<p><meta_tech_stack>
Cloud: Azure, Microsoft Fabric
Identity: Entra ID (Azure AD), Managed Identity, RBAC
Security: Azure Key Vault (RBAC Mode)
IaC: Bicep
</meta_tech_stack>
<style_prompt_control></style_prompt_control></p>
<ul class="wp-block-list">
<li><p>Professionalism: Senior Architect</p></li>
<li><p>Technical Accuracy: High (Based on Azure Learn & Fabric documentation)</p></li>
<li><p>Formatting: Structured with Mermaid and Code Blocks
</p></li>
</ul>
<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト(未検証)</strong>です。</p>
<h1 class="wp-block-heading">Azure Key VaultのRBAC統合によるMicrosoft Fabricからのセキュアなシークレット取得構成</h1>
<p>【導入】
FabricワークスペースとKey VaultをRBACで統合し、レガシーなアクセス権限モデルから脱却した安全なデータパイプライン管理を実現します。</p>
<p>【アーキテクチャ設計】
本構成では、従来の「Key Vault アクセス ポリシー」を廃止し、Azure RBAC(ロールベースのアクセス制御)を全面的に採用します。Microsoft Fabricのワークスペース ID(マネージド ID)に対して、特定のシークレットへの参照権限のみを付与することで、最小特権の原則を適用します。</p>
<div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid">
graph TD
subgraph "Microsoft Fabric"
A["Data Factory / Notebook"] --> B["Workspace Identity"]
end
subgraph "Azure Environment"
B -->|Entra ID Auth| C{"Azure Key Vault"}
C -->|RBAC Check| D["Secret: DB Connection String"]
E["Security Admin"] -->|Assign Role| B
end
subgraph "Permissions"
F["Key Vault Secrets User"] -.-> B
end
</pre></div>
<p>この設計により、個別のサービスプリンシパルのシークレット管理が不要になり、すべての認証がEntra ID(旧Azure AD)に統合されます。</p>
<p>【実装・デプロイ手順】
Azure RBACを有効化したKey Vaultのデプロイと、FabricワークスペースIDへの権限付与をBicepで実行します。</p>
<ol class="wp-block-list">
<li><strong>Azure Key Vaultのデプロイ (Bicep)</strong>
<code>enableRbacAuthorization: true</code> を設定することが重要です。</li>
</ol>
<pre data-enlighter-language="generic">resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'kv-fabric-prod-001'
location: resourceGroup().location
properties: {
sku: {
family: 'A'
name: 'standard'
}
tenantId: subscription().tenantId
enableRbacAuthorization: true // RBACモードを強制
accessPolicies: [] // アクセスポリシーは空にする
}
}
</pre>
<ol class="wp-block-list" start="2">
<li><strong>FabricワークスペースIDの確認と権限付与</strong>
Fabricワークスペース設定で「ワークスペース ID」を有効化した後、そのオブジェクトIDに対して「Key Vault シークレット ユーザー」ロールを割り当てます。</li>
</ol>
<div class="codehilite">
<pre data-enlighter-language="generic"># FabricワークスペースのマネージドIDのオブジェクトIDを取得(ポータルまたはAPI経由)
ASSIGNEE_OBJ_ID="<Fabric-Workspace-Identity-Object-ID>"
SCOPE="/subscriptions/<sub-id>/resourceGroups/<rg>/providers/Microsoft.KeyVault/vaults/kv-fabric-prod-001"
# ロール割り当て (Key Vault シークレット ユーザー)
az role assignment create \
--role "Key Vault Secrets User" \
--assignee-object-id $ASSIGNEE_OBJ_ID \
--assignee-principal-type ServicePrincipal \
--scope $SCOPE
</pre>
</div>
<p>【アイデンティティとセキュリティ】</p>
<ul class="wp-block-list">
<li><p><strong>権限モデルの移行</strong>: 従来のアクセスポリシーは「コンテナーレベル」での権限付与でしたが、Azure RBACでは「シークレット単位」での権限付与が可能です。Fabricの特定のジョブのみが特定の接続文字列を読み取れるよう制御を細分化してください。</p></li>
<li><p><strong>信頼されたサービス</strong>: Key Vaultのファイアウォール設定で「信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する」を有効にすることで、Fabricからのセキュアな通信を維持しつつパブリックアクセスを制限できます。</p></li>
</ul>
<p>【運用・コスト最適化】</p>
<ul class="wp-block-list">
<li><p><strong>可観測性</strong>: Azure Monitorの診断設定で <code>AuditEvent</code> を有効化し、FabricのワークスペースIDによるシークレットへのアクセスログをLog Analyticsで監視します。</p></li>
<li><p><strong>コスト</strong>: Key Vault Standard SKUは、シークレットのトランザクション数に基づいた課金($0.03/10,000操作)であるため、Fabricからのポーリング頻度を制御することでコストを抑制できます。</p></li>
</ul>
<p>【まとめ】</p>
<ol class="wp-block-list">
<li><p><strong>RBACへの完全移行</strong>: アクセスポリシーとの混在を避け、<code>enableRbacAuthorization: true</code> を明示してガバナンスを統一する。</p></li>
<li><p><strong>ワークスペースIDの活用</strong>: Fabric側でマネージドID(Workspace Identity)を有効化し、資格情報(Client Secret)の埋め込みを排除する。</p></li>
<li><p><strong>伝播の遅延(注意点)</strong>: RBACの割り当ては反映までに最大10分程度の遅延が発生する場合があるため、自動デプロイ直後のFabricジョブ実行にはリトライ処理を組み込むことが推奨されます。</p></li>
</ol>
Cloud: Azure, Microsoft Fabric
Identity: Entra ID (Azure AD), Managed Identity, RBAC
Security: Azure Key Vault (RBAC Mode)
IaC: Bicep
Professionalism: Senior Architect
Technical Accuracy: High (Based on Azure Learn & Fabric documentation)
Formatting: Structured with Mermaid and Code Blocks
本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。
Azure Key VaultのRBAC統合によるMicrosoft Fabricからのセキュアなシークレット取得構成
【導入】
FabricワークスペースとKey VaultをRBACで統合し、レガシーなアクセス権限モデルから脱却した安全なデータパイプライン管理を実現します。
【アーキテクチャ設計】
本構成では、従来の「Key Vault アクセス ポリシー」を廃止し、Azure RBAC(ロールベースのアクセス制御)を全面的に採用します。Microsoft Fabricのワークスペース ID(マネージド ID)に対して、特定のシークレットへの参照権限のみを付与することで、最小特権の原則を適用します。
graph TD
subgraph "Microsoft Fabric"
A["Data Factory / Notebook"] --> B["Workspace Identity"]
end
subgraph "Azure Environment"
B -->|Entra ID Auth| C{"Azure Key Vault"}
C -->|RBAC Check| D["Secret: DB Connection String"]
E["Security Admin"] -->|Assign Role| B
end
subgraph "Permissions"
F["Key Vault Secrets User"] -.-> B
end
この設計により、個別のサービスプリンシパルのシークレット管理が不要になり、すべての認証がEntra ID(旧Azure AD)に統合されます。
【実装・デプロイ手順】
Azure RBACを有効化したKey Vaultのデプロイと、FabricワークスペースIDへの権限付与をBicepで実行します。
- Azure Key Vaultのデプロイ (Bicep)
enableRbacAuthorization: true を設定することが重要です。
resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = {
name: 'kv-fabric-prod-001'
location: resourceGroup().location
properties: {
sku: {
family: 'A'
name: 'standard'
}
tenantId: subscription().tenantId
enableRbacAuthorization: true // RBACモードを強制
accessPolicies: [] // アクセスポリシーは空にする
}
}
- FabricワークスペースIDの確認と権限付与
Fabricワークスペース設定で「ワークスペース ID」を有効化した後、そのオブジェクトIDに対して「Key Vault シークレット ユーザー」ロールを割り当てます。
# FabricワークスペースのマネージドIDのオブジェクトIDを取得(ポータルまたはAPI経由)
ASSIGNEE_OBJ_ID="<Fabric-Workspace-Identity-Object-ID>"
SCOPE="/subscriptions/<sub-id>/resourceGroups/<rg>/providers/Microsoft.KeyVault/vaults/kv-fabric-prod-001"
# ロール割り当て (Key Vault シークレット ユーザー)
az role assignment create \
--role "Key Vault Secrets User" \
--assignee-object-id $ASSIGNEE_OBJ_ID \
--assignee-principal-type ServicePrincipal \
--scope $SCOPE
【アイデンティティとセキュリティ】
権限モデルの移行: 従来のアクセスポリシーは「コンテナーレベル」での権限付与でしたが、Azure RBACでは「シークレット単位」での権限付与が可能です。Fabricの特定のジョブのみが特定の接続文字列を読み取れるよう制御を細分化してください。
信頼されたサービス: Key Vaultのファイアウォール設定で「信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する」を有効にすることで、Fabricからのセキュアな通信を維持しつつパブリックアクセスを制限できます。
【運用・コスト最適化】
可観測性: Azure Monitorの診断設定で AuditEvent を有効化し、FabricのワークスペースIDによるシークレットへのアクセスログをLog Analyticsで監視します。
コスト: Key Vault Standard SKUは、シークレットのトランザクション数に基づいた課金($0.03/10,000操作)であるため、Fabricからのポーリング頻度を制御することでコストを抑制できます。
【まとめ】
RBACへの完全移行: アクセスポリシーとの混在を避け、enableRbacAuthorization: true を明示してガバナンスを統一する。
ワークスペースIDの活用: Fabric側でマネージドID(Workspace Identity)を有効化し、資格情報(Client Secret)の埋め込みを排除する。
伝播の遅延(注意点): RBACの割り当ては反映までに最大10分程度の遅延が発生する場合があるため、自動デプロイ直後のFabricジョブ実行にはリトライ処理を組み込むことが推奨されます。
コメント