はじめに
デプロイ ワークフローでは、Azure リソースを作成して構成できるようにするために、Azure と通信する必要があります。 このモジュールでは、ワークロード ID のしくみ、それらを作成および管理する方法、それらがユーザーの代わりに Azure を操作することを承認する方法について説明します。
シナリオ例
お客様は、玩具の企業において Azure インフラストラクチャをデプロイおよび構成する責任を負うものとします。 自社の Web サイトをデプロイするための Bicep ファイルを作成しました。 これまでは、コマンドライン ツールを使用して自分のコンピューターからデプロイしていました。 あなたは、デプロイを GitHub Actions ワークフローに移動することに決めました。
同僚の 1 人が、デプロイ ワークフロー用の ID を設定する必要があると教えてくれました。 あなたは、ID とは何かを理解した上で、自社の Web サイトをデプロイできるように ID を作成する必要があります。
ここでの学習内容は?
このモジュールでは、ワークロード ID を作成する方法を学習します。 また、ワークロード ID を承認して Web サイトのリソースをデプロイおよび構成する方法も学習します。
Note
このモジュールの情報は、GitHub Actions デプロイ ワークフローに固有のものです。 Azure Pipelines を使う場合、パイプラインの認証方法は異なります。 Azure Pipelines とデプロイ承認の詳細については、「サービス プリンシパルを使用して Azure デプロイ パイプラインを認証する」を参照してください。
主な目標
このモジュールを完了すると、ワークロード ID について理解でき、またそれらが他の Azure および Microsoft Entra のセキュリティの概念とどのように関係するかを理解できるようになります。 Microsoft Entra アプリケーションの登録を作成し、そのフェデレーション資格情報を管理できるようになります。 また、ワークフローの ID に使用する最適な認可ポリシーを判断し、Azure で適切なロール割り当てを構成することもできるようになります。