Azure API Management ポリシーで名前付きの値を使用する

2025-09-30

適用対象: すべての API Management レベル

API Management ポリシーはシステムの強力な機能の 1 つで、これを使用することにより、発行者は構成を通じて API の動作を変更できます。 API の要求または応答に対して順に実行される一連のステートメントが集まってポリシーが形成されます。ポリシーステートメントは、リテラルテキストの値、ポリシーの式、名前付きの値を使用して構築できます。

"名前付きの値" は、各 API Management インスタンス内にある名前と値ペアのグローバル　コレクションです。名前付き値を使用して、すべての API 構成とポリシーで定数文字列値とシークレットを管理できます。

Azure portal 内の名前付きの値

値の型

タイプ	説明
プレーン	リテラル文字列またはポリシー式
秘密	API Management によって暗号化されるリテラル文字列またはポリシー式
Key vault (キーボールト)	Azure Key Vault に格納されているシークレットの識別子。

プレーンテキストの値またはシークレットにはポリシー式を含めることができます。たとえば、式 @(DateTime.Now.ToString()) では、現在の日付と時刻を含む文字列が返されます。

名前付きの値の属性の詳細については、API Management の REST API リファレンスのページを参照してください。

キーコンテナーのシークレット

シークレットの値は、API Management 内に暗号化された文字列 (カスタムシークレット) として、または Azure Key Vault 内のシークレットを参照することによって格納できます。

キーコンテナーシークレットは API Management のセキュリティを向上させるのに役立つため、使用することをお勧めします。

注

このシナリオでは、キーボールトとの統合がワークスペースで利用できません。

キーコンテナーに格納されているシークレットは、サービス間で再利用できます。
詳細なアクセスポリシーをシークレットに適用できます。
キーコンテナーで更新されたシークレットは、API Management で自動的にローテーションされます。キーコンテナーの更新後、API Management の名前付き値は 4 時間以内に更新されます。また、Azure portal または管理 REST API を使用して、シークレットを手動で更新することもできます。

注

API Management ではこの制限を超える値を取得できないため、Azure Key Vault に格納されるシークレットは 1 ~ 4096 文字にする必要があります。

前提条件

API Management サービスインスタンスをまだ作成していない場合は、「クイックスタート: Azure portal を使用して新しい Azure API Management インスタンスを作成する」を参照してください。

キーコンテナー統合の前提条件

注

現在、この機能はワークスペースでは利用できません。

まだキーコンテナーがない場合は作成します。キーコンテナーを作成する手順については、「クイックスタート: Azure portal を使用してキーコンテナーを作成する」を参照してください。

キーコンテナーにシークレットを作成またはインポートする方法については、「クイックスタート: Azure portal を使用して Azure Key Vault との間でシークレットの設定と取得を行う」を参照してください。
API Management インスタンスで、システムによって割り当てられた、またはユーザーが割り当てたマネージド ID を有効にします。

キーコンテナーへのアクセスを構成する

ポータルでキーコンテナーに移動します。
左側のメニューで、[設定]>[Access の構成] を選択します。構成されている アクセス許可モデル に注意してください。
アクセス許可モデルに応じて、API Management マネージド ID のキーコンテナーアクセスポリシーまたは Azure RBAC アクセスを構成します。

キーコンテナーのアクセスポリシーを追加するには:

左側のメニューで、[アクセスポリシー] を選択します。
[アクセスポリシー] ページで、[+ 作成] を選択します。
[ アクセス許可 ] タブの [ シークレットのアクセス許可] で、[ 取得と 一覧表示] を選択し、[ 次へ] を選択します。
[ プリンシパル ] タブで、マネージド ID のリソース名を検索し、[ 次へ] を選択します。システムによって割り当てられた ID を使用している場合、プリンシパルは API Management インスタンスの名前です。
もう一度 [次へ] を選択します [確認および作成] タブで、[作成] を選択します。

Azure RBAC アクセスを構成するには:

左側のメニューで [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、[ロールの割り当てを追加] を選択します。
[ ロール ] タブで、[ Key Vault シークレットユーザー] を選択し、[ 次へ] を選択します。
[メンバー] タブで、[マネージド ID]>[+ Select members] (+ メンバーの選択) を選択します。
[Select managed identity] (マネージド ID の選択) ページで、API Management インスタンスに関連付けられているシステム割り当てマネージド ID またはユーザー割り当てマネージド ID を選択し、[選択] を選択します。
[確認と割り当て] を選択します。

Key Vault ファイアウォールの要件

Key Vault のファイアウォールがキーコンテナーで有効になっている場合は、次の要件を満たす必要があります。

キーコンテナーにアクセスするには、API Management インスタンスのシステム割り当てマネージド ID を使用する必要があります。
Key Vault ファイアウォールで、[Allow Trusted Microsoft Services to bypass this firewall]\(信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する\) オプションを有効にします。
Azure API Management に追加する証明書またはシークレットを選択するときに、ローカルクライアントの IP アドレスがキーコンテナーへの一時的なアクセスを許可されるようにする必要があります。詳細については、「Azure Key Vault のネットワーク設定を構成する」を参照してください。

構成が完了したら、Key Vault ファイアウォールでクライアントアドレスをブロックできます。

仮想ネットワークの要件

API Management インスタンスが仮想ネットワークにデプロイされている場合は、次のネットワーク設定も構成してください。

API Management サブネットで Key Vault へのサービスエンドポイントを有効にします。
AzureKeyVault と AzureActiveDirectory のサービスタグへの送信トラフィックを許可するネットワークセキュリティグループ (NSG) 規則を構成します。

詳細については、仮想ネットワークで API Management を設定するときのネットワーク構成に関するページを参照してください。

名前付きの値を追加または編集する

キーコンテナーシークレットを API Management に追加する

「キーコンテナー統合の前提条件」を参照してください。

重要

API Management インスタンスにキーコンテナーシークレットを追加する場合は、キーコンテナーのシークレットを一覧表示するアクセス許可が必要です。

注意

API Management でキーコンテナーのシークレットを使用する場合は、シークレット、キーコンテナー、またはキーコンテナーにアクセスするために使用するマネージド ID を削除しないように注意してください。

Azure portal で、API Management インスタンスに移動します。
[API] の 名前付きの値 で、+ 追加> を選択します。
[名前] 識別子を入力し、ポリシー内でプロパティを参照するために使用される [表示名] を入力します。
名前付き値の整理に役立つ 1 つ以上の省略可能なタグを追加します。
[種類] ドロップダウンリストで、[キーボールト] を選択します。
キーコンテナーのシークレットの識別子 (バージョンなし) を入力するか、[選択] を選択し、キーコンテナーからシークレットを選択します。

重要

キーコンテナーのシークレット識別子を自分で入力する場合は、バージョン情報が含まれていないことを確認してください。そうしないと、キーコンテナーで更新が行われた後にシークレットが API Management で自動的にローテーションされません。
[クライアント ID] で、システムによって割り当てられた、または既存のユーザー割り当てのマネージド ID を選択します。 API Management サービスでのマネージド ID の追加または変更方法については、こちらを参照してください。

注

ID には、キーコンテナーからシークレットを取得および一覧表示するためのアクセス許可が必要です。キーコンテナーへのアクセスをまだ構成していない場合は、必要なアクセス許可を使用して ID を自動的に構成できるように、API Management によってプロンプトが表示されます。
[ 保存] を選択し、[ 作成] を選択します。

Azure portal で、API Management インスタンスに移動します。
[API] で、[名前付きの値]>[+追加] を選択します。
[名前] 識別子を入力し、ポリシー内でプロパティを参照するために使用される [表示名] を入力します。
[ 種類 ] ドロップダウンで、[ プレーン] または [ シークレット] を選択します。
[値] に、文字列またはポリシー式を入力します。
名前付きの値を整理するのに役立つ 1 つ以上の省略可能なタグを追加して、保存します。
［作成］を選択します

名前付きの値が作成されたら、名前を選択して編集できます。表示名を変更すると、その名前付きの値を参照するすべてのポリシーが、その新しい表示名を使用するように自動的に更新されます。

Azure CLI の使用を開始するには:

Azure Cloud Shell で Bash 環境を使用します。詳細については、「Azure Cloud Shell の概要」を参照してください。
CLI リファレンスコマンドをローカル環境で実行したい場合は、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
- ローカルインストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。認証プロセスを完了するには、ターミナルに表示される手順に従います。その他のサインインオプションについては、「 Azure CLI を使用した Azure への認証」を参照してください。
- 初回使用時に求められたら、Azure CLI 拡張機能をインストールします。拡張機能の詳細については、「Azure CLI で拡張機能を使用および管理する」を参照してください。
- インストールされているバージョンと依存ライブラリを調べるには、az version を実行します。最新バージョンにアップグレードするには、az upgrade を実行します。

名前付き値を追加するには、 az apim nv create コマンドを使用します。リソースグループ名と API Management インスタンス名を resource-group と service-name の値に置き換えます。

az apim nv create --resource-group apim-hello-word-resource-group \
    --display-name "named_value_01" --named-value-id named_value_01 \
    --secret true --service-name apim-hello-world --value test

名前付きの値を作成したら、az apim nv update コマンドを使用して更新できます。すべての名前付きの値を表示するには、az apim nv list コマンドを実行します。

az apim nv list --resource-group apim-hello-word-resource-group \
    --service-name apim-hello-world --output table

この例で作成した名前付きの値の詳細を表示するには、az apim nv show コマンドを実行します。

az apim nv show --resource-group apim-hello-word-resource-group \
    --service-name apim-hello-world --named-value-id named_value_01

この例は、シークレット値です。上記のコマンドで値は返されません。値を表示するには、az apim nv show-secret コマンドを実行します。

az apim nv show-secret --resource-group apim-hello-word-resource-group \
    --service-name apim-hello-world --named-value-id named_value_01

名前付きの値を削除するには、az apim nv delete コマンドを使用します。

az apim nv delete --resource-group apim-hello-word-resource-group \
    --service-name apim-hello-world --named-value-id named_value_01

名前付きの値を使用する

このセクションの例では、次の表に示す名前付きの値が使用されます。

名前	値	秘密
ContosoHeader	`TrackingId`	False
ContosoHeaderValue	••••••••••••••••••••••	正しい
ExpressionProperty	`@(DateTime.Now.ToString())`	False
ContosoHeaderValue2	`This is a header value.`	False

ポリシーで名前付きの値を使用するには、{{ContosoHeader}} のように、二重の中括弧でその表示名を囲みます。次に例を示します。

<set-header name="{{ContosoHeader}}" exists-action="override">
  <value>{{ContosoHeaderValue}}</value>
</set-header>

この例では、ContosoHeader は set-header ポリシーのヘッダー名として使用されており、ContosoHeaderValue はそのヘッダーの値として使用されています。このポリシーが API Management ゲートウェイの要求または応答で評価されるとき、{{ContosoHeader}} と {{ContosoHeaderValue}} はそれぞれの値で置換されます。

前の例に示すように、名前付き値を完全な属性または要素の値として使用できますが、次の例に示すように、リテラルテキスト式に挿入したり、リテラルテキスト式の一部と組み合わせたりすることもできます。

<set-header name = "CustomHeader{{ContosoHeader}}" ...>

名前付きの値にはポリシー式を含めることもできます。次の例では、ExpressionProperty 式が使用されています。

<set-header name="CustomHeader" exists-action="override">
    <value>{{ExpressionProperty}}</value>
</set-header>

このポリシーが評価されるとき、{{ExpressionProperty}} はその値 @(DateTime.Now.ToString()) に置き換えられます。値はポリシー式であるため、式が評価され、ポリシーはその実行を続行します。

これは、名前付きの値が範囲内にあるポリシーを持つ操作を呼び出すことによって、Azure portal または開発者ポータルでテストできます。次の例では、前の 2 つのサンプル set-header ポリシーと名前付きの値で操作が呼び出されています。応答に、ポリシーと名前付きの値を使用して構成された 2 つのカスタムヘッダーが含まれていることに注意してください。

テスト API 応答のスクリーンショット。

送信 API トレースを見て、前の 2 つのサンプルポリシーと名前付きの値が含まれる呼び出しを探すと、名前付きの値が挿入された 2 つの set-header ポリシーと、ポリシー式が含まれる名前付きの値のポリシー式評価を確認できます。

API Inspector トレースのスクリーンショット。

名前付き値で文字列補間を使用することもできます。

<set-header name="CustomHeader" exists-action="override">
    <value>@($"The URL encoded value is {System.Net.WebUtility.UrlEncode("{{ContosoHeaderValue2}}")}")</value>
</set-header>

CustomHeader の値は The URL encoded value is This+is+a+header+value. になります。

注意

ポリシーが Azure Key Vault 内のシークレットを参照している場合、キーコンテナーの値は、 API 要求トレースが有効になっているサブスクリプションにアクセスできるユーザーに表示されます。

名前付きの値にはポリシー式を含めることができますが、他の名前付きの値を含めることはできません。名前付きの値参照を含むテキストが Text: {{MyProperty}} などの値に使用されている場合、その参照は解決されず、置き換えられません。

名前付きの値を削除する

名前付きの値を削除するには、名前を選択し、コンテキストメニュー (...) から [削除] を選択します。

重要

名前付きの値がいずれかの API Management ポリシーで参照されている場合は、それが使用されているすべてのポリシーから削除してからでないと削除できません。

ポリシーの操作の詳細については、以下を参照してください。

フィードバック

このページはお役に立ちましたか?

次の方法で共有

Azure API Management ポリシーで名前付きの値を使用する

値の型

キー コンテナーのシークレット