各テナント 300 秒間に 10 回までしかアクセス出来ないようにします。 なので user1 が 10 回リクエストを送信すると、tenant1 の user1 と user2 は一定期間はリクエストに失敗するはずです。 一方でその間にも別のテナントである tenant2 の user3 はアクセス出来るはずです。 今回リクエストテストは API Management のテスト機能を使いました。 各ユーザーの JWT は事前に払い出しておき、テストパネルから Authorization ヘッダーに設定します。 試しに user1 でリクエストを送信してみると、次のようにポリシーが動作している様子が確認出来ました。 API Management のトレース実行機能を使ってるのですが、これめちゃくちゃ良いな...! rate-limit-by-keyのところでtenant1が抽出されており、