クイックスタート: Azure サービスを接続し、Azure Key Vault にシークレットを格納する
Azure Key Vault は、シークレットのセキュリティで保護されたストアを提供するクラウド サービスです。 キー、パスワード、証明書、およびその他のシークレットを安全に保管することができます。 サービス接続を作成すると、接続された Key Vault にアクセス キーとシークレットを安全に格納できます。 このチュートリアルでは、Azure portal を使用して、次のタスクを実行します。 以下の手順では、両方の方法を説明します。
- Azure App Service で Azure Key Vault へのサービス接続を作成する
- Azure Blob Storage へのサービス接続を作成し、シークレットを Key Vault に格納する
- Key Vault でシークレットを表示する
前提条件
Service Connector を使用してサービス接続を作成し、シークレットを Key Vault に格納するには、次のものが必要です。
- Service Connector の使用に関する基本的な知識
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- App Service でホストされているアプリ。 まだお持ちでない場合は、アプリを作成し、App Service にデプロイします
- Azure Key Vault。 まだお持ちでない場合は、Azure Key Vault を作成します
- Service Connector でサポートされている別のターゲット サービス インスタンス。 このチュートリアルでは、Azure Blob Storage を使用します
- App Service、Key Vault、およびターゲット サービスへの読み取りと書き込みアクセス。
App Service で Key Vault 接続を作成する
接続アクセス キーとシークレットを Key Vault に格納するには、まず、App Service を Key Vault に接続します。
Azure portal で、検索メニューに「App Service」と入力し、一覧から、使用する App Service の名前を選択します。
左側の目次から [サービス コネクタ] を選択します。 [作成] を選択します。
以下の設定値を選択または入力します。
設定 提案された値 説明 サービスの種類 Key Vault ターゲット サービスの種類。 まだ Key Vault がない場合は作成します。 サブスクリプション ご使用のサブスクリプションのいずれか。 ターゲット サービスがデプロイされているサブスクリプション。 ターゲット サービスは、接続先のサービスです。 既定値は、App Service に一覧表示されるサブスクリプションです。 接続名 生成された一意の名前 アプリ サービスとターゲット サービスの間の接続を識別する接続名 キー コンテナー名 Key Vault 名 接続先のターゲット Key Vault。 クライアントの種類 この App Service の同じアプリ スタック 選択したターゲット サービスで動作するアプリケーション スタック。 既定値は App Service ランタイム スタックから取得されます。 [次へ: 認証] を選択して、認証の種類を選びます。 次に、[システム割り当てマネージド ID] を選択して、Key Vault に接続します。
[次へ: ネットワーク] を選択して、ネットワーク構成を選択します。 次に、[ファイアウォール設定を有効にする] を選択して、App Service が Key Vault に到達できるように、Key Vault のファイアウォール許可リストを更新します。
次に、[Next: Review + Create](次へ: レビューと作成) を選択して、提供されている情報を確認します。 [作成] を選択して、サービス接続を作成します。 処理が完了するまでに 1 分かかることがあります。
App Service で Blob Storage 接続を作成し、アクセス キーを Key Vault に格納する
接続文字列/アクセス キーまたは認証用のサービス プリンシパルを使用する場合は、別のターゲット サービスへのサービス接続を作成し、接続された Key Vault にアクセス キーを直接格納できるようになりました。 ここでは例として Blob Storage を使用します。 他のターゲット サービスでも同じプロセスを実行します。
Azure portal で、検索メニューに「App Service」と入力し、一覧から、使用する App Service の名前を選択します。
左側の目次から [サービス コネクタ] を選択します。 [作成] を選択します。
以下の設定値を選択または入力します。
設定 提案された値 説明 サービスの種類 Blob Storage ターゲット サービスの種類。 Storage Blob コンテナーがない場合は、作成するか、別のサービスの種類を使用できます。 サブスクリプション ご使用のサブスクリプションのいずれか ターゲット サービスがデプロイされているサブスクリプション。 ターゲット サービスは、接続先のサービスです。 既定値は、App Service に一覧表示されるサブスクリプションです。 接続名 生成された一意の名前 App Service とターゲット サービスの間の接続を識別する接続名。 ストレージ アカウント ストレージ アカウント 接続先のターゲット ストレージ アカウント。 別のサービスの種類を選択する場合は、対応するターゲット サービス インスタンスを選択します。 クライアントの種類 この App Service の同じアプリ スタック 選択したターゲット サービスで動作するアプリケーション スタック。 既定値は App Service ランタイム スタックから取得されます。 認証の設定
[次へ: 認証] を選択して認証の種類を選択し、[接続文字列] を選択し、アクセス キーを使用してストレージ アカウントに接続します。
設定 提案された値 説明 シークレットを Key Vault に格納する ○ このオプションを使用すると、Service Connector は接続文字列/アクセス キーを Key Vault に格納できます。 Key Vault 接続 Key Vault 接続のいずれか 接続文字列/アクセス キーを格納する Key Vault を選択します。 [次へ: ネットワーク] と [ファイアウォール設定を有効にする] を選択して、App Service が Key Vault に到達できるように、Key Vault のファイアウォール許可リストを更新します。
次に、[Next: Review + Create](次へ: レビューと作成) を選択して、提供されている情報を確認します。
[作成] を選択して、サービス接続を作成します。 処理が完了するまでに最大 1 分かかることがあります。
Key Vault で構成を表示する
Blob Storage 接続を展開し、[非表示の値] を選択します。クリックすると値が表示されます。 値が Key Vault 参照であることがわかります。
Key Vault 接続の [サービスの種類] 列で Key Vault を選択します。 Key Vault ポータル ページにリダイレクトされます。
Key Vault の左側の目次で [シークレット] を選択し、Blob Storage シークレット名を選択します。
ヒント
シークレットを一覧表示するアクセス許可がない場合 「Azure Key Vault のトラブルシューティング」を参照してください。
現在のバージョンの一覧からバージョン ID を選択します。
[シークレット値の表示] を選択して、この Blob Storage 接続の接続文字列を取得します。
リソースをクリーンアップする
不要になったら、このチュートリアルのために作成したリソース グループおよび関連するすべてのリソースは削除します。 そのためには、作成したリソース グループまたは個々のリソースを選択し、[削除] を選択します。