Azure Spring Apps のアプリケーションのシステム割り当てマネージド ID を有効にする

[アーティクル]
02/01/2024

Note

Azure Spring Apps は、Azure Spring Cloud サービスの新しい名前です。サービスの名前は新しくなりましたが、スクリーンショット、ビデオ、図などの資産の更新に取り組んでいる間、場所によってはしばらく古い名前が表示されます。

この記事の適用対象: ✔️ Basic または Standard ✔️ Enterprise

この記事では、Azure portal と CLI を使用して、Azure Spring Apps でアプリケーションのシステム割り当てマネージド ID を有効または無効にする方法を示します。

Azure リソースのマネージド ID では、Microsoft Entra ID で自動的に管理される ID が、Azure Spring Apps のアプリケーションなどの Azure リソースに提供されます。この ID を使用すると、コード内に資格情報を記述することなく、Microsoft Entra の認証をサポートする任意のサービスに対して認証を行うことができます。

前提条件

Azure リソースのマネージド ID に慣れていない場合は、「Azure リソースのマネージド ID とは」を参照してください。

Azure Spring Apps Enterprise プランのインスタンスが既にプロビジョニングされている。詳細については、「クイックスタート: Enterprise プランを使用してアプリをビルドし Azure Spring Apps にデプロイする」をご覧ください。
Azure CLI バージョン 2.45.0 以上。
Azure CLI 用 Azure Spring Apps 拡張機能では、バージョン 1.0.0 以降のアプリユーザー割り当てマネージド ID がサポートされています。次のコマンドを使用して、以前のバージョンを削除し、最新の拡張機能をインストールします。
```
az extension remove --name spring
az extension add --name spring
```

Azure Spring Apps インスタンスが既にプロビジョニングされていること。詳細については、「クイックスタート: 初めてのアプリケーションを Azure Spring Apps にデプロイする」を参照してください。
Azure CLI バージョン 2.45.0 以上。
Azure CLI 用 Azure Spring Apps 拡張機能では、バージョン 1.0.0 以降のアプリユーザー割り当てマネージド ID がサポートされています。次のコマンドを使用して、以前のバージョンを削除し、最新の拡張機能をインストールします。
```
az extension remove --name spring
az extension add --name spring
```

システム割り当て ID を追加する

システム割り当て ID を持つアプリを作成するには、アプリケーションにその他のプロパティを設定する必要があります。

ポータル
Azure CLI

Azure portal でマネージド ID を設定するには、先にアプリを作成し、その後でこの機能を有効にします。

ポータルを使って通常の方法でアプリを作成します。ポータルでアプリに移動します。
左側のナビゲーションペインで、[設定] グループまで下へスクロールします。
[ID] を選択します。
[システム割り当て済み] タブで、 [状態] を [オン] に切り替えます。 [保存] を選択します。

システム割り当てマネージド ID は、アプリの作成時に有効にするか、既存のアプリに対して有効にできます。

アプリの作成時にシステム割り当てマネージド ID を有効にする

次の例では、--assign-identity パラメーターの要求どおりに、システム割り当てマネージド ID を持つ app_name という名前のアプリが作成されます。

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

既存のアプリでシステム割り当てマネージド ID を有効にする**

az spring app identity assign コマンドを使用して、既存のアプリ上でシステム割り当て ID を有効にします。

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Azure リソースのトークンを取得する

アプリは、そのマネージド ID を使って、Azure Key Vault など Microsoft Entra ID で保護されているその他のリソースにアクセスするトークンを取得できます。これらのトークンは、アプリケーションの特定のユーザーではなく、リソースにアクセスするアプリケーションを表します。

自分のアプリケーションからのアクセスを許可するようにターゲットリソースを構成することが必要になる場合があります。たとえば、Key Vault にアクセスするためのトークンを要求する場合は、お使いのアプリケーションの ID を含むアクセスポリシーを追加していることを確認してください。追加しないと、トークンを含めた場合でも、Key Vault の呼び出しは拒否されます。 Microsoft Entra トークンをサポートするリソースの詳細については、マネージド ID を使用して他のサービスにアクセスできる Azure サービスを参照してください。

Azure Spring Apps では、トークンの取得に Azure Virtual Machine と同じエンドポイントが共有されます。 Java SDK または Spring Boot Starter を使用してトークンを取得することをお勧めします。トークンの有効期限や HTTP エラーの処理などの重要なトピックに関するさまざまなコードとスクリプトの例とガイダンスについては、「Azure VM 上で Azure リソースのマネージド ID を使用してアクセストークンを取得する方法」を参照してください。

アプリからシステム割り当て ID を無効にする

システム割り当て ID を削除すると、それは Microsoft Entra ID からも削除されます。アプリリソースを削除すると、Microsoft Entra ID からシステム割り当て ID が自動的に削除されます。

ポータル
Azure CLI

不要になったアプリからシステム割り当てマネージド ID を削除するには、次の手順に従います:

Azure Spring Apps インスタンスが含まれている Azure サブスクリプションに関連付けられているアカウントを使用して、Azure portal にサインインします。
目的のアプリケーションに移動し、[ID] を選択します。
[システム割り当て済み]/[状態] で [オフ] を選択し、[保存] を選択します。

不要になったシステム割り当てマネージド ID をアプリから削除するには、次のコマンドを使用します。

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

オブジェクト ID (プリンシパル ID) からクライアント ID を取得する

オブジェクト/プリンシパル ID 値からクライアント ID を取得するには、次のコマンドを使用します:

az ad sp show --id <object-ID> --query appId