クイックスタート: Key Vault を使用してアプリケーションシークレットを読み込む

Note

Basic、Standard、および Enterprise プランは、2025 年 3 月 17 日に廃止期間に入りました。詳細については、「Azure Spring Apps の提供終了のお知らせ」を参照してください。

この記事の適用対象: ❎ Basic または Standard ✅ Enterprise

このクイックスタートでは、Azure Spring Apps Enterprise プランを実行しているアプリに対して Azure Key Vault を使用してシークレットを安全に読み込む方法を示します。

すべてのアプリケーションには、その環境とサポートサービスに接続するプロパティがあります。これらのサービスには、データベース、ログ記録と監視ツール、メッセージングプラットフォームなどのリソースが含まれます。各リソースには、検索してアクセスする方法が必要です。多くの場合、これは URL と資格情報の形式です。この情報は法律で保護されていることが多く、顧客データを保護するために秘匿しておく必要があります。 Azure Spring Apps では、マネージド ID と Azure ロールベースのアクセス制御を使用して、これらのシークレットを Key Vault からメモリに直接読み込むアプリケーションを構成できます。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。アカウントは無料で作成できます。
Azure CLI バージョン 2.45.0 以降。
Git。
jq
Azure Spring Apps Enterprise プランの拡張機能。次のコマンドを使用して、以前のバージョンを削除し、最新の Enterprise プラン拡張機能をインストールします。以前に spring-cloud 拡張機能をインストールした場合は、構成とバージョンの不一致を回避するためにそれをアンインストールします。
```
az extension add --upgrade --name spring
az extension remove --name spring-cloud
```
以下のクイックスタートの手順を完了します:
- Enterprise プランを使用してアプリをビルドし Azure Spring Apps にデプロイします。
- Azure Database for PostgreSQL および Azure Cache for Redis と統合する

キーコンテナーをプロビジョニングしてシークレットを格納する

次の手順では、キーコンテナーを作成し、アプリケーションシークレットを安全に保存する方法について説明します。

次のコマンドを使用して、リソースを保持する変数を作成します。プレースホルダーは必ず、独自の値で置き換えてください。

Note

Microsoft では、利用可能な最も安全な認証フローを使用することをお勧めします。この手順で説明する認証フロー (データベース、キャッシュ、メッセージング、Foundry Tools など) には、アプリケーションに対する非常に高い信頼が必要であり、他のフローには存在しないリスクが伴います。このフローは、パスワードレス接続またはキーレス接続のマネージド ID など、より安全なオプションが有効でない場合にのみ使用します。ローカルコンピューターの操作では、パスワードレス接続またはキーレス接続にユーザー ID を使用します。
```
export RESOURCE_GROUP=<resource-group-name>
export KEY_VAULT_NAME=<key-vault-name>
export POSTGRES_SERVER_NAME=<postgres-server-name>
export POSTGRES_USERNAME=<postgres-username>
export POSTGRES_PASSWORD=<postgres-password>
export REDIS_CACHE_NAME=<redis-cache-name>
export AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME=<Azure-Spring-Apps-service-instance-name>
```
次のコマンドを使用して、アプリケーションシークレットを格納するキーコンテナーを作成します。
```
az keyvault create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${KEY_VAULT_NAME}
```

次のコマンドを使用して、完全なデータベースサーバー名をキーコンテナーに格納します。

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-SERVER-NAME" \
    --value "${POSTGRES_SERVER_NAME}.postgres.database.azure.com"

次のコマンドを使用して、データベース名をカタログサービスアプリケーションのキーコンテナーに格納します。
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CATALOG-DATABASE-NAME" \
    --value "acmefit_catalog"
```
次のコマンドを使用して、データベースログイン資格情報をキーコンテナーに格納します。

Note

Microsoft では、利用可能な最も安全な認証フローを使用することをお勧めします。この手順で説明する認証フロー (データベース、キャッシュ、メッセージング、Foundry Tools など) には、アプリケーションに対する非常に高い信頼が必要であり、他のフローには存在しないリスクが伴います。このフローは、パスワードレス接続またはキーレス接続のマネージド ID など、より安全なオプションが有効でない場合にのみ使用します。ローカルコンピューターの操作では、パスワードレス接続またはキーレス接続にユーザー ID を使用します。
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-NAME" \
    --value "${POSTGRES_USERNAME}"

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-PASSWORD" \
    --value "${POSTGRES_PASSWORD}"
```
次のコマンドを使用して、データベース接続文字列を注文サービスアプリケーションのキーコンテナーに格納します。

Note

Microsoft では、利用可能な最も安全な認証フローを使用することをお勧めします。この手順で説明する認証フロー (データベース、キャッシュ、メッセージング、Foundry Tools など) には、アプリケーションに対する非常に高い信頼が必要であり、他のフローには存在しないリスクが伴います。このフローは、パスワードレス接続またはキーレス接続のマネージド ID など、より安全なオプションが有効でない場合にのみ使用します。ローカルコンピューターの操作では、パスワードレス接続またはキーレス接続にユーザー ID を使用します。
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "ConnectionStrings--OrderContext" \
    --value "Server=${POSTGRES_SERVER_NAME};Database=acmefit_order;Port=5432;Ssl Mode=Require;User Id=${POSTGRES_USERNAME};Password=${POSTGRES_PASSWORD};"
```
次のコマンドを使用して、Redis 接続プロパティを取得し、キーコンテナーに格納します。

Note

Microsoft では、利用可能な最も安全な認証フローを使用することをお勧めします。この手順で説明する認証フロー (データベース、キャッシュ、メッセージング、Foundry Tools など) には、アプリケーションに対する非常に高い信頼が必要であり、他のフローには存在しないリスクが伴います。このフローは、パスワードレス接続またはキーレス接続のマネージド ID など、より安全なオプションが有効でない場合にのみ使用します。ローカルコンピューターの操作では、パスワードレス接続またはキーレス接続にユーザー ID を使用します。
```
export REDIS_HOST=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.hostName')

export REDIS_PORT=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.sslPort')

export REDIS_PRIMARY_KEY=$(az redis list-keys \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.primaryKey')

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CART-REDIS-CONNECTION-STRING" \
    --value "rediss://:${REDIS_PRIMARY_KEY}@${REDIS_HOST}:${REDIS_PORT}/0"
```
シングルサインオンを構成した場合は、次のコマンドを使用して、JSON Web Key (JWK) URI をキーコンテナーに格納します。
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "SSO-PROVIDER-JWK-URI" \
    --value <jwk-uri>
```

キーコンテナー内のシークレットへのアクセス権をアプリケーションに付与する

次の手順では、Azure Spring Apps Enterprise プランにデプロイされたアプリケーションに、Key Vault シークレットへのアクセス権を付与する方法について説明します。

次のコマンドを使用して、カートサービスアプリケーションのシステム割り当て ID を有効にします。

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

次のコマンドを使用して、カートサービスアプリケーションのキーコンテナーに対する get list のアクセスポリシーを設定します。

export CART_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CART_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

次のコマンドを使用して、注文サービスアプリケーションのシステム割り当て ID を有効にします。

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

次のコマンドを使用して、注文サービスアプリケーションのキーコンテナーに対する get list のアクセスポリシーを設定します。

export ORDER_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${ORDER_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

次のコマンドを使用して、カタログサービスアプリケーションのシステム割り当て ID を有効にします。

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

次のコマンドを使用して、カタログサービスアプリケーションのキーコンテナーに対する get list のアクセスポリシーを設定します。

export CATALOG_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CATALOG_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

シングルサインオンを構成した場合は、次のコマンドを使用して、ID サービスアプリケーションのシステム割り当て ID を有効にします。
```
az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
```

シングルサインオンを構成している場合は、次のコマンドを使って、ID サービスアプリケーションのキーコンテナーに対する get list のアクセスポリシーを設定します。

export IDENTITY_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${IDENTITY_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

アプリケーションを更新して Key Vault シークレットを読み込む

キーコンテナーからシークレットを読み取るためのアクセス権を付与した後、次の手順を使用して、構成内で新しいシークレット値を使用するようにアプリケーションを更新します。

次のコマンドを使用して、アプリケーションの更新に使用するキーコンテナーの URI を取得します。
```
export KEYVAULT_URI=$(az keyvault show --name ${KEY_VAULT_NAME} --resource-group ${RESOURCE_GROUP} | jq -r '.properties.vaultUri')
```

次のコマンドを使用して、アプリケーションの更新に使用する Spring Cloud Gateway の URL を取得します。

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

次のコマンドを使用して、注文サービスアプリケーションと Azure Database for PostgreSQL フレキシブルサーバーをバインドしているサービスコネクタを削除します。

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app order-service \
    --connection order_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

次のコマンドを使用して、キーコンテナーにアクセスするための URI で注文サービス環境を更新します。

Note

Microsoft では、利用可能な最も安全な認証フローを使用することをお勧めします。この手順で説明する認証フロー (データベース、キャッシュ、メッセージング、Foundry Tools など) には、アプリケーションに対する非常に高い信頼が必要であり、他のフローには存在しないリスクが伴います。このフローは、パスワードレス接続またはキーレス接続のマネージド ID など、より安全なオプションが有効でない場合にのみ使用します。ローカルコンピューターの操作では、パスワードレス接続またはキーレス接続にユーザー ID を使用します。
```
az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "ConnectionStrings__KeyVaultUri=${KEYVAULT_URI}" "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}" "DatabaseProvider=Postgres"
```

次のコマンドを使用して、カタログサービスアプリケーションと Azure Database for PostgreSQL フレキシブルサーバーをバインドしているサービスコネクタを削除します。

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app catalog-service \
    --connection catalog_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

次のコマンドを使用して、キーコンテナーにアクセスするようにカタログサービス環境と構成パターンを更新します。

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern catalog/default,catalog/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

次のコマンドを使用して、カートサービスアプリケーションと Azure Cache for Redis をバインドしているサービスコネクタを削除します。

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app cart-service \
    --connection cart_service_cache \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

次のコマンドを使用して、キーコンテナーにアクセスするようにカートサービス環境を更新します。

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "CART_PORT=8080" "KEYVAULT_URI=${KEYVAULT_URI}" "AUTH_URL=https://${GATEWAY_URL}"

シングルサインオンを構成している場合は、次のコマンドを使って、キーコンテナーにアクセスするように ID サービス環境と構成パターンを更新します。

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern identity/default,identity/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

次のコマンドを使用して、Spring Cloud Gateway の URL を取得します。

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

echo "https://${GATEWAY_URL}"

ブラウザーで出力 URL を開いて、更新されたアプリケーションを探索できます。

リソースをクリーンアップする

後続のクイックスタートおよびチュートリアルを引き続き実行する場合は、これらのリソースをそのまま残しておくことができます。不要になったら、リソースグループを削除します。これにより、リソースグループ内のリソースが削除されます。 Azure CLI を使用してリソースグループを削除するには、次のコマンドを使用します。

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

次のステップ

次の省略可能なクイックスタートのいずれかに進んでください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-02-10

次の方法で共有

クイック スタート: Key Vault を使用してアプリケーション シークレットを読み込む