Shopify CLI / アプリ開発Action Required

App automation token
全アプリで CI/CD 自動デプロイが解禁

Dev Dashboard で発行する「アプリ単位(app-scoped)」のトークンを使い、最新の Shopify CLI で GitHub Workflows などからアプリのリリースを自動化できるようになった。Partner Dashboard で発行していた旧 CLI トークンを置き換える。

このページの構成
  1. そもそも何が変わるのか(30秒で理解)
  2. 仕組み図解 : push からデプロイまでの流れ
  3. App automation token とは
  4. 旧 CLI トークン vs App automation token
  5. デプロイ手順(3ステップ)
  6. 移行についての注意(Action Required)
  7. 技術者が押さえるべき5つのポイント
  8. 業務に活かせる3つのユースケース
  9. 提案で使える1行サマリ

1そもそも何が変わるのか

CI/CD(GitHub Workflows など)からの アプリ自動デプロイが、すべてのアプリで利用可能になった。
鍵になるのは Dev Dashboard で発行する App automation token(アプリ単位の認証トークン)。これを使うと、最新の Shopify CLI でアプリのリリースを自動化できる。

これまで : Partner Dashboard の CLI トークン

CI からのデプロイには Partner Dashboard で発行した CLI トークンを使っていた。認証の範囲はアプリ単位ではなかった。

これから : App automation token

Dev Dashboard で発行する アプリ単位(app-scoped)のトークン。各トークンが個別のアプリに紐づくため、セキュリティと制御が高まる。

2仕組み図解 : push からデプロイまでの流れ

リポジトリ アプリのコード を push / merge GitHub など GitHub Workflow SHOPIFY_APP_AUTOMATION_TOKEN 最新の Shopify CLI を実行 トークンは環境変数で渡す $ shopify app deploy --config production --allow-updates deploy コマンド リリース反映 アプリ更新が公開
ポイントは 「トークンを環境変数に入れる → CLI の deploy コマンドを叩く」だけという点。CI ランナー上でこの 2 つが揃えば、人手のログインなしでアプリのリリースが走る。
※ 記事本文では GitHub Workflows を例示。「similar tools(類似ツール)」でも使えると記載。

3App automation token とは

アプリ単位の認証

app-scoped 認証。各トークンが「個別のアプリ」に限定されるため、影響範囲が狭い。

Dev Dashboard で発行

トークンは Dev Dashboard 上で発行・管理する(旧来の Partner Dashboard 発行を置き換える)。

セキュリティと制御の向上

トークンがアプリごとに分離されることで、セキュリティと制御性が高まる(記事の明記)。

これにより「CI/CD でのアプリデプロイ」が全アプリで利用可能になった。最新の Shopify CLI と組み合わせて使う。

4旧 CLI トークン vs App automation token

項目旧 : CLI トークン新 : App automation token
発行場所 Partner Dashboard Dev Dashboard
認証スコープ アプリ単位ではない アプリ単位(app-scoped)
現状の扱い 期限切れまでは引き続き機能する 新規・移行先として推奨
推奨アクション 移行が必要 セキュリティ・機能性の観点から移行が推奨
対象アプリ すべてのアプリ
旧 CLI トークンの具体的な有効期限の日付・移行期限は記事本文に 記載なし。「期限切れまでは機能する」という表現のみ。詳細は Shopify.dev の移行ガイドで確認すること。

5デプロイ手順(3ステップ)

1

トークンを発行

Dev Dashboard で対象アプリの App automation token を発行する。

2
export

環境変数にセット

SHOPIFY_APP_AUTOMATION_TOKEN として CI に渡す。

3

deploy コマンド実行

shopify app deploy を叩くとリリースが反映される。

# トークンを環境変数として設定 export SHOPIFY_APP_AUTOMATION_TOKEN="your-app-automation-token" # デプロイを実行 shopify app deploy --config production --allow-updates

※ 上記は記事本文に記載されたコマンドそのまま。--config production でデプロイ対象の構成を、--allow-updates で更新の適用を指定している。

6移行についての注意(Action Required)

現状

既存 CLI トークンは当面使える

Partner Dashboard で発行済みの CLI トークンは、期限切れになるまで引き続き機能する。即時に止まるわけではない。

推奨

App automation token へ移行

セキュリティと機能性の向上のため、App automation token への移行が推奨されている。記事には「移行ガイド」へのリンクあり。

記事末尾に挙げられている参照ドキュメント(Shopify.dev):
Managing app automation tokens(App automation token の管理)
Deploy app components in a CD pipeline(CD パイプラインでのアプリコンポーネントのデプロイ)
移行ガイド(Learn more about migrating to app automation tokens)

7技術者が押さえるべき5つのポイント

1. トークンは「アプリ単位」

app-scoped 認証なので、1 トークン=1 アプリ。漏洩時の影響範囲が個別アプリに限定され、複数アプリを同一トークンで触れない設計。

$ CLI

2. 「最新の Shopify CLI」が前提

記事は "the latest Shopify CLI" を使うと明記。CI の CLI バージョンを最新に保つこと。必要な最低バージョン番号の明示は 記載なし

3. 渡し方は環境変数

SHOPIFY_APP_AUTOMATION_TOKEN という環境変数で渡す。GitHub Actions なら Secrets に格納し、ジョブ実行時に展開する形が自然。

--config / --allow-updates

4. deploy のフラグ

例では --config production--allow-updates を併用。構成名の指定と更新適用を明示する運用が示されている。

5. 旧 CLI トークンは「期限切れまで」— 計画的に置換する

既存の Partner Dashboard 製 CLI トークンは期限切れまで動くが、いずれ失効する。失効でデプロイが突然止まる前に、App automation token へ計画的に切り替えるのが安全。具体的な失効日や非推奨スケジュールは記事に 記載なしのため、移行ガイドで確認する。

8業務に活かせる3つのユースケース

git merge → main CI deploy 自動リリース
USE CASE 1

main マージで本番アプリを自動デプロイ(手動リリースの撤廃)

課題
これまでアプリのリリースを担当者が手元の端末から手動で shopify app deploy していて、属人化・作業漏れ・深夜対応が発生していた。
打ち手
App automation token を Secrets に登録し、main へのマージをトリガーに GitHub Workflow で shopify app deploy --config production --allow-updates を実行。
効果
リリースの自動化・標準化。誰の端末からでも同じ手順で確実にデプロイされ、リリース履歴も CI に残る。
技術メモ
CI 上の Shopify CLI を最新に保つ。トークンはアプリ単位なので本番アプリ専用に発行し、Secrets に隔離する。
App A App B token A token B アプリごとに分離
USE CASE 2

複数アプリの権限分離 & パイプラインのセキュリティ強化

課題
複数のアプリを運用していて、1 つの広いトークンが複数アプリに触れられる状態だと、漏洩時の影響範囲が大きく監査もしづらい。
打ち手
アプリごとに App automation token(app-scoped)を発行し、各アプリの CI/CD パイプラインに対応するトークンだけを割り当てる。
効果
最小権限化。あるアプリのトークンが漏れても他アプリに波及しない。アプリ単位で発行・失効を管理できる。
技術メモ
トークン発行・管理は「Managing app automation tokens」ガイド参照。リポジトリ/環境ごとの Secrets 分離と組み合わせる。
旧トークン 新トークン 期限切れ 移行完了 失効前に置換
USE CASE 3

旧 CLI トークンからの計画的マイグレーション

課題
Partner Dashboard 発行の CLI トークンで CI を組んでいるが、いずれ失効する。失効でリリースが突然止まるリスクを避けたい。
打ち手
移行ガイドに沿って App automation token を発行 → CI の Secrets を新トークンに差し替え → 動作確認後に旧トークンの利用を停止。
効果
失効による停止リスクの解消と、推奨される新方式(セキュリティ・機能性向上)への移行完了。
技術メモ
具体的な失効日は記事に記載なし。移行ガイド(migrating to app automation tokens)で期限とステップを確認してから着手する。

9提案で使える1行サマリ

「Dev Dashboard の App automation token(アプリ単位の認証) で、全アプリの CI/CD 自動デプロイが解禁。
環境変数にトークンを入れて shopify app deploy を叩くだけ。
Partner Dashboard の旧 CLI トークンは期限切れまで使えるが、セキュリティ向上のため早めの移行が推奨。」