Azure Container Apps のマネージド ID

Microsoft Entra ID のマネージド ID により、コンテナー アプリは、Microsoft Entra で保護された他のリソースにアクセスできます。 Microsoft Entra ID のマネージド ID の詳細については、「Azure リソースのマネージド ID」を参照してください。

コンテナー アプリには 2 種類の ID を付与できます:

• システム割り当て ID はコンテナー アプリに関連付けられているため、コンテナー アプリが削除されると削除されます。 アプリは 1 つのシステム割り当て ID しか持つことはできません。
• ユーザー割り当て ID は、コンテナー アプリやその他のリソースに割り当てることができるスタンドアロンの Azure リソースです。 コンテナー アプリは複数のユーザー割り当て ID を持つことができます。 ID は、削除するまで存在します。

マネージド ID を使用する理由

実行中のコンテナー アプリでマネージド ID を使用すると、Microsoft Entra 認証をサポートしているサービスに対して認証できます。

マネージド ID を使用した場合:

• アプリは、マネージド ID を使用してリソースに接続します。 コンテナー アプリで資格情報を管理する必要はありません。
• ロールベースのアクセス制御を使用して、マネージド ID に特定のアクセス許可を付与できます。
• システム割り当て ID が自動的に作成され、管理されます。 コンテナー アプリが削除されると削除されます。
• ユーザー割り当て ID を追加および削除し、複数のリソースに割り当てることができます。 コンテナー アプリのライフ サイクルに依存しません。
• マネージド ID を使用すると、ユーザー名とパスワードなしでプライベート Azure Container Registry に対して認証を行い、Container App のコンテナーをプルすることができます。
• マネージド ID を使用して、Dapr コンポーネントを介して Dapr 対応アプリケーションの接続を作成できます

一般的なユース ケース

システム割り当て ID は、次のワークロードに最適です:

• 単一リソース内に格納されます
• 独立した ID が必要です

ユーザー割り当て ID は、次のワークロードに最適です:

• 複数のリソースで実行され、1 つの ID を共有できます
• セキュアなリソースに対し事前認証が必要です

制限事項

スケール ルールでのマネージド ID の使用はサポートされていません。 この場合も、スケーリング ルールの secretRef に接続文字列またはキーを含める必要があります。

Init コンテナーはマネージド ID にアクセスできません。

マネージド ID の構成

マネージド ID は、次の方法で構成できます:

• Azure portal
• Azure CLI
• 自分の Azure Resource Manager (ARM) テンプレート

実行中のコンテナー アプリでマネージド ID が追加、削除、または変更されると、アプリは自動的に再起動せず、新しいリビジョンは作成されません。

Note

2022 年 4 月 11 日より前にデプロイされたコンテナー アプリにマネージド ID を追加する場合は、新しいリビジョンを作成する必要があります。

システム割り当て ID を追加する

Azure Portal

1. コンテナー アプリのページの左側のナビゲーションで、[設定] グループまで下にスクロールします。

2. [ID] を選択します。

3. [システム割り当て済み] タブで、 [状態] を [オン] に切り替えます。 [保存] を選択します。

Azure CLI

az containerapp identity assignコマンドを実行して、システム割り当て ID を作成します。

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

ARM テンプレート

ARM テンプレートを使用して、コンテナー アプリとリソースのデプロイを自動化できます。 システム割り当て ID を追加するには、ARM テンプレートに identity セクションを追加します。

"identity": {
    "type": "SystemAssigned"
}

システム割り当てタイプを追加すると、Azure に対してアプリケーション用の ID を作成して管理するように指示されます。 ARM テンプレートの完全な例については、 ARM API の仕様に関するページを参照してください。

YAML

az containerapp create や az containerapp job create などの一部の Azure CLI コマンドでは、入力用の YAML ファイルがサポートされています。 システム割り当て ID を追加するには、YAML ファイルに identity セクションを追加します。

identity:
  type: SystemAssigned

システム割り当てタイプを追加すると、Azure に対してアプリケーション用の ID を作成して管理するように指示されます。 YAML テンプレートの完全な例については、ARM API の仕様に関するページを参照してください。

ユーザー割り当て ID を追加する

ユーザー割り当て ID を使用してコンテナー アプリを構成するには、まず ID を作成してから、そのリソース識別子をコンテナー アプリの構成に追加する必要があります。 ユーザー割り当て ID は、Azure portal または Azure CLI を使用して作成できます。 ユーザー割り当て ID の作成と管理の詳細については、「ユーザー割り当てマネージド ID の管理」を参照してください。

Azure Portal

最初に、ユーザー割り当て ID リソースを作成する必要があります。

1. 「ユーザー割り当てマネージド ID の管理」の手順に従って、ユーザー割り当てマネージド ID リソースを作成します。

2. コンテナー アプリのページの左側のナビゲーションで、[設定] グループまで下にスクロールします。

3. [ID] を選択します。

4. [ユーザー割り当て済み] タブ内で、[追加] を選択します。

5. 先ほど作成した ID を検索して選択します。 [追加] を選択します。

Azure CLI

1. ユーザー割り当て ID を作成します。

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   新しい ID の id プロパティをメモします。

2. az containerapp identity assignコマンドを実行して、ID をアプリに割り当てます。 ID パラメーターは、スペース区切りリストです。

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   ID の id プロパティを <IDENTITY_RESOURCE_ID> に置き換えます。 複数のユーザー割り当て ID を割り当てるには、--user-assigned パラメーターにスペースで区切られた ID のリストを指定します。

ARM テンプレート

1 つ以上のユーザー割り当て ID を追加するには、ARM テンプレートに identity セクションを追加します。 <IDENTITY1_RESOURCE_ID> と <IDENTITY2_RESOURCE_ID> を追加する ID のリソース識別子に置き換えます。

ID のリソース識別子をキーとして持つ項目を userAssignedIdentities オブジェクトに追加して 、各ユーザー割り当て ID を指定します。 値として空のオブジェクトを使用します。

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

ARM テンプレートの完全な例については、 ARM API の仕様に関するページを参照してください。

Note

アプリケーションは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 この場合、型プロパティは SystemAssigned,UserAssigned になります。

YAML

1 つ以上のユーザー割り当て ID を追加するには、YAML 構成ファイルに identity セクションを追加します。 <IDENTITY1_RESOURCE_ID> と <IDENTITY2_RESOURCE_ID> を追加する ID のリソース識別子に置き換えます。

ID のリソース識別子をキーとして持つ項目を userAssignedIdentities オブジェクトに追加して 、各ユーザー割り当て ID を指定します。 値として空のオブジェクトを使用します。

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

YAML テンプレートの完全な例については、ARM API の仕様に関するページを参照してください。

Note

アプリケーションは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 この場合、型プロパティは SystemAssigned,UserAssigned になります。

ターゲット リソースを構成する

一部のリソースでは、アクセス権を付与するために、アプリのマネージド ID のロールの割り当てを構成する必要があります。 そうしないと、Azure Key Vault や Azure SQL Database などのサービスへのアプリからの呼び出しは、その ID に有効なトークンを使用した場合でも拒否されます。 Azure ロールベースのアクセス制御 (Azure RBAC) の詳細については、「RBAC とは」を参照してください。 Microsoft Entra トークンをサポートしているリソースの詳細については、「Microsoft Entra 認証をサポートしている Azure サービス」をご覧ください。

重要

マネージド ID のバックエンド サービスは、リソース URI ごとのキャッシュを約 24 時間保持します。 特定のターゲット リソースのアクセス ポリシーを更新し、そのリソースのトークンをすぐに取得した場合、そのトークンの有効期限が切れるまで、期限切れのアクセス許可を持つキャッシュされたトークンを取得し続ける可能性があります。 現在、トークンの更新を強制する方法はありません。

アプリ コードでの Azure サービスへの接続

アプリはマネージド ID を使用して、Azure SQL Database、Azure Key Vault、Azure Storage など、Microsoft Entra ID を使用している Azure リソースにアクセスするためのトークンを取得できます。 これらのトークンは、アプリケーションの特定のユーザーではなく、リソースにアクセスしているアプリケーションを表します。

Container Apps には、トークンを取得するための内部アクセス可能な REST エンドポイント が用意されています。 REST エンドポイントは、標準の HTTP GET を使用してアプリ内からアクセスでき、すべての言語で汎用 HTTP クライアントを実装できます。 NET、JavaScript、Java、Python の場合、Azure ID クライアント ライブラリは、この REST エンドポイントを抽象化します。 他の Azure サービスへの接続は、サービス固有のクライアントに資格情報オブジェクトを追加するのと同じくらい簡単です。

Note

Azure ID クライアント ライブラリの使用時には、ユーザー割り当てマネージド ID のクライアント ID を指定する必要があります。

.NET

Note

Entity Framework Core で Azure SQ Lデータソースに接続する場合、マネージド ID 接続のための特別な接続文字列を提供する Microsoft.Data.SqlClient の使用をご検討下さい。

.NET のアプリの場合、マネージド ID を利用する最も簡単な方法は、.NET 用の Azure ID クライアント ライブラリを使用することです。 詳細については、クライアント ライブラリの各ドキュメントの見出しを参照してください。

• プロジェクトに Azure ID クライアント ライブラリを追加する
• システムに割り当てられた ID で Azure サービスにアクセスする
• ユーザーに割り当てられた ID で Azure サービスにアクセスする

リンクされた例では、DefaultAzureCredentialを使用します。 これは、Azure (マネージド ID を使用) とローカル コンピューター (マネージド ID を除く) で同じパターンが動作するため、ほとんどのシナリオで役立ちます。

JavaScript

Node.js のアプリの場合、マネージド ID を利用する最も簡単な方法は、JavaScript 用の Azure ID クライアント ライブラリを使用することです。 詳細については、クライアント ライブラリの各ドキュメントの見出しを参照してください。

• プロジェクトに Azure ID クライアント ライブラリを追加する
• システムに割り当てられた ID で Azure サービスにアクセスする
• ユーザーに割り当てられた ID で Azure サービスにアクセスする

リンクされた例では、DefaultAzureCredentialを使用します。 これは、Azure (マネージド ID を使用) とローカル コンピューター (マネージド ID を除く) で同じパターンが動作するため、ほとんどのシナリオで役立ちます。

JavaScript 用 Azure ID クライアント ライブラリのコード例詳細については、「Azure ID の例」 を参照してください。

Python

Python アプリの場合、マネージド ID を利用する最も簡単な方法は、Python 用の Azure ID クライアント ライブラリを使用することです。 詳細については、クライアント ライブラリの各ドキュメントの見出しを参照してください。

• プロジェクトに Azure ID クライアント ライブラリを追加する
• システムに割り当てられた ID で Azure サービスにアクセスする
• ユーザーに割り当てられた ID で Azure サービスにアクセスする

リンクされた例では、DefaultAzureCredentialを使用します。 これは、Azure (マネージド ID を使用) とローカル コンピューター (マネージド ID を除く) で同じパターンが動作するため、ほとんどのシナリオで役立ちます。

Java

Java のアプリと関数の場合、マネージド ID を利用する最も簡単な方法は、Java 用の Azure ID クライアント ライブラリを使用することです。 詳細については、クライアント ライブラリの各ドキュメントの見出しを参照してください。

• プロジェクトに Azure ID クライアント ライブラリを追加する
• システムに割り当てられた ID で Azure サービスにアクセスする
• ユーザーに割り当てられた ID で Azure サービスにアクセスする

リンクされた例では、DefaultAzureCredentialを使用します。 これは、Azure (マネージド ID を使用) とローカル コンピューター (マネージド ID を除く) で同じパターンが動作するため、ほとんどのシナリオで役立ちます。

Java 用 Azure ID クライアント ライブラリのコード例詳細については、「Azure ID の例」 を参照してください。

PowerShell

次のスクリプトを使用して、Azure サービスのリソース URI を指定してローカル エンドポイントからトークンを取得します。 トークンを取得するには、プレース ホルダーをリソース URI に置き換えます。

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

生の HTTP GET 要求は、次の例のようになります。

IDENTITY_ENDPOINT 環境変数からトークン エンドポイント URL を取得します。 x-identity-header には、IDENTITY_HEADER 環境変数に格納された GUID を含めます。

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

応答は、この例のようになります:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

この応答は、Microsoft Entra のサービス間アクセス トークン要求に対する応答と同じです。 Key Vault にアクセスするには、access_token の値をコンテナーとのクライアント接続に追加します。

REST エンドポイントの参照

マネージド ID を持つコンテナー アプリは、次の 2 つの環境変数を定義して ID エンドポイントを公開します:

• IDENTITY_ENDPOINT - お使いのコンテナー アプリがトークンを要求できるローカル URL。
• IDENTITY_HEADER - サーバー側のリクエスト フォージェリ (SSRF) 攻撃を軽減するために使用されるヘッダー。 値は、プラットフォームによってローテーションされます。

リソースのトークンを取得するには、次のパラメーターを指定して、このエンドポイントに HTTP GET 要求を行います。

パラメーター名	場所	説明
resource	クエリ	トークンを取得する必要のあるリソースの Microsoft Entra リソース URI。 このリソースは、Microsoft Entra 認証をサポートしている Azure サービスの 1 つ、またはその他いずれかのリソース URI です。
api-version	クエリ	使うトークン API のバージョン。 "2019-08-01" 以降の使用します。
X-IDENTITY-HEADER	ヘッダー	IDENTITY_HEADER 環境変数の値。 このヘッダーは、サーバー側のリクエスト フォージェリ (SSRF) 攻撃を回避します。
client_id	クエリ	(省略可能) 使用するユーザー割り当て ID のクライアント ID。 principal_id、mi_res_id、または object_id を含む要求では使用できません。 すべての ID パラメーター (client_id、principal_id、object_id、および mi_res_id) を省略した場合、システム割り当て ID が使用されます。
principal_id	クエリ	(省略可能) 使用するユーザー割り当て ID のプリンシパル ID。 object_id は代わりに使用する別名です。 client_id、mi_res_id、または object_id を含む要求では使用できません。 すべての ID パラメーター (client_id、principal_id、object_id、および mi_res_id) を省略した場合、システム割り当て ID が使用されます。
mi_res_id	クエリ	(省略可能) 使用するユーザー割り当て ID の Azure リソース ID。 principal_id、client_id、または object_id を含む要求では使用できません。 すべての ID パラメーター (client_id、principal_id、object_id、および mi_res_id) を省略した場合、システム割り当て ID が使用されます。

重要

ユーザー割り当て ID のトークンを取得する場合は、省略可能なプロパティの 1 つを含める必要があります。 このようにしないと、トークン サービスは存在する場合と存在しない場合があるシステムが割り当てた ID のトークンを取得しようとします。

マネージド ID を表示

次の Azure CLI コマンドを使用して、システム割り当てマネージド ID とユーザー割り当てマネージド ID を表示できます。 出力には、コンテナー アプリに割り当てられているすべてのマネージド ID の型、テナント ID、プリンシパル ID が表示されます。

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

マネージド ID の削除

システム割り当て ID を削除すると、Microsoft Entra ID から削除されます。 コンテナー アプリのリソース自体を削除すると、システム割り当て ID も Microsoft Entra ID から自動的に削除されます。 お使いのコンテナー アプリからユーザー割り当てマネージド ID を削除しても、Microsoft Entra ID からは削除されません。

Azure Portal

1. アプリのページの左側のナビゲーションで、[設定] グループまで下にスクロールします。

2. [ID] を選択します。 次に、ID の種類に基づいて、次の手順に従います。

   • システムに割り当てられた ID: [システム割り当て済み] タブで [状態] を [オフ] に切り替えます。 [保存] を選択します。
   • ユーザーに割り当てられたID: [ユーザ割り当て済み] タブを選択し、ID のチェックボックスを選択し、[削除] を選択します。 [はい] を選択して確定します。

Azure CLI

システム割り当て ID を削除するには、次の手順を実行します。

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

1 つ以上のユーザー割り当て ID を削除するには、次の手順を実行します。

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

すべてのユーザー割り当て ID を削除するには:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

ARM テンプレート

すべての ID を削除するには、コンテナー アプリの ID の type を ARM テンプレートで None に設定します:

"identity": {
    "type": "None"
}

YAML

すべての ID を削除するには、YAML 構成ファイル内で、コンテナー アプリの ID の type を None に設定します:

identity:
    type: None

次のステップ

アプリを監視する