デベロッパー センターのマネージド ID を構成する
このガイドでは、開発チームがセキュリティで保護されたデプロイを行えるようにするために、Azure Deployment Environments デベロッパー センターにマネージド ID を追加して構成する方法について説明します。
Azure Deployment Environments サービスでは、マネージド ID を使用することで、Azure リソースが作成されるサブスクリプションへのアクセス権を付与することなく、開発チームにセルフサービスのデプロイ機能を提供します。 マネージド ID は、Microsoft Entra 認証をサポートするすべてのサービスに、昇格された特権機能とセキュリティで保護された認証を追加します。
デベロッパー センターにアタッチされているマネージド ID には、環境の種類ごとにデプロイ サブスクリプションの共同作成者ロールとユーザー アクセス管理者ロールの両方が割り当てられている必要があります。 環境のデプロイが要求されると、サービスは、ユーザーの代わりにデプロイするために環境の種類ごとに設定されたデプロイ ID に適切なアクセス許可を付与します。 デベロッパー センターにアタッチされているマネージド ID は、カタログに追加し、カタログ内の環境定義にアクセスするためにも使用されます。
マネージド ID の追加
Azure Deployment Environments では、次の 2 種類のマネージド ID から選択できます。
- システム割り当て ID: システム割り当て ID は、デベロッパー センターまたはプロジェクト環境の種類に関連付けられます。 アタッチされたリソースが削除されると、システム割り当て ID が削除されます。 デベロッパー センターまたはプロジェクト環境の種類は、システム割り当て ID を 1 つだけ持つことができます。
- ユーザー割り当て ID: ユーザー割り当て ID は、デベロッパー センターまたはプロジェクト環境の種類に割り当てることができるスタンドアロンの Azure リソースです。 Azure Deployment Environments の場合、デベロッパー センターまたはプロジェクト環境の種類は、ユーザー割り当て ID を 1 つだけ持つことができます。
セキュリティのベスト プラクティスとして、ユーザー割り当て ID を使用する場合は、プロジェクトとデベロッパー センターに異なる ID を使用します。 プロジェクト ID は、デベロッパー センターと比較してリソースへのアクセスが制限されている必要があります。
Note
Azure Deployment Environments では、システム割り当て ID とユーザー割り当て ID の両方を追加した場合、ユーザー割り当て ID のみが使用されます。
システム割り当てマネージド ID を追加する
Azure portal にサインインし、Azure Deployment Environments に移動します。
[デベロッパー センター] で、自分のデベロッパー センターを選択します。
左側のメニューの [設定] で [ID] を選択します。
[システム割り当て] で、[状態] を [オン] に設定します。
[保存] を選択します。
[システム割り当てマネージド ID の有効化] ダイアログで、[はい] を選択します。
ユーザー割り当てマネージド ID を追加する
Azure portal にサインインし、Azure Deployment Environments に移動します。
[デベロッパー センター] で、自分のデベロッパー センターを選択します。
左側のメニューの [設定] で [ID] を選択します。
[ユーザー割り当て] で [追加] を選択して既存の ID をアタッチします。
[ユーザー割り当てマネージド ID の追加] で、次の情報を入力または選択します。
- [サブスクリプション] で、ID が存在するサブスクリプションを選択します。
- [ユーザー割り当てマネージド ID] で、既存の ID を選択します。
- [追加] を選択します。
サブスクリプション ロールの割り当てを実行する
デベロッパー センターにアタッチされている ID には、すべてのデプロイ サブスクリプションに対する共同作成者およびユーザー アクセス管理者のロールと、関連するプロジェクトを含むすべてのサブスクリプションに対する閲覧者ロールを割り当てる必要があります。 ユーザーが環境を作成またはデプロイすると、サービスはプロジェクト環境の種類にアタッチされたデプロイ ID に適切なアクセス権を付与します。 デプロイ ID は、そのアクセス権を使用してユーザーの代わりにデプロイを実行します。 マネージド ID を使用すると、開発者にサブスクリプションへのアクセス権を付与しなくとも、開発者が環境を作成できるようにすることができます。
システム割り当てマネージド ID にロールの割り当てを追加する
Azure portal で、Azure Deployment Environments のデベロッパー センターに移動します。
左側のメニューの [設定] で [ID] を選択します。
[システム割り当て]>[アクセス許可] に移動し、[Azure ロールの割り当て] を選択します。
サブスクリプションへの共同作成者のアクセス許可を付与するには、[ロールの割り当てを追加 (プレビュー)] を選択し、次の情報を入力または選択し、[保存] を選択します。
名前 値 スコープ サブスクリプション サブスクリプション マネージド ID を使用するサブスクリプションを選択します。 Role 共同作成者 サブスクリプションへのユーザー アクセス管理者のアクセス許可を付与するには、[ロールの割り当ての追加 (プレビュー)] を選択し、次の情報を入力または選択し、[保存] を選択します。
名前 値 スコープ サブスクリプション サブスクリプション マネージド ID を使用するサブスクリプションを選択します。 Role User Access Administrator
ユーザー割り当てマネージド ID にロールの割り当てを追加する
Azure portal で、デベロッパー センターに移動します。
左側のメニューの [設定] で [ID] を選択します。
[ユーザー割り当て済み] で ID を選択します。
左側のメニューで、[Azure でのロールの割り当て] を選択します。
サブスクリプションへの共同作成者のアクセス許可を付与するには、[ロールの割り当てを追加 (プレビュー)] を選択し、次の情報を入力または選択し、[保存] を選択します。
名前 値 スコープ サブスクリプション サブスクリプション マネージド ID を使用するサブスクリプションを選択します。 Role 共同作成者 サブスクリプションへのユーザー アクセス管理者のアクセス許可を付与するには、[ロールの割り当ての追加 (プレビュー)] を選択し、次の情報を入力または選択し、[保存] を選択します。
名前 値 スコープ サブスクリプション サブスクリプション マネージド ID を使用するサブスクリプションを選択します。 Role User Access Administrator
キー コンテナー シークレットへのアクセス権をマネージド ID に付与する
キー コンテナーのアクセス ポリシーまたは Azure ロールベースのアクセス制御を使用するように、キー コンテナーを設定できます。
Note
リポジトリをカタログとして追加する前に、リポジトリの個人用アクセス トークンを含むキー コンテナー シークレットへのアクセス権をマネージド ID に付与する必要があります。
Key Vault アクセス ポリシー
キー コンテナーがキー コンテナーアクセス ポリシーを使用するように構成されている場合:
Azure portal で、個人用アクセス トークンを含むシークレットを含むキー コンテナーに移動します。
左側のメニューで、[アクセス ポリシー] を選択し、[作成] を選択します。
[アクセス ポリシーの作成] で、次の情報を入力または選択します。
- [アクセス許可] タブの [シークレットのアクセス許可] で、[取得] チェック ボックスをオンにし、[次へ] を選択します。
- [プリンシパル] タブで、デベロッパー センターにアタッチされている ID を選択します。
- [確認と作成] を選択し、次に [作成] を選択します。
Azure ロールベースのアクセス制御
キー コンテナーが Azure ロールベースのアクセス制御を使用するように構成されている場合:
Azure portal で、個人用アクセス トークンを含むシークレットを含むキー コンテナーに移動します。
左側のメニューで、[アクセス制御 (IAM)] を選択します。
ID を選択し、左側のメニューで [Azure ロールの割り当て] を選択します。
[ロールの割り当ての追加] を選択し、次の情報を入力または選択します。
- [スコープ] でキー コンテナーを選択します。
- [サブスクリプション] で、キー コンテナーを含むサブスクリプションを選択します。
- [リソース] でキー コンテナーを選択します。
- [ロール] で、[キー コンテナー シークレット ユーザー] を選択します。
- [保存] を選択します。