部署
Azure 应用程序配置支持使用以下方法在部署期间读取和管理配置:
在部署中管理 Azure 应用程序配置资源
Azure 资源管理器授权
必须拥有 Azure 资源管理器权限才能管理 Azure 应用程序配置资源。 提供这些权限的 Azure 基于角色的访问控制 (Azure RBAC) 角色包括 Microsoft.AppConfiguration/configurationStores/write 或Microsoft.AppConfiguration/configurationStores/* 操作。 具有此操作的内置角色包括:
- 所有者
- 参与者
若要详细了解 Azure RBAC 和 Microsoft Entra ID,请参阅使用 Microsoft Entra ID 授权访问 Azure 应用程序配置。
在部署中管理 Azure 应用程序配置数据
可以在部署中管理 Azure 应用程序配置数据(例如键值和快照)。 使用此方法管理应用程序配置数据时,建议将配置存储的 Azure 资源管理器身份验证模式设置为“直通”。 此身份验证模式可确保数据访问需要数据平面和 Azure 资源管理器管理角色的组合,并确保数据访问可以正确归因于部署调用方以进行审核。
Azure 资源管理器身份验证模式
若要在 Azure 门户中配置 Azure 应用程序配置资源的 Azure 资源管理器身份验证模式,请执行以下步骤:
在 Azure 门户中导航到你的 Azure 应用程序配置资源
在“设置”下找到“访问设置”设置
在“Azure 资源管理器身份验证模式”下选择建议的“直通”身份验证模式
注意
本地身份验证模式用于后向兼容,并且存在一些限制。 它不支持对部署中的数据访问进行适当的审核。 在本地身份验证模式下,如果禁用访问密钥身份验证,则会禁用 ARM 模板/Bicep/Terraform 中的键值数据访问。 在本地身份验证模式下访问数据不需要 Azure 应用程序配置数据平面权限。
Azure 应用程序配置授权
当应用程序配置资源的 Azure 资源管理器身份验证模式设置为“直通”时,你必须拥有 Azure 应用程序配置数据平面权限才能在部署中读取和管理 Azure 应用程序配置数据。 此要求是对资源的基线管理权限要求的补充。 Azure 应用程序配置数据平面权限包括 Microsoft.AppConfiguration/configurationStores/*/read 和 Microsoft.AppConfiguration/configurationStores/*/write。 具有此操作的内置角色包括:
- 应用程序配置数据所有者
- 应用程序配置数据读取者
若要详细了解 Azure RBAC 和 Microsoft Entra ID,请参阅使用 Microsoft Entra ID 授权访问 Azure 应用程序配置。
专用网络访问
当应用程序配置资源限制为专用网络访问时,通过公用网络访问应用程序配置数据的部署将被阻止。 若要在仅限通过专用网络访问应用程序配置资源的情况下成功部署,必须采取以下措施:
- 必须设置 Azure 资源管理专用链接
- 应用程序配置资源的 Azure 资源管理器身份验证模式必须设置为“直通”
- 必须为应用程序配置资源启用 Azure 资源管理器专用网络访问
- 访问应用程序配置数据的部署必须通过配置的 Azure 资源管理器专用链接运行
如果满足所有这些条件,则访问应用程序配置数据的部署将会成功。
若要在 Azure 门户中为 Azure 应用程序配置资源启用 Azure 资源管理器专用网络访问,请执行以下步骤:
在 Azure 门户中导航到你的 Azure 应用程序配置资源
在“设置”下找到“网络”设置
选中“专用访问”下的“启用 Azure 资源管理器专用访问”
注意
只能在“直通”身份验证模式下启用 Azure 资源管理器专用网络访问。
后续步骤
若要了解如何使用 ARM 模板和 Bicep 进行部署,请查看下面链接的文档。