チュートリアル:ブループリント サンプルから環境を作成する

重要

2026 年 7 月 11 日に、Blueprints (プレビュー) は非推奨になります。 既存のブループリントの定義と割り当てを Template Specs とデプロイ スタックに移行します。 ブループリント アーティファクトは、デプロイ スタックの定義に使用される ARM JSON テンプレートまたは Bicep ファイルに変換されます。 アーティファクトを ARM リソースとして作成する方法については、次を参照してください。

• ポリシー
• RBAC
• デプロイ

サンプルのブループリントは、Azure Blueprints を使用して行うことのできる処理の例を示します。 それぞれは特定の意図または目的を持つサンプルですが、単独で完全な環境が作成されるわけではありません。 それぞれが、含まれている成果物、設計、およびパラメーターをさまざまに組み合わせて Azure Blueprints を使用して探索するための出発点と見なされます。

次のチュートリアルでは、RBAC を使用するリソース グループ ブループリント サンプルを使用して、Azure Blueprints サービスのさまざまな側面を示します。 ここで示す手順は次のとおりです。

• サンプルから新しいブループリント定義を作成する
• サンプルのコピーを発行済みとしてマークする
• ブループリントのコピーを既存のサブスクリプションに割り当てる
• 割り当てにデプロイされたリソースを調べる
• ブループリントの割り当てを解除してロックを削除する

前提条件

このチュートリアルを完了するには、Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

サンプルからブループリント定義を作成する

最初に、ブループリント サンプルを実装します。 インポートを実行すると、サンプルに基づいて新しいブループリントが環境に作成されます。

1. 左側のウィンドウにある [すべてのサービス] を選択します。 [ブループリント] を探して選択します。

2. 左側の [はじめに] ページで、 [ブループリントの作成] の下にある [作成] ボタンを選択します。

3. [その他のサンプル] で [RBAC を使用するリソース グループ] ブループリント サンプルを探して、それを選択します。

4. ブループリント サンプルの [基本] を入力します。

   • [ブループリントの名前] : ブループリント サンプルのコピーの名前を指定します。 このチュートリアルでは、two-rgs-with-role-assignments という名前を使用します。
   • [定義の場所] :省略記号を使用して、サンプルのコピーを保存する管理グループまたはサブスクリプションを選択します。

5. ページの上部にある [アーティファクト] タブまたはページの下部にある [次へ: アーティファクト] を選択します。

6. ブループリント サンプルを構成するアーティファクトの一覧を確認します。 このサンプルでは、表示名が ProdRG および PreProdRG である 2 つのリソース グループを定義します。 各リソース グループの最終的な名前と場所は、ブループリントの割り当て時に設定されます。 ProdRG リソース グループには 共同作成者 ロールが割り当てられ、PreProdRG リソース グループには 所有者 ロールと 閲覧者 ロールが割り当てられます。 定義で割り当てられたロールは静的ですが、ロールを割り当てるユーザー、アプリ、またはグループは、ブループリントの割り当て時に設定されます。

7. ブループリント サンプルの確認が完了したら、 [下書きの保存] を選択します。

この手順では、選択した管理グループまたはサブスクリプションにサンプルのブループリント定義のコピーを作成します。 保存したブループリント定義は、最初から作成したブループリントと同様に管理されます。 管理グループまたはサブスクリプションに必要な回数だけサンプルを保存できます。 ただし、各コピーには一意の名前を指定する必要があります。

"ブループリント定義の保存に成功しました" というポータルの通知が表示されたら、次の手順に移ります。

サンプルのコピーを発行する

環境でのブループリント サンプルのコピーの作成が完了しました。 これは下書きモードで作成されており、割り当ておよびデプロイの前に発行する必要があります。 ブループリント サンプルのコピーは、環境とニーズに合わせてカスタマイズできます。 このチュートリアルでは、変更を加えません。

1. 左側のウィンドウにある [すべてのサービス] を選択します。 [ブループリント] を探して選択します。

2. 左側の [ブループリントの定義] ページを選択します。 フィルターを使用してブループリント定義 two-rgs-with-role-assignments を検索し、選択します。

3. ページの上部にある [ブループリントを発行する] を選択します。 右側の新しいウィンドウで、ブループリント サンプルのコピーの [バージョン] を [1.0] に設定します。 このプロパティは、後で変更を加える場合に役立ちます。 [変更に関するメモ] に入力します (例: 「RBAC を使用するリソース グループのブループリント サンプルから発行する最初のバージョン」)。次に、ページの下部にある [発行] を選びます。

この手順では、ブループリントをサブスクリプションに割り当てることができます。 発行後に変更を行うことも可能です。 追加の変更の際は、同じブループリント定義のバージョン間の違いを追跡するために、 [バージョン] の新しい値を使用して発行を行う必要があります。

"ブループリント定義が正常に発行されました" というポータルの通知が表示されたら、次の手順に移ります。

サンプルのコピーを割り当てる

正常に発行されたブループリント サンプルのコピーは、保存先の管理グループ内のサブスクリプションに割り当てることができます。 この手順では、ブループリント サンプルのコピーの各デプロイを一意にするためのパラメーターを指定します。

1. 左側のウィンドウにある [すべてのサービス] を選択します。 [ブループリント] を探して選択します。

2. 左側の [ブループリントの定義] ページを選択します。 フィルターを使用してブループリント定義 two-rgs-with-role-assignments を検索し、選択します。

3. ブループリント定義ページの上部にある [ブループリントの割り当て] を選択します。

4. ブループリント割り当て用のパラメーター値を指定します。

   • 基本

     • サブスクリプション:ブループリント サンプルのコピーを保存した管理グループ内の 1 つ以上のサブスクリプションを選択します。 複数のサブスクリプションを選択すると、入力したパラメーターを使用して、それぞれに対して割り当てが作成されます。
     • 割り当て名:名前は、ブループリント定義の名前に基づいてあらかじめ設定されています。
     • [場所] :マネージド ID を作成するリージョンを選択します。 Azure Blueprints では、このマネージド ID を使用して、割り当てられたブループリントにすべての成果物をデプロイします。 詳細については、Azure リソースの管理対象 ID の概要に関するページをご覧ください。 このチュートリアルでは、 [米国東部 2] を選択します。
     • ブループリント定義ラベル:サンプルのブループリント定義のコピーの [発行済み] バージョン [1.0] を選択します。

   • ロックの割り当て

     [読み取り専用] のブループリントのロック モードを選択します。 詳細については、ブループリント リソースのロックに関するページを参照してください。

   • マネージド ID

     既定の [システム割り当て済み] オプションのままにします。 詳細については、マネージド ID に関するページを参照してください。

   • アーティファクトのパラメーター

     このセクションで定義するパラメーターは、定義対象のアーティファクトに適用されます。 これらのパラメーターはブループリントの割り当て時に定義されるので、動的パラメーターです。 各成果物に対して、パラメーター値を [値] 列に定義されている内容に設定してください。 {Your ID} に対しては、Azure ユーザー アカウントを選択してください。

     アーティファクト名	アーティファクトの種類	パラメーター名	値	説明
     ProdRG リソース グループ	Resource group	名前	ProductionRG	最初のリソース グループの名前を定義します。
     ProdRG リソース グループ	Resource group	場所	米国西部 2	最初のリソース グループの場所を設定します。
     Contributor	ロール割り当て	ユーザーまたはグループ	{ユーザー ID}	共同作成者 ロールの割り当てを付与する、最初のリソース グループ内のユーザーまたはグループを定義します。
     PreProdRG リソース グループ	Resource group	名前	PreProductionRG	2 番目のリソース グループの名前を定義します。
     PreProdRG リソース グループ	Resource group	場所	米国西部	2 番目のリソース グループの場所を設定します。
     所有者	ロール割り当て	ユーザーまたはグループ	{ユーザー ID}	所有者 ロールの割り当てを付与する、2 番目のリソース グループ内のユーザーまたはグループを定義します。
     閲覧者	ロール割り当て	ユーザーまたはグループ	{ユーザー ID}	閲覧者 ロールの割り当てを付与する、2 番目のリソース グループ内のユーザーまたはグループを定義します。

5. すべてのパラメーターの入力が完了したら、ページの下部にある [割り当て] を選択します。

この手順では、定義されたリソースをデプロイし、選択したロックの割り当てを構成します。 ブループリントのロックの適用には最長 30 分かかる場合があります。

"ブループリント定義の割り当て完了" というポータルの通知が表示されたら、次の手順に移ります。

割り当てによってデプロイされたリソースを調べる

ブループリントの割り当てによって、ブループリント定義で定義されている成果物が作成および追跡されます。 ブループリントの割り当てページから、およびリソースを直接調べることで、リソースの状態がわかります。

1. 左側のウィンドウにある [すべてのサービス] を選択します。 [ブループリント] を探して選択します。

2. 左側の [割り当てられたブループリント] ページを選択します。 フィルターを使用してブループリントの割り当て Assignment-two-rgs-with-role-assignments を検索し、選択します。

   このページから、割り当てが成功したこと、および作成されたリソースの一覧とそのブループリントのロック状態がわかります。 割り当てが更新された場合は、各定義のバージョンのデプロイに関する詳細が [割り当ての操作] ドロップダウン リストに表示されます。 表示された作成済みの各リソースを選択すると、そのリソースのプロパティ ページが開きます。

3. [ProductionRG] リソース グループを選択します。

   リソース グループの名前は ProductionRG であり、成果物の表示名である ProdRG でないことがわかります。 この名前は、ブループリントの割り当て時に設定された値と一致します。

4. 左側の [アクセス制御 (IAM)] ページを選択し、 [ロール割り当て] タブを選択します。

   ここでは、 [このリソース] のスコープで 共同作成者 ロールがアカウントに付与されていることがわかります。 ブループリントの割り当て Assignment-two-rgs-with-role-assignments はリソース グループの作成に使用されたため、所有者 ロールが割り当てられています。 これらのアクセス許可は、構成済みのブループリントのロックを持つリソースの管理にも使用されます。

5. Azure portal の階層リンクで、 [Assignment-two-rgs-with-role-assignments] を選択して 1 ページに戻り、 [PreProductionRG] リソース グループを選択します。

6. 左側の [アクセス制御 (IAM)] ページを選択し、 [ロール割り当て] タブを選択します。

   ここでは、 [このリソース] のスコープで 所有者 ロールと 閲覧者 ロールの両方がアカウントに付与されていることがわかります。 最初のリソース グループと同様に、ブループリントの割り当てには 所有者 ロールも割り当てられています。

7. [拒否割り当て] タブを選択します。

   ブループリントの割り当てでは、デプロイされたリソース グループに対して拒否割り当てが作成され、 [読み取り専用] のブループリントのロック モードが適用されました。 拒否割り当てにより、 [ロール割り当て] タブに表示されている適切な権限を持つユーザーが特定のアクションを実行できなくなります。 拒否割り当ては "すべてのプリンシパル" に適用されます。

8. 拒否割り当てを選択し、左側の [拒否されたアクセス許可] ページを選択します。

   拒否割り当てでは、* と Action 構成を使用してすべての操作を禁止しますが、NotActions を使用して */read を除外することで読み取りアクセスを許可します。

9. Azure portal の階層リンクで、 [PreProductionRG - アクセス制御 (IAM)] を選択します。 次に、左側の [概要] ページを選択し、 [リソース グループの削除] ボタンをクリックします。 「PreProductionRG」という名前を入力して削除を確定し、ウィンドウの下部にある [削除] を選択します。

   "リソース グループ PreProductionRG の削除に失敗しました" というポータルの通知が表示されます。 このエラーは、アカウントにリソース グループを削除するアクセス許可はあるが、ブループリントの割り当てによってアクセスが拒否されたことを示しています。 ブループリントの割り当て時にブループリントのロック モードとして [読み取り専用] を選択したことを思い出してください。 ブループリントのロックにより、アクセス許可を持つアカウントは (所有者 であっても) リソースを削除できなくなります。 詳細については、ブループリント リソースのロックに関するページを参照してください。

上記の手順では、リソースが定義どおりに作成されたこと、およびブループリントのロックによって不必要な削除 (アクセス許可を持つアカウントが行った操作であっても) が禁止されたことを示します。

ブループリントの割り当てを解除する

最後の手順では、ブループリントの割り当てとデプロイされたリソースを削除します。 割り当てを削除しても、デプロイされた成果物は削除されません。

1. 左側のウィンドウにある [すべてのサービス] を選択します。 [ブループリント] を探して選択します。

2. 左側の [割り当てられたブループリント] ページを選択します。 フィルターを使用してブループリントの割り当て Assignment-two-rgs-with-role-assignments を検索し、選択します。

3. ページの上部にある [ブループリントの割り当て解除] ボタンを選択します。 確認ダイアログ内の警告を読んでから、 [OK] を選択します。

   ブループリントの割り当てを削除すると、ブループリントのロックも削除されます。 作成されたリソースは、アクセス許可を持つアカウントによってもう一度削除できます。

4. Azure メニューから [リソース グループ] を選択し、 [ProductionRG] を選択します。

5. 左側の [アクセス制御 (IAM)] ページを選択し、 [ロール割り当て] タブを選択します。

各リソース グループのセキュリティにはデプロイされたロールの割り当てが依然としてありますが、ブループリントの割り当てには "所有者" アクセスがありません。

"ブループリント割り当ての削除完了" というポータルの通知が表示されたら、次の手順に移ります。

リソースをクリーンアップする

このチュートリアルを完了したら、次のリソースを削除してください。

• リソース グループ ProductionRG
• リソース グループ PreProductionRG
• ブループリント定義 two-rgs-with-role-assignments

次のステップ

このチュートリアルでは、サンプル定義から新しいブループリントを作成する方法について学習しました。 Azure Blueprints の詳細については、ブループリントのライフサイクルに関する記事に進んでください。

ブループリントのライフサイクルについて学習する