SAS トークンを使用してプライベート ARM テンプレートをデプロイする方法

2025-04-30

Azure Resource Manager テンプレート (ARM テンプレート) がストレージアカウントにある場合は、テンプレートへのアクセスを制限して、一般に公開されないようにすることができます。セキュリティで保護されたテンプレートにアクセスするには、テンプレートの Shared Access Signature (SAS) トークンを作成し、デプロイ時にそのトークンを指定します。この記事では、Azure PowerShell または Azure CLI を使用して、SAS トークンを使用して ARM テンプレートを安全にデプロイする方法について説明します。

プライベート ARM テンプレートへのアクセスを保護および管理する方法については、次の手順を参照してください。

セキュリティで保護されたコンテナーを使用してストレージアカウントを作成する
ストレージアカウントにテンプレートをアップロードする
デプロイ時に SAS トークンを提供する

重要

SAS トークンを使用してプライベートテンプレートをセキュリティで保護する代わりに、テンプレートスペックの使用を検討してください。テンプレートスペックを使用すると、組織内の他のユーザーとテンプレートを共有し、Azure RBAC を使用してテンプレートへのアクセスを管理できます。

セキュリティで保護されたコンテナーを使用してストレージアカウントを作成する

次のスクリプトでは、テンプレートのセキュリティのためにパブリックアクセスがオフになっているストレージアカウントとコンテナーを作成します。

PowerShellの
Azure CLI

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

az group create \
  --name "ExampleGroup" \
  --___location "Central US"
az storage account create \
    --resource-group ExampleGroup \
    --___location "Central US" \
    --sku Standard_LRS \
    --kind Storage \
    --name {your-unique-name}
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
az storage container create \
    --name templates \
    --public-access Off \
    --connection-string $connection

プライベートテンプレートをストレージアカウントにアップロードする

これで、テンプレートをストレージアカウントにアップロードする準備ができました。使用するテンプレートへのパスを指定します。

PowerShellの
Azure CLI

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

az storage blob upload \
    --container-name templates \
    --file azuredeploy.json \
    --name azuredeploy.json \
    --connection-string $connection

デプロイ時に SAS トークンを提供する

ストレージアカウントにプライベートテンプレートをデプロイするには、SAS トークンを生成し、テンプレートの URI に含めます。デプロイの完了に必要な時間を確保できるように有効期限を設定します。

重要

プライベートテンプレートを含む BLOB には、アカウント所有者のみがアクセスできます。ただし、BLOB の SAS トークンを作成すると、その URI を持つすべてのユーザーが BLOB にアクセスできます。別のユーザーが URI をインターセプトした場合、そのユーザーはテンプレートにアクセスできます。 SAS トークンはテンプレートへのアクセスを制限する優れた方法ですが、パスワードなどの機密データをテンプレートに直接含めてはいけません。

PowerShellの
Azure CLI

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

次の例は、Cloud Shell の Bash 環境で動作します。他の環境では、SAS トークンの有効期限を作成するために異なる構文が必要になる場合があります。

expiretime=$(date -u -d '30 minutes' +%Y-%m-%dT%H:%MZ)
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
token=$(az storage blob generate-sas \
    --container-name templates \
    --name azuredeploy.json \
    --expiry $expiretime \
    --permissions r \
    --output tsv \
    --connection-string $connection)
url=$(az storage blob url \
    --container-name templates \
    --name azuredeploy.json \
    --output tsv \
    --connection-string $connection)
az deployment group create \
  --resource-group ExampleGroup \
  --template-uri $url?$token

リンクされたテンプレートで SAS トークンを使用する例については、「 Azure Resource Manager でのリンクされたテンプレートの使用」を参照してください。

次のステップ

テンプレートのデプロイの概要については、 ARM テンプレートと Azure PowerShell を使用したリソースのデプロイに関するページを参照してください。
テンプレートでパラメーターを定義するには、「テンプレートの作成」を参照してください。

次の方法で共有

SAS トークンを使用してプライベート ARM テンプレートをデプロイする方法

セキュリティで保護されたコンテナーを使用してストレージ アカウントを作成する

プライベート テンプレートをストレージ アカウントにアップロードする

デプロイ時に SAS トークンを提供する

次のステップ

フィードバック

その他のリソース

セキュリティで保護されたコンテナーを使用してストレージアカウントを作成する

プライベートテンプレートをストレージアカウントにアップロードする