Azure Logic Appsでマネージドアイデンティティを使用するには、マネージドアイデンティティ自体とターゲットAzureリソースへのアクセスの両方に、特定のアクセス許可が必要です。許可に関する重要なポイントは次のとおりです。
1。MicrosoftEntra管理者の許可:管理されたIDに役割を割り当てるには、Microsoft Entra管理者の権限が必要です。これは、Microsoft Entra ID [2]によって保護されているリソースへのアクセスを管理するために不可欠です。
2。ターゲットリソースのロール割り当て:マネージドアイデンティティがAzureリソースにアクセスする前に、適切な役割を割り当てる必要があります。たとえば、ロジックアプリがAzureストレージと対話する必要がある場合、「ストレージBLOBデータ貢献者」の役割を管理者IDに割り当てることができます。同様に、Azure Service Busの場合、「Azure Service Bus Data Sender」や「Azure Service Bus Data Receiver」などの役割が必要になる場合があります[3]。
3.サブスクリプションとリソースグループアクセス:管理されたアイデンティティは、特定のリソースだけでなく、リソースが存在するリソースグループとサブスクリプションにもアクセスする必要があります。これにより、ロジックアプリがこれらのスコープ内のリソースをリストおよびアクセスできるようになります[2]。
4。確認権の確認:管理されたアイデンティティに正しい権限があることを確認するには、Microsoft Entra IDでエンタープライズアプリケーションオブジェクトを確認するか、「Get-MgServicePrincipalApproleasSignment」のようなPowerShellコマンドを使用して、割り当てられた役割を照会します[5]。
要約すると、ロジックアプリで管理されたアイデンティティを使用するには、Azureリソースへの安全で効果的なアクセスを確保するために、アクセス許可を慎重に管理する必要があります。
引用:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate your-stuff-periwal