SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Azure Functions (PowerShell ランタイム) でマネージド ID を使用して SQL Database に接続を行う

leave a comment

Azure Functions の PowerShell ランタイムでマネージド ID (Managed Identity) を使用して SQL Database に接続をする方法についてまとめておきたいと思います。

事前準備

最初に事前準備として、Azure Functions のマネージド ID の設定と SQL Database のユーザーの作成を実施します。
今回は「fn-azurefunction01」という Azure Functions に対して作業を行います。

Azure Functions のマネージド ID の有効化については、該当の関数アプリの ID から、マネージド ID を「オン」にすることで、有効化を行うことができます。

image

マネージド ID の有効化を実施したら、Azure Functions 用のユーザーを SQL Database に作成します。
SQL Database に対して、マネージド ID を使用して接続を行うためのドキュメントについては次のようなものが公開されています

SQL Database にマネージド IDを使用して接続を行うためには、次のような作業を実施する必要があります。

  1. Azure Active Directory 認証でログイン (AAD 認証で SQL Database にログイン)
  2. クエリを実行するデータベースに マネージド ID を使用したユーザーを作成

今回は、SQL Database の「Azure Active Directory 管理者」に設定した AAD のユーザーで、クエリを実行したいデータベースに対してログインをし、次のようなクエリを実行しています。
[fn-azurefunction01] の箇所には、接続を行う Azure Functions の関数名を指定します。

CREATE USER [fn-azurefunction01] FROM EXTERNAL PROVIDER;


これで、マネージド ID を使用して、SQL Database に接続を行うための設定ができましたので、実際に接続をしてみます。

Azure Functions からの接続

Azure Functions からマネージド ID を使用した接続ですが次の 2 ステップが必要となります。

  1. アクセストークンの取得
  2. 取得したアクセストークンを接続情報に指定して SQL Database に接続

アクセストークンの取得

マネージド ID を使用した SQL Database の接続については、アクセストークンを取得する必要があります。

取得の方法については次のドキュメントに記載されています。

今回はタイマートリガーを使用しているのですが、タイマートリガーからアクセストークンを取得する場合には、コード例 に記載されているような次のようなコードを実行します。

param($Timer)

$resourceURI = "https://database.windows.net/"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token
Write-Host $accessToken

$con = New-Object System.Data.SqlClient.SqlConnection($ENV:SQLAZURECONNSTR_ConnectionString)
$con.AccessToken = $accessToken

 

$resourceURI については、Azure リソースのマネージド ID をサポートするサービス に記載されている SQL Database のリソース URI を指定します。

アクセストークンを取得する際に要求を行う「$env:IDENTITY_ENDPOINT」ですが、Azure Functions ではこの環境変数が自動的に設定されており「http://127.0.0.1:41565/MSI/token/」が指定されている状態となりますので、環境変数に指定されている URI に対して、要求を行うことでアクセストークンが取得されます。

取得したアクセストークンを使用して SQL Database に接続を行います。

取得したアクセストークンを接続情報に指定して SQL Database に接続

今回、Azure Functions の「構成」の「接続文字列」には次のような設定を行っています。

image

種類を SQLAzure として設定した接続文字列については、関数内で「$ENV:SQLAZURECONNSTR_[名前]」として、環境変数経由で情報を取得することができます。

今回の設定例であれば「$ENV:SQLAZURECONNSTR_ConnectionString」として、設定している内容を取得することができます。

マネージド ID を使用して接続を行う場合必要となる情報はサーバー名とデータベース名のみとなり、資格情報 (ユーザー / パスワード) は設定する必要はありません。

「Server=xxxxxxx.database.windows.net;Database=xxxx」という接続文字列の情報のみが設定されていれば、接続を行うことができます。

先ほど取得したアクセストークンを使用してクエリを実行する場合は、次のようなスクリプトを実行することで、SQL Database に対してクエリを実行することができます。

$con = New-Object System.Data.SqlClient.SqlConnection($ENV:SQLAZURECONNSTR_ConnectionString)
$con.AccessToken = $accessToken
$con.Open()
$cmd = New-Object System.Data.SqlClient.SqlCommand("SELECT @@VERSION", $con)
$ret = $cmd.ExecuteScalar()
Write-Host $ret

$con.Close()
$con.Dispose()

SqlConnection を作成する際には資格情報を指定していない接続文字列の情報でオブジェクトを作成します。

作成したオブジェクトの AccessToken プロパティに対して、前段で取得したアクセストークンを設定し、接続をオープンします。

以降の流れは通常の実行と同じです。

今回使用したスクリプトの全体が次の内容となります。

param($Timer)

$resourceURI = "https://database.windows.net/"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token
Write-Host $accessToken

$con = New-Object System.Data.SqlClient.SqlConnection($ENV:SQLAZURECONNSTR_ConnectionString)
$con.AccessToken = $accessToken
$con.Open()
$cmd = New-Object System.Data.SqlClient.SqlCommand("SELECT @@VERSION", $con)
$ret = $cmd.ExecuteScalar()
Write-Host $ret

$con.Close()
$con.Dispose()

 

まとめ

マネージド ID を使用した場合は、資格情報をコード / 環境変数に埋め込むことなく、接続を行うことができます。

マネージド ID 対応サービスについては、積極的に使っていきたいですね。

Written by Masayuki.Ozawa

4月 13th, 2021 at 11:09 pm

Leave a Reply

Share via
Copy link
Powered by Social Snap