部署

Azure 应用程序配置支持使用以下方法在部署期间读取和管理配置:

在部署中管理 Azure 应用程序配置资源

Azure 资源管理器授权

必须拥有 Azure 资源管理器权限才能管理 Azure 应用程序配置资源。 提供这些权限的 Azure 基于角色的访问控制 (Azure RBAC) 角色包括 Microsoft.AppConfiguration/configurationStores/write 或Microsoft.AppConfiguration/configurationStores/* 操作。 具有此操作的内置角色包括:

  • 所有者
  • 参与者

若要详细了解 Azure RBAC 和 Microsoft Entra ID,请参阅使用 Microsoft Entra ID 授权访问 Azure 应用程序配置

在部署中管理 Azure 应用程序配置数据

可以在部署中管理 Azure 应用程序配置数据(例如键值和快照)。 使用此方法管理应用程序配置数据时,建议将配置存储的 Azure 资源管理器身份验证模式设置为“直通”。 此身份验证模式可确保数据访问需要数据平面和 Azure 资源管理器管理角色的组合,并确保数据访问可以正确归因于部署调用方以进行审核。

Azure 资源管理器身份验证模式

若要在 Azure 门户中配置 Azure 应用程序配置资源的 Azure 资源管理器身份验证模式,请执行以下步骤:

  1. 在 Azure 门户中导航到你的 Azure 应用程序配置资源

  2. 在“设置”下找到“访问设置”设置

    显示如何访问 Azure 应用程序配置资源的访问设置边栏选项卡的屏幕截图。

  3. 在“Azure 资源管理器身份验证模式”下选择建议的“直通”身份验证模式

    显示在“Azure 资源管理器身份验证模式”下选择直通身份验证模式的屏幕截图。

注意

本地身份验证模式用于后向兼容,并且存在一些限制。 它不支持对部署中的数据访问进行适当的审核。 在本地身份验证模式下,如果禁用访问密钥身份验证,则会禁用 ARM 模板/Bicep/Terraform 中的键值数据访问。 在本地身份验证模式下访问数据不需要 Azure 应用程序配置数据平面权限。

Azure 应用程序配置授权

当应用程序配置资源的 Azure 资源管理器身份验证模式设置为“直通”时,你必须拥有 Azure 应用程序配置数据平面权限才能在部署中读取和管理 Azure 应用程序配置数据。 此要求是对资源的基线管理权限要求的补充。 Azure 应用程序配置数据平面权限包括 Microsoft.AppConfiguration/configurationStores/*/read 和 Microsoft.AppConfiguration/configurationStores/*/write。 具有此操作的内置角色包括:

  • 应用程序配置数据所有者
  • 应用程序配置数据读取者

若要详细了解 Azure RBAC 和 Microsoft Entra ID,请参阅使用 Microsoft Entra ID 授权访问 Azure 应用程序配置

专用网络访问

当应用程序配置资源限制为专用网络访问时,通过公用网络访问应用程序配置数据的部署将被阻止。 若要在仅限通过专用网络访问应用程序配置资源的情况下成功部署,必须采取以下措施:

  • 必须设置 Azure 资源管理专用链接
  • 应用程序配置资源的 Azure 资源管理器身份验证模式必须设置为“直通”
  • 必须为应用程序配置资源启用 Azure 资源管理器专用网络访问
  • 访问应用程序配置数据的部署必须通过配置的 Azure 资源管理器专用链接运行

如果满足所有这些条件,则访问应用程序配置数据的部署将会成功。

若要在 Azure 门户中为 Azure 应用程序配置资源启用 Azure 资源管理器专用网络访问,请执行以下步骤:

  1. 在 Azure 门户中导航到你的 Azure 应用程序配置资源

  2. 在“设置”下找到“网络”设置

    显示如何访问 Azure 应用程序配置资源网络边栏选项卡的屏幕截图。

  3. 选中“专用访问”下的“启用 Azure 资源管理器专用访问”

    显示已选中“启用 Azure 资源管理器专用访问”的屏幕截图。

注意

只能在“直通”身份验证模式下启用 Azure 资源管理器专用网络访问

后续步骤

若要了解如何使用 ARM 模板和 Bicep 进行部署,请查看下面链接的文档。