Microsoft Entra ID を使用して Azure App Configuration へのアクセスを承認する

  • [アーティクル]

Azure App Configuration では、ハッシュ ベースのメッセージ認証コード (HMAC) の使用に加えて、App Configuration インスタンスに対する要求を認可するための Microsoft Entra ID の使用がサポートされています。 Microsoft Entra ID を使うことにより、Azure ロールベースのアクセス制御 (Azure RBAC) を使ってセキュリティ プリンシパルにアクセス許可を付与できます。 セキュリティ プリンシパルは、ユーザー、マネージド ID またはアプリケーション サービス プリンシパルのいずれかになります。 ロールおよびロールの割り当ての詳細については、各種ロールについてのページを参照してください。

概要

App Configuration リソースにアクセスするためにセキュリティ プリンシパルによって行われる要求は、承認される必要があります。 Microsoft Entra ID では、リソースへのアクセスは次の 2 段階のプロセスです。

  1. セキュリティ プリンシパルの ID が認証され、OAuth 2.0 トークンが返されます。 トークンを要求するリソース名は https://login.microsoftonline.com/{tenantID} であり、{tenantID} はサービス プリンシパルが属している Microsoft Entra テナントの ID と一致します。
  2. 指定されたリソースへのアクセスを承認するために、トークンが要求の一部として App Configuration サービスに渡されます。

認証の手順により、実行時にアプリケーション要求に OAuth 2.0 アクセス トークンが含まれる必要があります。 アプリケーションが Azure エンティティ (Azure Functions アプリ、Azure Web アプリ、Azure VM など) 内で実行されている場合、マネージド ID を使用してリソースにアクセスできます。 マネージド ID によって行われた Azure App Configuration への要求を認証する方法については、Microsoft Entra ID と Azure リソースのマネージド ID を使用して Azure App Configuration リソースへのアクセスを承認する方法に関する記事をご覧ください。

承認の手順では、セキュリティ プリンシパルに 1 つまたは複数の Azure ロールを割り当てる必要があります。 Azure App Configuration は、App Configuration リソースに対するアクセス許可セットを含む Azure ロールを提供します。 セキュリティ プリンシパルに割り当てられたロールによって、そのプリンシパルが持つアクセス許可が決定されます。 Azure ロールの詳細については、「Azure App Configuration の Azure 組み込みロール」を参照してください。

アクセス権の Azure ロールを割り当てる

Microsoft Entra は、Azure ロールベースのアクセス制御 (Azure RBAC) を通じて、セキュリティで保護されたリソースへのアクセス権を認可します。

Azure ロールが Microsoft Entra のセキュリティ プリンシパルに割り当てられると、Azure はそれらのリソースへのアクセスをそのセキュリティ プリンシパルに許可します。 アクセスの範囲は、App Configuration リソースに制限されます。 Microsoft Entra のセキュリティ プリンシパルは、ユーザー、グループ、アプリケーション サービス プリンシパル、または Azure リソースのマネージド ID の場合があります。

Azure App Configuration 用の Azure 組み込みロール

Azure には、Microsoft Entra ID を使って App Configuration データへのアクセスを認可するために、次の Azure 組み込みロールが用意されています。

  • App Configuration データ所有者: このロールを使用して、App Configuration データへの読み取り/書き込み/削除アクセス権を付与します。 このロールには、App Configuration リソースへのアクセスは許可されません。
  • App Configuration データ閲覧者: このロールを使用して、App Configuration データへの読み取りアクセス権を付与します。 このロールには、App Configuration リソースへのアクセスは許可されません。
  • 共同作成者または所有者: このロールを使用して、App Configuration リソースを管理します。 これは、リソースのアクセス キーへのアクセスを許可します。 App Configuration データにはアクセス キーを使ってアクセスできますが、このロールでは Microsoft Entra ID を使用したデータへの直接アクセスは許可されません。 デプロイ中に ARM テンプレート、Bicep、または Terraform を使用して App Configuration データにアクセスする場合は、このロールが必要です。 詳しくは、「デプロイ」を参照してください。
  • 閲覧者:このロールを使用して、App Configuration リソースへの読み取りアクセス権を付与します。 このロールには、リソースのアクセス キーへのアクセスと、App Configuration に格納されているデータへのアクセスは許可されません。

Note

ロール割り当てが ID に対して行われた後、アクセス許可が反映され、この ID を使用して App Configuration に格納されているデータにアクセスできるまで最大 15 分をみてください。

次のステップ

App Configuration サービスを管理するための マネージド ID の使用について詳しく説明します。