SAS トークンを使用してプライベート ARM テンプレートをデプロイする方法

Azure Resource Manager テンプレート (ARM テンプレート) がストレージ アカウントに配置されている場合、それが公開されないようにテンプレートへのアクセスを制限できます。 セキュリティで保護されたテンプレートにアクセスするには、そのテンプレート用に SAS (Shared Access Signature) トークンを作成し、デプロイ時にそのトークンを提供します。 この記事では、Azure PowerShell または Azure CLI を使用して SAS トークンで ARM テンプレートを安全にデプロイする方法について説明します。

プライベート ARM テンプレートへのアクセスを保護および管理する方法について、以下を行う方法が記載されています。

• セキュリティで保護されたコンテナーでのストレージ アカウントの作成
• ストレージ アカウントへのテンプレートのアップロード
• デプロイ時に SAS トークンを指定する

重要

SAS トークンを使用してプライベート テンプレートをセキュリティで保護する代わりに、テンプレート スペックを使用することを検討してください。 テンプレート スペックを使用すると、組織内の他のユーザーとテンプレートを共有し、Azure RBAC 経由でテンプレートへのアクセスを管理できます。

セキュリティで保護されたコンテナーでのストレージ アカウントの作成

次のスクリプトでは、テンプレートのセキュリティを確保するためにパブリック アクセスがオフになっているストレージ アカウントとコンテナーを作成できます。

PowerShell

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Azure CLI

az group create \
  --name "ExampleGroup" \
  --location "Central US"
az storage account create \
    --resource-group ExampleGroup \
    --location "Central US" \
    --sku Standard_LRS \
    --kind Storage \
    --name {your-unique-name}
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
az storage container create \
    --name templates \
    --public-access Off \
    --connection-string $connection

ストレージ アカウントにプライベートのテンプレートをアップロードする

これで、お使いのテンプレートをストレージ アカウントにアップロードする準備ができました。 使用するテンプレートへのパスを指定します。

PowerShell

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

Azure CLI

az storage blob upload \
    --container-name templates \
    --file azuredeploy.json \
    --name azuredeploy.json \
    --connection-string $connection

デプロイ時に SAS トークンを指定する

ストレージ アカウントにプライベートのテンプレートをデプロイするため、SAS トークンを生成してテンプレートの URI に含めます。 デプロイの完了に必要な時間を確保できるように有効期限を設定します。

重要

プライベート テンプレートを含む BLOB は、アカウント オーナーのみがアクセスできます。 ただし、BLOB の SAS トークンを作成すると、その URI を持つ誰もが BLOB にアクセスできるようになります。 もし別のユーザーが URI を傍受した場合、そのユーザーは、テンプレートにアクセスできます。 SAS トークンはお使いのテンプレートへのアクセスを制限する有効な方法ですが、パスワードのような機密データをテンプレートに直接含めないでください。

PowerShell

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Azure CLI

次の例は、Cloud Shell の Bash 環境で動作します。 その他の環境では、SAS トークンの有効期限を作成するために異なる構文が必要になる場合があります。

expiretime=$(date -u -d '30 minutes' +%Y-%m-%dT%H:%MZ)
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
token=$(az storage blob generate-sas \
    --container-name templates \
    --name azuredeploy.json \
    --expiry $expiretime \
    --permissions r \
    --output tsv \
    --connection-string $connection)
url=$(az storage blob url \
    --container-name templates \
    --name azuredeploy.json \
    --output tsv \
    --connection-string $connection)
az deployment group create \
  --resource-group ExampleGroup \
  --template-uri $url?$token

リンクされたテンプレートでの SAS トークン使用例については、「 Azure Resource Manager でのリンクされたテンプレートの使用」を参照してください。

次のステップ

• テンプレートのデプロイ方法については、「ARM テンプレートと Azure PowerShell を使用したリソースのデプロイ」を参照してください。
• テンプレートのパラメーターの定義については、 テンプレートの作成に関する記事を参照してください。