概要
これまでの「オンプレ編」では、Azure の仮想マシン(IaaS)を使って、社員番号から名前を検索できるシンプルな社内システムを構築してきました。Active Directory、SQL Server、ADFS などを組み合わせ、オンプレミスの構成を仮想的に再現しています。
※全体構成の詳細は、【第0回】Azureで社内システム再現(オンプレ編)|構成図と動作の流れ をご参照ください。
クラウド編では、これまでの構成をベースにしつつ、Azure のマネージドサービス(PaaS)を中心とした構成へ段階的に移行していきます。
※クラウド移行全体の設計方針については、【第10.5回】Azureで社内システム再現(クラウド編)|オンプレ構成をどうクラウドに移行するか? にまとめています。
システム構成(今回の対象範囲)
今回のテーマは、Azure Web App から Azure Key Vault に格納されたシークレット(SQLパスワード)を、マネージドIDと環境変数を使って安全に取得する構成を実現することです。
まず、下図は「クラウド編」の全体構成を示したものです。
このうち、赤枠で示している Azure Web App → Azure Key Vault の接続構成が、今回の対象範囲です。
次に、下図がその閉域構成の詳細図です。
Azure Web App にマネージドIDを有効化し、Key Vault に対してアクセス権限を付与することで、
アプリケーションが Key Vault のシークレットを直接取得できる構成を構築します。
また、App Service 側ではアプリケーション設定に Key Vault リファレンス構文を登録し、
環境変数経由でシークレットを取得・利用することで、コード上に認証情報を持たないセキュアな連携を実現しています。
今回は以下の作業を行います。
- Key Vault を作成し、SQL パスワードをシークレットとして登録
- Azure App Service にマネージドIDを有効化
- Key Vault 側にマネージドIDへのアクセス権を付与
- App Service に Key Vault リファレンス構文で環境変数を設定
- PHP コード内で
getenv()によりシークレット値を取得し、接続処理を実行 - 動作確認
Key Vault を作成し、シークレットを登録する
はじめに、Azure Web App から取得するパスワードを格納するための Key Vault(キーコンテナー)を作成します。
リソースグループやリージョンは、他のサービスと同様に rg-cloudinfra-sea および Southeast Asia を選択しました。Key Vault 名は kv-employeesearch としています。
Key Vault の作成後、SQL のパスワードを格納するためのシークレットを新規作成します。
シークレット名は SqlPassword、値には実際のパスワードを指定しています。今回はシンプルに手動入力で登録しました。
補足:Key Vault のロールについて
Key Vault では、Azure の他のリソースとは異なり、中に格納されたデータ(シークレットやキーなど)へのアクセス権限が分離されている点に注意が必要です。
たとえば、「所有者(Owner)」ロールを持っていても、Vault の中身にはアクセスできません。
これは、Key Vault が「管理プレーン」と「データプレーン」に分かれており、Vault の作成や削除などは Owner ロールで可能でも、シークレットを作成・取得するには別途ロールが必要なためです。
今回は、Key Vault に対して「キーコンテナー管理者(Key Vault Administrator)」ロールを、シークレット作成を行うユーザーに割り当てています。
このロールを持つことで、Vault 内のキー・シークレット・証明書すべてに対する管理操作が可能となります。
マネージドIDを有効化し、Key Vault にアクセスできるようにする
Azure Web App から Key Vault に保存されたパスワードを読み取るためには、アプリ側に「アクセスするためのIDと権限」を持たせる必要があります。
そこで今回は、Azure App Service のマネージドIDを有効化し、
その ID に対して、Key Vault の中身を読み取るための権限を与える構成にします。
マネージドIDとは?
マネージドIDは、Azure が自動で発行・管理してくれる「アプリ専用のID」です。
アプリが Key Vault などのリソースにアクセスする際に、パスワードなどを使わずに安全に認証できるようになります。
アプリケーション側では、IDの管理や秘密情報の扱いを気にせず、安全に Azure のサービスへアクセスできます。
マネージドIDを有効にする
まず、Azure App Service の「ID」設定から、「システム割り当て」マネージドIDを有効にします。
有効化すると、この App Service 専用の ID が自動で作られます。
Key Vault にアクセスできるようにする
続いて、Key Vault のアクセス制御(IAM)画面で、先ほど作成されたマネージドIDに対してロールを割り当てます。
今回は、「Key Vault Secrets User」ロールを付与しました。
このロールを付けることで、アプリケーションは Vault に登録されたシークレットを「読み取る」ことができるようになります。
Key Vault のシークレットを環境変数として利用する
Azure Web App から SQL Server に接続する際、パスワードをコード内に直接書くのではなく、
Azure Key Vault に登録されたシークレットを環境変数経由で安全に取得する構成とします。
シークレット識別子の取得
まず、Key Vault に登録されたシークレット(今回は SQL パスワード)の識別子(URL)をコピーします。
この URL を、後ほど環境変数として利用します。
Azure App Service に環境変数を設定
Azure App Service の「環境変数」から、以下のように環境変数を追加します。
- 名前:
SQL_PASSWORD - 値:
@Microsoft.KeyVault(SecretUri=https://kv-xxxx.vault.azure.net/secrets/SqlPassword/...)
この書き方は Key Vault リファレンス構文 と呼ばれ、App Service が自動的に Key Vault からシークレットの値を取得し、
環境変数としてアプリに渡してくれる仕組みです。
この処理には、事前にマネージドIDを有効化し、Key Vault へのロールを割り当てている必要があります。
PHP アプリケーションから環境変数を利用する
アプリケーション側では、環境変数 SQL_PASSWORD にアクセスすることで、シークレットの値を取得できます。
今回は PHP を使用しており、以下のように getenv() 関数で環境変数の値を読み取るようにコードを変更しました。
このようにすることで、コード上にパスワードを直接記述せず、安全かつ柔軟に認証情報を管理することができます。
動作確認
最後に、環境変数から Key Vault のシークレット値を正しく取得できているかを確認します。
まず、取得した値が正しく読み込まれているか確認するために、getenv() で取得したパスワードをログに出力してみました。
環境変数 SQL_PASSWORD に、Key Vault に登録したパスワードが正しく格納されていることを確認できました。
続いて、検索画面から実際に検索処理を行い、SQL 接続およびアプリの動作が正常であることを確認しました。
Web App は、Key Vault に保存されたパスワードを通じて SQL Server に接続し、検索機能を問題なく実行できています。