Terraform を使用して Azure Virtual Desktop のロールベースのアクセス制御を構成する

次の Terraform と Terraform プロバイダーのバージョンでテストされた記事:

Terraform を使用すると、クラウド インフラストラクチャの定義、プレビュー、およびデプロイを行うことができます。 Terraform を使用する際は、HCL 構文を使って構成ファイルを作成します。 HCL 構文では、Azure などのクラウド プロバイダーと、クラウド インフラストラクチャを構成する要素を指定できます。 構成ファイルを作成したら、"実行プラン" を作成します。これにより、インフラストラクチャの変更をデプロイ前にプレビューすることができます。 変更を確認したら、実行プランを適用してインフラストラクチャをデプロイします。

この記事では、ユーザーと Microsoft Entra グループを追加し、ホスト プールにスコープを設定した "Desktop Virtualization User" ロールにグループを割り当てる手順について説明します。

この記事では、次のことについて説明します。

  • Terraform を使用して Microsoft Entra の既存ユーザーを読み取る
  • Terraform を使用して Microsoft Entra グループを作成する
  • Azure Virtual Desktop のロールの割り当て

1. 環境を構成する

  • Azure サブスクリプション:Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

2. Terraform コードを実装する

  1. サンプルの Terraform コードをテストするディレクトリを作成し、それを現在のディレクトリにします。

  2. providers.tf という名前のファイルを作成し、次のコードを挿入します。

    terraform {
      required_providers {
        azurerm = {
          source  = "hashicorp/azurerm"
          version = "~>2.0"
        }
        azuread = {
          source = "hashicorp/azuread"
        }
      }
    }
    
    provider "azurerm" {
      features {}
    }
    
  3. main.tf という名前のファイルを作成し、次のコードを挿入します。

    data "azuread_user" "aad_user" {
      for_each            = toset(var.avd_users)
      user_principal_name = format("%s", each.key)
    }
    
    data "azurerm_role_definition" "role" { # access an existing built-in role
      name = "Desktop Virtualization User"
    }
    
    resource "azuread_group" "aad_group" {
      display_name     = var.aad_group_name
      security_enabled = true
    }
    
    resource "azuread_group_member" "aad_group_member" {
      for_each         = data.azuread_user.aad_user
      group_object_id  = azuread_group.aad_group.id
      member_object_id = each.value["id"]
    }
    
    resource "azurerm_role_assignment" "role" {
      scope              = azurerm_virtual_desktop_application_group.dag.id
      role_definition_id = data.azurerm_role_definition.role.id
      principal_id       = azuread_group.aad_group.id
    }
    
  4. variables.tf という名前のファイルを作成し、次のコードを挿入します。

variable "avd_users" {
  description = "AVD users"
  default = [
    "avduser01@contoso.net",
    "avduser02@contoso.net"
  ]
}

variable "aad_group_name" {
  type        = string
  default     = "AVDUsers"
  description = "Azure Active Directory Group for AVD users"
}
  1. output.tf という名前のファイルを作成し、次のコードを挿入します。
output "AVD_user_groupname" {
  description = "Azure Active Directory Group for AVD users"
  value       = azuread_group.aad_group.display_name
}

6. Terraform を初期化する

terraform init を実行して、Terraform のデプロイを初期化します。 このコマンドによって、Azure リソースを管理するために必要な Azure プロバイダーがダウンロードされます。

terraform init -upgrade

重要なポイント:

  • -upgrade パラメーターは、必要なプロバイダー プラグインを、構成のバージョン制約に準拠する最新バージョンにアップグレードします。

7. Terraform 実行プランを作成する

terraform plan を実行して、実行プランを作成します。

terraform plan -out main.tfplan

重要なポイント:

  • terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
  • 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。
  • 実行プランの永続化とセキュリティの詳細については、「セキュリティの警告」セクションを参照してください。

8. Terraform 実行プランを適用する

terraform apply を実行して、クラウド インフラストラクチャに実行プランを適用します。

terraform apply main.tfplan

重要なポイント:

  • terraform apply コマンドの例は、以前に terraform plan -out main.tfplan が実行されたことを前提としています。
  • -out パラメーターに別のファイル名を指定した場合は、terraform apply の呼び出しで同じファイル名を使用します。
  • -out パラメーターを使用しなかった場合は、パラメーターを指定せずに terraform apply を呼び出します。

これで、ロールベースのアクセス制御を使用してインフラストラクチャをビルドしてデプロイする準備ができました。

9.リソースをクリーンアップする

Terraform を使用して作成したリソースが不要になった場合は、次の手順を実行します。

  1. terraform plan を実行して、destroy フラグを指定します。

    terraform plan -destroy -out main.destroy.tfplan
    

    重要なポイント:

    • terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
    • 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。
    • 実行プランの永続化とセキュリティの詳細については、「セキュリティの警告」セクションを参照してください。
  2. terraform apply を実行して、実行プランを適用します。

    terraform apply main.destroy.tfplan
    

Azure での Terraform のトラブルシューティング

Azure で Terraform を使用する場合の一般的な問題のトラブルシューティング

次のステップ