部署

可以将配置视为可部署的项目，而不是手动配置 Azure 应用程序配置。 应用程序配置支持使用以下方法在部署期间读取和管理配置：

• Azure 资源管理器模板（ARM 模板）
• 肱二头肌
• Terraform

使用自动化部署过程管理配置时，执行部署的服务主体需要特定的角色和权限才能访问应用程序配置资源和数据。 本文讨论这些必需的角色和权限。 它还演示如何在使用专用网络访问应用程序配置时配置部署。

在部署中管理应用程序配置资源

必须拥有 Azure 资源管理器权限才能管理应用程序配置资源。

Azure 资源管理器授权

某些 Azure 基于角色的访问控制 (Azure RBAC) 角色提供管理应用程序配置资源所需的权限。 具体来说，允许执行以下操作的角色提供这些权限：

• Microsoft.AppConfiguration/configurationStores/write
• Microsoft.AppConfiguration/configurationStores/*

允许执行这些操作的内置角色包括以下角色：

• Owner
• Contributor

有关 Azure RBAC 和 Microsoft Entra ID 的详细信息，请参阅使用 Microsoft Entra ID 访问 Azure 应用程序配置。

在部署中管理应用程序配置数据

可以在部署中管理应用程序配置数据（例如键值和快照）。 将应用程序配置数据作为可部署项目进行管理时，建议将配置存储的 Azure 资源管理器身份验证模式设置为直通。 在此身份验证模式下：

• 数据访问需要数据平面和 Azure 资源管理器管理角色的组合。
• 数据访问可以归咎于部署调用方，以便进行审核。

Azure 资源管理器身份验证模式

若要使用 Azure 门户配置应用程序配置资源的 Azure 资源管理器身份验证模式，请执行以下步骤：

1. 登录到 Azure 门户，然后转到应用程序配置资源。

2. 选择“设置”>“访问设置”。

   

3. 在“访问设置”页上，转到“Azure 资源管理器身份验证模式”部分。 在身份验证模式旁边，选择身份验证模式。 直通是建议的模式。

   

应用程序配置授权

当应用程序配置资源的 Azure 资源管理器身份验证模式设置为“直通”时，你必须拥有应用程序配置数据平面权限才能在部署中读取和管理应用程序配置数据。 资源还可以具有其他基线管理权限要求。

应用程序配置数据平面权限包括以下操作：

• Microsoft.AppConfiguration/configurationStores/*/read
• Microsoft.AppConfiguration/configurationStores/*/write

允许执行数据平面操作的内置角色包括以下角色：

• 应用程序配置数据所有者：允许 Microsoft.AppConfiguration/configurationStores/*/read 和 Microsoft.AppConfiguration/configurationStores/*/write 操作等
• 应用程序配置数据读取者：允许 Microsoft.AppConfiguration/configurationStores/*/read 操作

有关 Azure RBAC 和 Microsoft Entra ID 的详细信息，请参阅使用 Microsoft Entra ID 访问 Azure 应用程序配置。

专用网络访问

将应用程序配置资源限制为专用网络访问时，通过公共网络访问应用程序配置数据的部署将被阻止。 当对应用程序配置资源的访问限制为专用网络时，为了使部署成功，必须执行以下操作：

• 设置 Azure 资源管理专用链接。
• 在应用程序配置资源中，将 Azure 资源管理器身份验证模式设置为“直通”。
• 在应用程序配置资源中，启用 Azure 资源管理器专用网络访问。
• 通过配置的 Azure 资源管理器专用链接运行访问应用程序配置数据的部署。

满足所有这些条件后，部署可以成功访问应用程序配置数据。

若要使用 Azure 门户为应用程序配置资源启用 Azure 资源管理器专用网络访问，请执行以下步骤：

1. 登录到 Azure 门户，然后转到应用程序配置资源。

2. 选择“设置”“网络”。>

   

3. 转到“专用访问”选项卡，然后选择“启用 Azure 资源管理器专用网络访问”。

   

后续步骤

若要了解如何使用 ARM 模板和 Bicep 进行部署，请参阅以下快速入门：

• 快速入门：使用 ARM 模板创建 Azure 应用程序配置存储
• 快速入门：使用 Bicep 创建 Azure 应用程序配置存储