不需手動設定 Azure 應用程式組態,而是可以將您的組態視為可部署的成品。 應用程式組態支援下列方法,以在部署期間讀取和管理您的組態:
- Azure Resource Manager 範本 (ARM 範本)
- 肱二頭肌
- Terraform
當您使用自動化部署程序來管理您的組態時,執行部署的服務主體需要特定角色和權限,才能存取應用程式組態資源和資料。 本文討論這些必要的角色和權限。 它也會顯示當您使用私人網路來存取應用程式組態時如何設定部署。
管理部署中的應用程式組態資源
您必須擁有 Azure Resource Manager 權限,才能管理應用程式組態資源。
Azure Resource Manager 授權
某些 Azure 角色型存取控制 (Azure RBAC) 角色提供管理應用程式組態資源所需的權限。 具體而言,允許下列動作的角色會提供這些權限:
Microsoft.AppConfiguration/configurationStores/writeMicrosoft.AppConfiguration/configurationStores/*
允許這些動作的內建角色包括下列角色:
- Owner
- Contributor
如需使用 Azure RBAC 和 Microsoft Entra ID 的詳細資訊,請參閱使用 Microsoft Entra ID 存取 Azure 應用程式組態。
管理部署中的應用程式組態資料
您可以在部署中管理應用程式組態資料,例如索引鍵值和快照集。 當您將應用程式組態資料管理為可部署的成品時,建議您將設定存放區的 Azure Resource Manager 驗證模式設定為 [傳遞]。 在此驗證模式中:
- 資料存取需要資料平面和 Azure Resource Manager 管理角色的組合。
- 資料存取可以歸屬於部署呼叫者,以便進行稽核。
這很重要
需要應用程式組態控制平面 API 2023-08-01-preview 版本或更新版本,才能使用 ARM 範本、Bicep 或 REST API 來設定 Azure Resource Manager 驗證模式。 如需 REST API 範例,請參閱 azure-rest-api-specs GitHub 存放庫。
Azure Resource Manager 驗證模式
若要使用 Azure 入口網站來設定應用程式組態資源的 Azure Resource Manager 驗證模式,請採取下列步驟:
登入 Azure 入口網站,然後前往您的應用程式組態資源。
選取 [設定]> [存取設定]。
![應用程式組態資源的 Azure 入口網站側邊窗格的螢幕擷取畫面。在 [設定] 下,將 [存取設定] 強調顯示。](media/access-settings-blade.png)
在 [存取設定] 頁面上,前往 [Azure Resource Manager 驗證模式] 區段。 在 [驗證模式] 旁邊,選取驗證模式。 傳遞是建議的模式。
![[存取設定] 頁面上 [Azure Resource Manager 驗證模式] 區段的螢幕擷取畫面。已選取 [傳遞] 做為驗證模式。](media/quickstarts/deployment/select-passthrough-authentication-mode.png)
![[存取設定] 頁面上 [Azure Resource Manager 驗證模式] 區段的螢幕擷取畫面。已選取 [傳遞] 做為驗證模式。](media/quickstarts/deployment/select-passthrough-authentication-mode.png#lightbox)
備註
提供 [本機] 驗證模式的目的是為了回溯相容性。 此模式有幾個限制:
- 不支援存取部署中資料的適當稽核。
- 如果停用存取金鑰驗證,則會停用 ARM 範本、Bicep 和 Terraform 內的機碼值資料存取。
- 存取資料不需要應用程式組態資料平面權限。
應用程式組態授權
當您的應用程式組態資源的 Azure Resource Manager 驗證模式為 [傳遞] 時,您必須具有應用程式組態資料平面權限,才能讀取和管理部署中的應用程式組態資料。 資源也可以有其他基準管理權限需求。
應用程式組態資料平面權限包括下列動作:
Microsoft.AppConfiguration/configurationStores/*/readMicrosoft.AppConfiguration/configurationStores/*/write
允許資料平面動作的內建角色包括下列角色:
-
應用程式組態資料擁有者:允許
Microsoft.AppConfiguration/configurationStores/*/read和Microsoft.AppConfiguration/configurationStores/*/write動作等等 -
應用程式組態資料讀取者:允許
Microsoft.AppConfiguration/configurationStores/*/read動作
如需使用 Azure RBAC 和 Microsoft Entra ID 的詳細資訊,請參閱使用 Microsoft Entra ID 存取 Azure 應用程式組態。
私人網路存取
當您將應用程式組態資源限制為私人網路存取時,透過公用網路存取應用程式組態資料的部署會遭到封鎖。 若要在應用程式組態資源的存取受限於私人網路時成功部署,您必須採取下列動作:
- 設定 Azure 資源管理私人連結。
- 在您的應用程式組態資源中,將 Azure Resource Manager 驗證模式設定為 [傳遞]。
- 在您的應用程式組態資源中,啟用 Azure Resource Manager 私人網路存取。
- 透過已設定的 Azure Resource Manager 私人連結執行存取應用程式組態資料的部署。
符合這所有條件時,部署可以成功存取應用程式組態資料。
若要使用 Azure 入口網站來為應用程式組態資源啟用 Azure Resource Manager 私人網路存取,請採取下列步驟:
登入 Azure 入口網站,然後前往您的應用程式組態資源。
選取 [設定]>[網路]。
![應用程式組態資源的 Azure 入口網站側邊窗格的螢幕擷取畫面。在 [設定] 下,將 [網路] 強調顯示。](media/networking-blade.png)
前往 [私人存取] 索引標籤,然後選取 [啟用 Azure Resource Manager 私人網路存取]。
![[網路] 頁面上 [私人存取] 索引標籤的螢幕擷取畫面。已選取 [啟用 Azure Resource Manager 私人網路存取] 設定。](media/quickstarts/deployment/enable-azure-resource-manager-private-access.png)
![[網路] 頁面上 [私人存取] 索引標籤的螢幕擷取畫面。已選取 [啟用 Azure Resource Manager 私人網路存取] 設定。](media/quickstarts/deployment/enable-azure-resource-manager-private-access.png#lightbox)
備註
只有在使用 [傳遞] 驗證模式時,才能啟用 Azure Resource Manager 私人網路存取。
後續步驟
若要了解如何使用 ARM 範本和 Bicep 進行部署,請參閱下列快速入門: