Deployment

I stället för att konfigurera Azure App Configuration manuellt kan du behandla konfigurationen som en distribuerbar artefakt. App Configuration har stöd för följande metoder för att läsa och hantera konfigurationen under distributionen:

• En Azure Resource Manager-mall (ARM-mall)
• Biceps
• Terraform

När du använder automatiserade distributionsprocesser för att hantera konfigurationen behöver de tjänsthuvudnamn som utför distributionen specifika roller och behörigheter för att få åtkomst till appkonfigurationsresurser och data. I den här artikeln beskrivs de roller och behörigheter som krävs. Den visar också hur du konfigurerar distributioner när du använder ett privat nätverk för att få åtkomst till App Configuration.

Hantera appkonfigurationsresurser i distribution

Du måste ha Azure Resource Manager-behörighet för att hantera appkonfigurationsresurser.

Azure Resource Manager-auktorisering

Vissa roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC) ger de behörigheter du behöver för att hantera appkonfigurationsresurser. Mer specifikt ger roller som tillåter följande åtgärder dessa behörigheter:

• Microsoft.AppConfiguration/configurationStores/write
• Microsoft.AppConfiguration/configurationStores/*

Inbyggda roller som tillåter dessa åtgärder innehåller följande roller:

• Owner
• Contributor

Mer information om Azure RBAC och Microsoft Entra-ID finns i Access Azure App Configuration using Microsoft Entra ID (Åtkomst till Azure App Configuration med Microsoft Entra-ID).

Hantera appkonfigurationsdata i distributionen

Du kan hantera appkonfigurationsdata, till exempel nyckelvärden och ögonblicksbilder, i distributionen. När du hanterar App Configuration-data som en distributionsbar artefakt rekommenderar vi att du ställer in autentiseringsläget för Azure Resource Manager i konfigurationsarkivet till Direkt. I det här autentiseringsläget:

• Dataåtkomst kräver en kombination av dataplans- och Azure Resource Manager-hanteringsroller.
• Dataåtkomst kan hänföras till distributionsanroparen i granskningssyfte.

Viktigt!

Api-versionen 2023-08-01-preview av kontrollplanet för appkonfiguration eller senare krävs för att konfigurera Azure Resource Manager-autentiseringsläget med hjälp av en ARM-mall, Bicep eller REST-API:et. Exempel på REST API finns i GitHub-lagringsplatsen azure-rest-api-specs .

Autentiseringsläge för Azure Resource Manager

Utför följande steg om du vill använda Azure-portalen för att konfigurera Azure Resource Manager-autentiseringsläget för en appkonfigurationsresurs:

1. Logga in på Azure-portalen och gå till din appkonfigurationsresurs.

2. Välj Inställningar>Åtkomstinställningar.

   

3. På sidan Åtkomstinställningar går du till avsnittet Autentiseringsläge för Azure Resource Manager . Bredvid Autentiseringsläge väljer du ett autentiseringsläge. Genomströmning är det rekommenderade läget.

   

Anmärkning

Läget Lokal autentisering tillhandahålls för bakåtkompatibilitet. Det finns flera begränsningar i det här läget:

• Korrekt granskning för åtkomst till data i distributionen stöds inte.
• Åtkomst till nyckelvärdesdata i en ARM-mall, Bicep och Terraform inaktiveras om åtkomstnyckelautentisering är inaktiverad.
• Behörigheter för appkonfigurationsdataplan krävs inte för åtkomst till data.

Auktorisering av appkonfiguration

När Azure Resource Manager-autentiseringsläget för din appkonfigurationsresurs är direkt måste du ha behörighet att läsa och hantera appkonfigurationsdata i distributionen. Resursen kan också ha andra behörighetskrav för baslinjehantering.

Behörigheter för appkonfigurationsdataplanet omfattar följande åtgärder:

• Microsoft.AppConfiguration/configurationStores/*/read
• Microsoft.AppConfiguration/configurationStores/*/write

Inbyggda roller som tillåter dataplansåtgärder innehåller följande roller:

• Appkonfigurationsdataägare: Tillåter Microsoft.AppConfiguration/configurationStores/*/read och Microsoft.AppConfiguration/configurationStores/*/write åtgärder, bland annat
• Dataläsare för appkonfiguration: Tillåter Microsoft.AppConfiguration/configurationStores/*/read åtgärder

Mer information om Azure RBAC och Microsoft Entra-ID finns i Access Azure App Configuration using Microsoft Entra ID (Åtkomst till Azure App Configuration med Microsoft Entra-ID).

Åtkomst till privat nätverk

När du begränsar en appkonfigurationsresurs till åtkomst till privata nätverk blockeras distributioner som har åtkomst till appkonfigurationsdata via offentliga nätverk. För att distributioner ska lyckas när åtkomsten till en appkonfigurationsresurs är begränsad till privata nätverk måste du vidta följande åtgärder:

• Konfigurera en privat länk för Azure Resource Management.
• I din appkonfigurationsresurs anger du autentiseringsläget för Azure Resource Manager till Direkt.
• I din appkonfigurationsresurs aktiverar du åtkomst till privata Azure Resource Manager-nätverk.
• Kör distributioner med åtkomst till appkonfigurationsdata via den konfigurerade privata länken i Azure Resource Manager.

När alla dessa villkor uppfylls kan distributioner komma åt appkonfigurationsdata.

Utför följande steg för att använda Azure-portalen för att aktivera åtkomst till privata Azure Resource Manager-nätverk för en appkonfigurationsresurs:

1. Logga in på Azure-portalen och gå till din appkonfigurationsresurs.

2. Välj Inställningar>Nätverk.

   

3. Gå till fliken Privat åtkomst och välj sedan Aktivera privat nätverksåtkomst för Azure Resource Manager.

   

Anmärkning

Du kan endast aktivera åtkomst till privata Nätverk i Azure Resource Manager när du använder direktautentiseringsläge.

Nästa steg

Information om hur du använder en ARM-mall och Bicep för distribution finns i följande snabbstarter:

• Snabbstart: Skapa ett Azure App Configuration Store med hjälp av en ARM-mall
• Snabbstart: Skapa ett Azure App Configuration Store med Bicep