マネージド ID を使用して Azure Spring Apps を Key Vault に接続する

[アーティクル]
02/02/2024

Note

Azure Spring Apps は、Azure Spring Cloud サービスの新しい名前です。サービスの名前は新しくなりましたが、スクリーンショット、ビデオ、図などの資産の更新に取り組んでいる間、場所によってはしばらく古い名前が表示されます。

この記事の適用対象: ✔️ Java ❌ C#

この記事では、Azure Spring Apps にデプロイされたアプリのシステム割り当てマネージド ID またはユーザー割り当てマネージド ID を作成し、それを使用して Azure Key Vault にアクセスする方法について説明します。

Azure Key Vault を使用すると、対象のアプリのトークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます。 Microsoft Entra ID でマネージド ID を作成したうえで、Key Vault を含め、Microsoft Entra 認証をサポートする任意のサービスに対して認証を行うことができます。資格情報をコードに表示する必要はありません。

次のビデオでは、Azure Key Vault を使用してシークレットを管理する方法について説明します。

前提条件

Azure サブスクリプション。サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ターゲットサブスクリプションで初めて Azure Spring Apps Enterprise プランインスタンスをデプロイする場合は、「Azure Marketplace の Enterprise プラン」の「要件」セクションを参照してください。
Azure CLI バージョン 2.55.0 以降。

Azure サブスクリプション。サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure CLI バージョン 2.55.0 以降。

各リソースの名前を指定する

次のコマンドを使用して、リソースを保持する変数を作成します。プレースホルダーは必ず、独自の値で置き換えてください。

システム割り当てマネージド ID
ユーザー割り当てマネージド ID

export LOCATION=<location>
export RESOURCE_GROUP=myresourcegroup
export SPRING_APPS=myasa
export APP=springapp-system
export KEY_VAULT=<your-keyvault-name>

export LOCATION=<location>
export RESOURCE_GROUP=myresourcegroup
export SPRING_APPS=myasa
export APP=springapp-user
export KEY_VAULT=<your-keyvault-name>
export USER_ASSIGNED_IDENTITY=<user-assigned-identity-name>

リソースグループを作成する

リソースグループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。次の例に示すように、az group create コマンドを使用して、Key Vault と Spring Cloud の両方を含むリソースグループを作成します。

az group create --name ${RESOURCE_GROUP} --location ${LOCATION}

キーコンテナーを設定する

Key Vault を作成するには、次の例に示すように az keyvault create コマンドを使用します。

重要

各キーコンテナーには一意の名前が必要です。

az keyvault create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${KEY_VAULT}

次のコマンドを使用してアプリの URL を表示し、返された URL の形式 https://${KEY_VAULT}.vault.azure.netを書き留めます。この値は、次の手順で使用します。

az keyvault show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${KEY_VAULT} \
    --query properties.vaultUri --output tsv

次の例に示すように、az keyvault secret set コマンドを使用して、Key Vault にシークレットを配置できるようになりました。

az keyvault secret set \
    --vault-name ${KEY_VAULT} \
    --name "connectionString" \
    --value "jdbc:sqlserver://SERVER.database.windows.net:1433;database=DATABASE;"

Azure Spring Apps サービスおよびアプリを作成する

対応するすべての拡張機能をインストールしたら、次のコマンドを使用して Azure Spring Apps インスタンスを作成します。

az extension add --upgrade --name spring
az spring create \
    --resource-group ${RESOURCE_GROUP} \
    --sku Enterprise \
    --name ${SPRING_APPS}

システム割り当てマネージド ID
ユーザー割り当てマネージド ID

次の例では、パラメーターの要求に従って、システム割り当てマネージド ID を使用してアプリを --system-assigned 作成します。

az spring app create \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --assign-endpoint true \
    --system-assigned
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --query identity.principalId --output tsv)

次のコマンドを使用して、ユーザー割り当てマネージド ID を作成します。

az identity create --resource-group ${RESOURCE_GROUP} --name ${USER_ASSIGNED_IDENTITY}
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${USER_ASSIGNED_IDENTITY} \
    --query principalId --output tsv)
export USER_IDENTITY_RESOURCE_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${USER_ASSIGNED_IDENTITY} \
    --query id --output tsv)

次のコマンドは、パラメーターの要求に従って、ユーザー割り当てマネージド ID を使用してアプリを --user-assigned 作成します。

az spring app create \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --user-assigned $USER_IDENTITY_RESOURCE_ID \
    --assign-endpoint true

az extension add --upgrade --name spring
az spring create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${SPRING_APPS}

システム割り当てマネージド ID
ユーザー割り当てマネージド ID

次の例では、--system-assigned パラメーターの要求どおりに、システム割り当てマネージド ID を持つ springapp という名前のアプリを作成します。

az spring app create \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --assign-endpoint true \
    --runtime-version Java_17 \
    --system-assigned
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --query identity.principalId --output tsv)

次のコマンドを使用して、ユーザー割り当てマネージド ID を作成します。

az identity create --resource-group ${RESOURCE_GROUP} --name ${USER_ASSIGNED_IDENTITY}
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${USER_ASSIGNED_IDENTITY} \
    --query principalId --output tsv)
export USER_IDENTITY_RESOURCE_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${USER_ASSIGNED_IDENTITY} \
    --query id --output tsv)

次のコマンドは、パラメーターによって要求されたユーザー割り当てマネージド ID を使用してアプリを --user-assigned 作成します。

az spring app create \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --user-assigned $USER_IDENTITY_RESOURCE_ID \
    --runtime-version Java_17 \
    --assign-endpoint true

Key Vault へのアクセス許可をアプリに付与する

次のコマンドを使用して、Key Vault への適切なアクセス権をアプリに付与します。

az keyvault set-policy \
    --name ${KEY_VAULT} \
    --object-id ${MANAGED_IDENTITY_PRINCIPAL_ID} \
    --secret-permissions set get list

Note

システム割り当てマネージド ID の場合は、システム割り当てマネージド ID が無効になった後、アプリのアクセスを削除するために使用 az keyvault delete-policy --name ${KEY_VAULT} --object-id ${MANAGED_IDENTITY_PRINCIPAL_ID} します。

Spring Boot スターターを使用してサンプルの Spring Boot アプリをビルドする

このアプリには、Azure Key Vault からシークレットを取得するためのアクセス権があります。 Azure Key Vault Secrets Spring ブートスターターを使用します。 Azure Key Vault は、Spring PropertySource のインスタンスとして追加されます。 Azure Key Vault に格納されているシークレットは、ファイル内のプロパティなどの外部化された構成プロパティと同様に、簡単にアクセスして使用できます。

次のコマンドを使用して、Azure Key Vault Spring スターターで start.spring.io からサンプルプロジェクトを生成します。

curl https://start.spring.io/starter.tgz -d dependencies=web,azure-keyvault -d baseDir=springapp -d bootVersion=3.2.1 -d javaVersion=17 -d type=maven-project | tar -xzvf -

対象のアプリで使用するキーコンテナーを指定します。
```
cd springapp
vim src/main/resources/application.properties
```
Azure Spring Apps にデプロイされたアプリでマネージド ID を使用するには、次の内容のプロパティを src/main/resources/application.properties ファイルに追加します。
- システム割り当てマネージド ID
- ユーザー割り当てマネージド ID
```
spring.cloud.azure.keyvault.secret.property-sources[0].endpoint=<your-keyvault-url>
spring.cloud.azure.keyvault.secret.property-sources[0].credential.managed-identity-enabled=true
```
次のコマンドを使用して、ユーザー割り当てマネージド ID のクライアント ID を照会します。
```
az identity show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${USER_ASSIGNED_IDENTITY} \
    --query clientId --output tsv
```
```
spring.cloud.azure.keyvault.secret.property-sources[0].endpoint=<your-keyvault-url>
spring.cloud.azure.keyvault.secret.property-sources[0].credential.managed-identity-enabled=true
spring.cloud.azure.keyvault.secret.property-sources[0].credential.client-id=<client-ID-of-user-assigned-managed-identity>
```
Note

前に示されているように、application.properties ファイルにキーコンテナーの URL を追加する必要があります。そうしないと、キーコンテナーの URL が実行時に取得されない場合があります。

src/メイン/java/com/example/demo/DemoApplication.java を次のコード例で更新します。このコードは、Key Vault から接続文字列を取得します。

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.CommandLineRunner;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@SpringBootApplication
@RestController
public class DemoApplication implements CommandLineRunner {

    @Value("${connectionString}")
    private String connectionString;

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    @GetMapping("get")
    public String get() {
        return connectionString;
    }

    public void run(String... args) throws Exception {
        System.out.println(String.format("\nConnection String stored in Azure Key Vault:\n%s\n",connectionString));
    }
}

pom.xml ファイルを開くと、次の例に示すように spring-cloud-azure-starter-keyvault 依存関係を確認できます。

<dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-keyvault</artifactId>
</dependency>

次のコマンドを使用して、アプリを Azure Spring Apps にデプロイします。

az spring app deploy \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --source-path

次のコマンドを使用して、アプリを Azure Spring Apps にデプロイします。

az spring app deploy \
    --resource-group ${RESOURCE_GROUP} \
    --service ${SPRING_APPS} \
    --name ${APP} \
    --source-path \
    --build-env BP_JVM_VERSION=17

アプリをテストするために、次のコマンドを使用して、パブリックエンドポイントまたはテストエンドポイントにアクセスします。
```
curl https://${SPRING_APPS}-${APP}.azuremicroservices.io/get
```
次のメッセージが応答本文 jdbc:sqlserver://SERVER.database.windows.net:1433;database=DATABASE;で返されます。

リソースをクリーンアップする

次のコマンドを使用して、新しく作成されたサービスインスタンスを含むリソースグループ全体を削除します。

az group delete --name ${RESOURCE_GROUP} --yes

Share via

マネージド ID を使用して Azure Spring Apps を Key Vault に接続する

前提条件

各リソースの名前を指定する

リソースグループを作成する

キーコンテナーを設定する

Azure Spring Apps サービスおよびアプリを作成する

Key Vault へのアクセス許可をアプリに付与する

Spring Boot スターターを使用してサンプルの Spring Boot アプリをビルドする

リソースをクリーンアップする

次のステップ

その他のリソース

Share via

マネージド ID を使用して Azure Spring Apps を Key Vault に接続する

前提条件

各リソースの名前を指定する

リソース グループを作成する

キー コンテナーを設定する

Azure Spring Apps サービスおよびアプリを作成する

Key Vault へのアクセス許可をアプリに付与する

Spring Boot スターターを使用してサンプルの Spring Boot アプリをビルドする

リソースをクリーンアップする

次のステップ

その他のリソース

リソースグループを作成する

キーコンテナーを設定する