し、Azure ログイン アクションを使用するGitHub Actions ワークフロー。

Azure Active Directory のアプリケーションおよびサービス プリンシパルを作成する

ワークフローがサブスクリプションにアクセスできるよう、Azure Active Directory アプリケーションとサービス プリンシパルを作成し、サブスクリプションのロールをアプリケーションに割り当てる必要があります。

Azure Portal

1. 既存のアプリケーションがない場合は、リソースにアクセスできる新しい Azure Active Directory アプリケーションとサービス プリンシパルを登録します。 このプロセスの一環として、次の手順を実行してください。

   • Azure Active Directory にアプリケーションを登録し、サービス プリンシパルを作成します
   • アプリケーションにロールを割り当てる

2. Azure portal の [アプリの登録] を開いて、 アプリケーションを見つけます。 アプリケーション (クライアント) ID とディレクトリ (テナント) IDの値をコピーして、GitHub Actions ワークフローで使用します。

3. Azure portal の [サブスクリプション] を開いて、サブスクリプションを見つけます。 サブスクリプション ID をコピーします。

Azure CLI

1. Azure Active Directory アプリケーションを作成します。

   az ad app create --display-name myApp
   

   このコマンドにより、client-id である appId を持つ JSON が出力されます。 この objectId は APPLICATION-OBJECT-ID であり、Graph API 呼び出しを使用してフェデレーション資格情報を作成するために使用されます。

2. サービス プリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。 このコマンドを実行すると、次のステップで使用される異なる objectId を持つ JSON 出力を生成します。 新しい objectId は assignee-object-id です。

    az ad sp create --id $appId
   

3. サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。 既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソース グループ名に、$assigneeObjectId を生成された assignee-object-id (新しく作成されたサービス プリンシパル オブジェクト ID) に置き換えます。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. clientId、subscriptionId、tenantId の値をコピーして、後で GitHub Actions ワークフローで使用します。

Azure PowerShell

1. Azure Active Directory アプリケーションを作成します。

   New-AzADApplication -DisplayName myApp
   

   このコマンドにより、ClientId である AppId プロパティが出力されます。 この Idプロパティは APPLICATION-OBJECT-ID であり、Graph API 呼び出しを使用してフェデレーション資格情報を作成するために使用されます。

2. サービス プリンシパルを作成する。 $clientId を出力のアプリ ID に置き換えてください。 このコマンドにより、異なる Id を持つ出力が生成され、次のステップで使用されます。 新しい Id は ObjectId です。

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   New-AzADServicePrincipal -ApplicationId $clientId
   

3. 新しいロールの割り当てを作成する。 Az PowerShell モジュール バージョン 7.x 以降、New-AzADServicePrincipal は既定でContributorロールをサービス プリンシパルに割り当てなくなりました。 $resourceGroupName をリソース グループ名で、$objectId を生成された Id で置き換えます。

   $objectId = (Get-AzADServicePrincipal -DisplayName myApp).Id
   New-AzRoleAssignment -ObjectId $objectId -RoleDefinitionName Contributor -ResourceGroupName $resourceGroupName
   

4. clientId、subscriptionId、tenantId の値を取得し、後に GitHub Actions ワークフローで使用します。

   $clientId = (Get-AzADApplication -DisplayName myApp).AppId
   $subscriptionId = (Get-AzContext).Subscription.Id
   $tenantId = (Get-AzContext).Subscription.TenantId
   

フェデレーション資格情報を追加する

フェデレーション資格情報は、Azure portal または Microsoft Graph REST API を使用して追加できます。

Azure Portal

1. Azure portal の [アプリの登録] に移動し、構成するアプリを開きます。
2. アプリ内で、 [証明書とシークレット ] に移動します。
   
3. [フェデレーション資格情報] タブで、[資格情報の追加] を選択します。
4. 資格情報シナリオ [Azure リソースをデプロイする GitHub Actions] を選択します。 資格情報の詳細を入力して、資格情報を生成します。

フィールド	説明	例
Organization	GitHub 組織名または GitHub ユーザー名。	contoso
リポジトリ	GitHub リポジトリ名。	contoso-app
エンティティ型	GitHub ワークフローから OIDC 要求の範囲を調べるために使用されるフィルター。 このフィールドは、subject 要求を生成するために使用 されます。	Environment, Branch, Pull request, Tag
GitHub 名	環境、ブランチ、またはタグの名前。	main
名前	フェデレーション資格情報の識別子。	contoso-deploy

より詳細な概要については、「GitHub リポジトリを信頼するようにアプリを構成する」を参照してください。

Azure CLI

次のコマンドを実行して、Azure Active Directory アプリケーションの新しいフェデレーション ID 資格情報を作成します。

• APPLICATION-OBJECT-ID を Azure Active Directory アプリケーションの objectId (アプリ作成時に生成) に置き換えてください。
• 後で参照するには、CREDENTIAL-NAME の値を設定します。
• subject を設定します。 この値は、ワークフローに応じて、GitHub によって定義されます。
  • GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
  • 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。 たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
  • プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。

az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

詳細な概要については、「 外部 ID プロバイダーを信頼するようにアプリを構成する」を参照してください。

Azure PowerShell

New-AzADAppFederatedCredential コマンドレットを実行して、Azure Active Directory アプリケーションの新しいフェデレーション ID 資格情報を作成します。

• APPLICATION-OBJECT-ID を Azure Active Directory アプリケーションの ID (アプリ作成時に生成) に置き換えてください。
• 後で参照するには、CREDENTIAL-NAME の値を設定します。
• subject を設定します。 この値は、ワークフローに応じて、GitHub によって定義されます。
  • GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
  • 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。 たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
  • プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。

New-AzADAppFederatedCredential -ApplicationObjectId APPLICATION-OBJECT-ID -Audience api://AzureADTokenExchange -Issuer 'https://token.actions.githubusercontent.com/' -Name 'GitHub-Actions-Test' -Subject 'repo:octo-org/octo-repo:environment:Production'

より詳細な概要については、「GitHub リポジトリを信頼するようにアプリを構成する」を参照してください。

GitHub シークレットを作成する

ログイン アクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。 これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

1. GitHub リポジトリを開き、 [Settings](設定) に移動します。

   

2. [Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。

   

3. AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Azure Active Directory アプリケーションの次の値を使用します。

   GitHub シークレット	Azure Active Directory アプリケーション
   AZURE_CLIENT_ID	アプリケーション (クライアント) ID
   AZURE_TENANT_ID	ディレクトリ (テナント) ID
   AZURE_SUBSCRIPTION_ID	サブスクリプション ID

4. [Add secret](シークレットの追加) を選択して各シークレットを保存します。

OpenID Connect 認証を使用して Azure ログインを設定する

GitHub Actions ワークフローでは、OpenID Connect を使用して Azure で認証します。 この相互作用の詳細については、GitHub Actions のドキュメントを参照してください。

この例では、OpenID Connect Azure CLI を使用し、Azure ログイン アクションを使用して Azure で認証します。 この例では、client-id、tenant-id、subscription-id に対して GitHub シークレットを使用します。 これらの値は、ログイン アクションで直接渡すこともできます。

Azure ログイン アクションには、既定で api://AzureADTokenExchange に設定される省略可能な audience 入力パラメーターが含まれています。 このパラメーターは、カスタムの対象ユーザーの値に対して更新できます。

Linux

このワークフローは OpenID Connect で認証し、Azure CLI を使用して接続されたサブスクリプションの詳細を取得し、リソースグループを一覧表示します。

name: Run Azure Login with OpenID Connect
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    - name: 'Az CLI login'
      uses: azure/login@v1
      with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
  
    - name: 'Run Azure CLI commands'
      run: |
          az account show
          az group list
          pwd 

Windows

このワークフローは、OpenID Connect で認証し、PowerShell を使用して、接続されている Azure サブスクリプションに関連付けられているリソース グループの一覧を出力します。

name: Run Azure Login with OpenID Connect and PowerShell
on: [push]

permissions:
      id-token: write
      contents: read
      
jobs: 
  Windows-latest:
      runs-on: windows-latest
      steps:
        - name: OIDC Login to Azure Public Cloud with AzPowershell (enableAzPSSession true)
          uses: azure/login@v1
          with:
            client-id: ${{ secrets.AZURE_CLIENT_ID }}
            tenant-id: ${{ secrets.AZURE_TENANT_ID }}
            subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 
            enable-AzPSSession: true

        - name: 'Get resource group with PowerShell action'
          uses: azure/powershell@v1
          with:
             inlineScript: |
               Get-AzResourceGroup
             azPSVersion: "latest"

OpenID を使用した Azure ログインの成功を確認する

Az CLI login アクションを開き、正常に実行されたことを確認します。 Login successful というメッセージが表示されます。 ログインに失敗した場合は、Az CLI Login failed. というメッセージが表示されます。

サービス プリンシパル シークレットで Azure ログイン アクションを使用する

サービス プリンシパルで Azure ログインを使用するには、まず、Azure サービス プリンシパルをシークレットとして GitHub リポジトリに追加する必要があります。

サービス プリンシパルの作成

この例では、Azure での認証に使用できる AZURE_CREDENTIALS という名前のシークレットを作成します。

1. Azure portal または Azure CLI でローカルに Azure Cloud Shell を開きます。

   注意

   Azure Stack Hub を使用している場合は、SQL 管理エンドポイントを not supported に設定する必要があります。 az cloud update -n {environmentName} --endpoint-sql-management https://notsupported

2. Azure portal でアプリ用の新しいサービス プリンシパルを作成します。 サービス プリンシパルには、適切なロールを割り当てる必要があります。

       az ad sp create-for-rbac --name "myApp" --role contributor \
                                   --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} \
                                   --json-auth
   

   パラメーター --json-auth は、ログイン アクションによって受け入れられる結果ディクショナリを出力します。Azure CLI バージョン >= 2.51.0 でアクセスできます。 この使用 --sdk-auth より前のバージョンでは、非推奨の警告が表示されます。

3. サービス プリンシパルの JSON オブジェクトをコピーします。

   {
       "clientId": "<GUID>",
       "clientSecret": "<GUID>",
       "subscriptionId": "<GUID>",
       "tenantId": "<GUID>",
       (...)
   }
   

サービス プリンシパルを GitHub シークレットとして追加する

1. GitHub で、お使いのリポジトリに移動します。

2. ナビゲーション メニューで [設定] に移動します。

3. [Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。

   

4. [New repository secret](新しいリポジトリ シークレット) を選択します。

5. Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。 シークレットに AZURE_CREDENTIALS と名前を付けます。

6. [Add secret](シークレットの追加) を選択します。

Azure ログイン アクションを使用する

Azure で認証するには、サービス プリンシパル シークレットと Azure Login アクションを使用します。

このワークフローでは、secrets.AZURE_CREDENTIALS に格納されているサービス プリンシパルの詳細を使用して、Azure login アクションを使って認証を行います。 次に、Azure CLI アクションを実行します。 ワークフロー ファイルで GitHub シークレットを参照する方法の詳細については、GitHub Docs の「ワークフローでの暗号化されたシークレットの使用」をご覧ください。

動作する Azure ログイン ステップを作成したら、Azure PowerShell または Azure CLI のアクションを使用できます。 Azure Webapp のデプロイや Azure Functions など、その他の Azure Actions を使用することもできます。

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Azure PowerShell アクションを使用する

この例では、Azure Login アクションを使用してログインし、Azure PowerShell アクションを使用してリソース グループを取得します。

on: [push]

name: AzureLoginSample

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'
          enable-AzPSSession: true
      - name: Azure PowerShell Action
        uses: Azure/powershell@v1
        with:
          inlineScript: Get-AzResourceGroup -Name "< YOUR RESOURCE GROUP >"
          azPSVersion: "latest"

Azure CLI アクションを使用する

この例では、Azure ログイン アクションを使用してログインし、Azure CLI アクションを使用してリソース グループを取得します。

on: [push]

name: AzureLoginSample

jobs:
build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Log in with Azure
        uses: azure/login@v1
        with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Azure CLI script
        uses: azure/CLI@v1
        with:
        azcliversion: 2.0.72
        inlineScript: |
            az account show
            az storage -h

Azure Government および Azure Stack Hub クラウドに接続する

いずれかの Azure Government クラウドにログインするには、サポートされているクラウド名 AzureUSGovernment または AzureChinaCloud を使用して、オプションのパラメーター環境を設定する必要があります。 このパラメーターを指定しないと、既定値の AzureCloud が使用され、Azure パブリック クラウドに接続されます。

   - name: Login to Azure US Gov Cloud with CLI
     uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: false
   - name: Login to Azure US Gov Cloud with Az Powershell
      uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_US_GOV_CREDENTIALS }}
          environment: 'AzureUSGovernment'
          enable-AzPSSession: true

他の Azure サービスと接続する

次の記事では、Azure およびその他のサービスから GitHub に接続する方法について詳しく説明しています。

Azure Active Directory

• Azure AD で GitHub Enterprise にサインインする (シングル サインオン)

Power BI

• Power BI を GitHub に接続する

Connectors

• Azure Logic Apps、Power Automate、および Power Apps 用の GitHub コネクタ

Azure Databricks

• GitHub をノートブックのバージョン管理として使用する

GitHub から Azure にアプリをデプロイする