Azure App Configuration インスタンスのアクセス キー認証を管理する

Azure App Configuration リソースに対するすべての要求は、認証されなければなりません。 既定では、Microsoft Entra の資格情報、またはアクセス キーを使用して、要求を認証することができます。 これら 2 種類の認証スキームでは、アクセス キーより Microsoft Entra ID の方がセキュリティが優れ、使いやすいので、Microsoft ではそちらをお勧めします。 要求の認証に Microsoft Entra ID を使うようクライアントに求めるには、Azure App Configuration リソースでアクセス キーの使用を無効にします。 アクセス キーを使用して要求を認証する場合は、セキュリティを強化するためにアクセス キーを定期的にローテーションすることをお勧めします。 詳細については、「アプリケーション シークレットを保護するための推奨事項」を参照してください。

アクセス キー認証を有効にする

アクセス キーは既定で有効になっており、コードでアクセス キーを使用して要求を認証できます。

Azure Portal

Azure portal 内で Azure App Configuration リソースのアクセス キー認証を許可するには、次の手順に従います。

1. Azure portal で Azure App Configuration リソースに移動します。

2. [設定] から [アクセス設定] 設定を探します。

   

3. [アクセス キーを有効化] トグルを [有効] に設定します。

   

Azure CLI

Azure App 構成リソースのアクセス キーを有効にするには、次のコマンドを使用します。 --disable-local-auth オプションを false に設定して、アクセス キーベースの認証を有効にします。

az appconfig update \
    --name <app-configuration-name> \
    --resource-group <resource-group> \
    --disable-local-auth false

アクセス キー認証が有効になっているか確認する

アクセス キー認証が有効かどうかを確認するには、読み取り専用および読み取り/書き込みのアクセス キー一覧を取得できるかどうかを確認します。 この一覧は、アクセス キー認証が有効になっている場合にのみ存在します。

Azure Portal

Azure portal で Azure App Configuration リソースのアクセス キー認証が有効になっていることを確認するには、次の手順に従います。

1. Azure portal で Azure App Configuration リソースに移動します。

2. [設定] から [アクセス設定] 設定を探します。

   

3. アクセス キーが表示されているかどうかを確認し、[アクセス キーを有効化] の状態が有効に設定されていることを確認します。

   

Azure CLI

Azure App Configuration リソースに対してアクセス キー認証が有効になっているかどうかを確認するには、次のコマンドを使用します。 このコマンドは、Azure App Configuration リソースのアクセス キーを一覧表示します。 アクセス キー認証が有効な場合は、読み取り専用アクセス キーと読み取り/書き込みアクセス キーが返されます。

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

アクセス キー認証を無効にする

アクセス キー認証を無効にすると、すべてのアクセス キーが削除されます。 実行中のアプリケーションで認証にアクセス キーが使用されている場合、アクセス キー認証が無効になると認証が失敗し始めます。 Microsoft Entra ID を使って認証された要求のみが成功します。 Microsoft Entra ID の使用について詳しくは、「Microsoft Entra ID を使用して Azure App Configuration へのアクセスを承認する」をご覧ください。 アクセス キー認証を再度有効にすると、新しいアクセス キーが生成され、古いアクセス キーを使おうとするアプリケーションは失敗します。

警告

現在、アクセス キーを使って Azure App Configuration リソース内のデータにアクセスしているクライアントがある場合は、アクセス キー認証を無効にする前に、それらのクライアントを Microsoft Entra ID に移行することをお勧めしています。

Azure Portal

Azure portal の Azure App Configuration リソースのアクセス キー認証を禁止するには、以下の手順に従います。

1. Azure portal で Azure App Configuration リソースに移動します。

2. [設定] から [アクセス設定] 設定を探します。

   

3. [アクセス キーを有効化] トグルを [無効] に設定します。

   

Azure CLI

Azure App 構成リソースのアクセス キーを無効にするには、次のコマンドを使用します。 --disable-local-auth オプションを true に設定して、アクセス キーベースの認証を無効にします。

az appconfig update \
    --name <app-configuration-name> \
    --resource-group <resource-group> \
    --disable-local-auth true

アクセス キー認証が無効になっているか確認する

アクセス キー認証が禁止されていることを確認するために、Azure App Configuration リソースのアクセス キーを一覧表示するよう要求することができます。 アクセス キー認証が無効になっている場合、アクセス キーは表示されず、一覧表示の操作を行うと空のリストが返されます。

Azure Portal

Azure portal の Azure App Configuration リソースのアクセス キー認証が無効になっていることを確認するには、以下の手順に従います。

1. Azure portal で Azure App Configuration リソースに移動します。

2. [設定] から [アクセス設定] 設定を探します。

   

3. アクセス キーが表示されず、[アクセス キーを有効化] の状態がオフになっていることを確認します。

   

Azure CLI

Azure App Configuration リソースのアクセス キー認証が無効になっていることを確認するには、次のコマンドを使用します。 このコマンドは、Azure App Configuration リソースのアクセス キーを一覧表示し、アクセス キー認証が無効な場合は一覧が空になります。

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

アクセス キー認証を許可または禁止するための権限

Azure App Configuration リソースのアクセス キー認証の状態を変更するには、ユーザーが Azure App Configuration リソースを作成および管理する権限を持っている必要があります。 これらのアクセス許可を提供する Azure ロールベースのアクセス制御 (Azure RBAC) ロールには、Microsoft.AppConfiguration/configurationStores/write または Microsoft.AppConfiguration/configurationStores/* アクションが含まれます。 このアクションの組み込みロールには、次のようなロールがあります。

• Azure Resource Manager の所有者ロール
• Azure Resource Manager の共同作成者ロール

これらのロールでは、Microsoft Entra ID を使って Azure App Configuration リソースのデータにアクセスすることはできません。 ただし、リソースのアクセス キーへのアクセスを許可する Microsoft.AppConfiguration/configurationStores/listKeys/action が含まれています。 このアクセス許可では、ユーザーがアクセス キーを使用して、リソース内のすべてのデータにアクセスできます。

ユーザーがリソースのアクセス キー認証を許可または禁止できるようにするには、ロール割り当てのスコープを Azure App Configuration リソース以上のレベルにする必要があります。 ロール スコープの詳細については、「Azure RBAC のスコープについて」を参照してください。

これらのロールを割り当てる際には、App Configuration リソース作成したり、そのプロパティを更新したりする機能を必要とするユーザーにのみ割り当てるように注意してください。 最小限の特権の原則を使用して、ユーザーに、それぞれのタスクを実行するのに必要な最小限のアクセス許可を割り当てるようにします。 Azure RBAC でアクセスを管理する方法の詳細については、「Azure RBAC のベスト プラクティス」を参照してください。

Note

従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールにはすべてのアクションが含まれているため、これらの管理者ロールのいずれかを持つユーザーも、App Configuration リソースを作成および管理できます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。

Note

アクセスキー認証が無効になっており、App Configuration ストアの ARM 認証モードがローカルの場合、ARM テンプレート内のキー値の読み取りおよび書き込み機能も無効になります。 これは、ARM テンプレートで使用される Microsoft.AppConfiguration/configurationStores/keyValues リソースにアクセスするには、ローカル ARM 認証モードでのアクセス キー認証が必要であるためです。 パススルー ARM 認証モードを使用することをお勧めします。 詳しくは、「デプロイの概要」を参照してください。

アクセス キーのローテーション

Microsoft では、漏洩したシークレットからの攻撃ベクトルのリスクを軽減するために、アクセス キーを定期的にローテーションすることをお勧めします。 各 Azure App Configuration リソースには、シームレスなシークレット ローテーションを容易にするために、(プライマリおよびセカンダリのキーとして指定された) 2 つの読み取り専用アクセス キーと 2 つの読み取り/書き込みアクセス キーが含まれています。 このセットアップにより、ダウンタイムを発生させることなく、アプリケーション内のアクセス キーを交替できます。

次の手順を実行してキーをローテーションできます。

1. 運用環境で両方のキーを使用している場合は、1 つのアクセス キーのみが使用されるようにコードを変更します。 この例では、ストアの主キーを使用し続けることにしたとします。 セカンダリ キーを再生成すると、そのキーの古いバージョンがすぐに動作しなくなり、古いキーを使用しているクライアントが 401 アクセス拒否エラーを受け取るため、コードに必要なキーは 1 つだけにする必要があります。

2. 使用中の唯一のキーが主キーになったら、セカンダリ キーを再生成できます。

   Azure Portal

   Azure portal でリソースのページに移動し、[設定]>[アクセスの設定] メニューを開き、セカンダリ キーで [再生成する] を選択します。

   

   Azure CLI

   App Configuration ストアのアクセス キーを再生成するには、次のコマンドを使用します。

   az appconfig credential regenerate  \
       --name <app-configuration-name> \
       --resource-group <resource-group> \
       --id <key-to-be-regenerated>
   

3. 次に、新しく生成されたセカンダリ キーを使用するようコードを更新します。 次の手順に進む前に、アプリケーション ログを見直して、アプリケーションのすべてのインスタンスがプライマリ キーからセカンダリ キーの使用に移行したことを確認することをお勧めします。

4. 最後に、プライマリ キーを再生成することで無効にできます。 次回は、同じプロセスを使用して、セカンダリとプライマリ キーの間でアクセス キーを交替できます。

次のステップ

• カスタマー マネージド キーを使用して App Configuration データを暗号化する
• Azure App Configuration でのプライベート エンドポイントの使用