<p><meta/> { “profile”: “senior_cloud_architect”, “topic”: “AKV_RBAC_Migration_Fabric_Integration”, “status”: “draft”, “framework”: “Azure_Well_Architected”, “tooling”: [“Azure CLI”, “Bicep”, “Microsoft Fabric”] } </p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Key Vault RBAC移行とMicrosoft Fabricによるセキュアなシークレット取得構成</h1> <p>【導入】 Azure RBACによるKey Vaultの権限管理一本化と、Microsoft FabricからのワークスペースIDを用いたセキュアな認証統合を解説します。</p> <p>【アーキテクチャ設計】 従来の「アクセスポリシー」モデルから「Azure RBAC」モデルへ移行することで、コントロールプレーンとデータプレーンの権限管理をEntra IDで一元化します。Microsoft Fabric側では「ワークスペースID（マネージドID）」を利用することで、ノートブックやデータパイプラインからコード内に資格情報を記述することなく、安全にシークレットを読み取ります。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Microsoft Fabric" A["Fabric Workspace"] -->|Managed Identity| B["Fabric Notebook/Pipeline"] end subgraph "Azure Environment" B -->|Entra ID Auth| C["Azure Key Vault"] C -->|RBAC: Key Vault Secrets User| B D[Admin/Dev] -->|RBAC: Key Vault Administrator| C end subgraph "Identity Provider" E["Microsoft Entra ID"] -.->|Token Issue| B end </pre></div> <p>この構成では、Fabricの各ワークスペースに割り当てられたシステム割り当てマネージドIDに対し、Key Vault側の「キー コンテナー シークレット ユーザー」ロールを最小権限で割り当てます。</p> <p>【実装・デプロイ手順】 Azure RBACを有効にしたKey Vaultの作成と、Fabricからの接続を想定したBicepコードの例です。</p> <p><strong>1. Azure CLI によるRBAC有効化Key Vaultの作成</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># RBAC許可を有効にしたKey Vaultの作成 az keyvault create \ --name "kv-fabric-prod-001" \ --resource-group "rg-shared-infra" \ --location japaneast \ --enable-rbac-authorization true </pre> </div> <p><strong>2. IaC (Bicep) によるロール割り当ての自動化</strong></p> <pre data-enlighter-language="generic">// Key Vaultの定義 resource kv 'Microsoft.KeyVault/vaults@2023-07-01' = { name: 'kv-fabric-prod-001' location: resourceGroup().location properties: { sku: { family: 'A', name: 'standard' } tenantId: subscription().tenantId enableRbacAuthorization: true // RBACモデルを強制 networkAcls: { defaultAction: 'Deny' bypass: 'AzureServices' } } } // FabricワークスペースIDへのロール割り当て（シークレット参照のみ） resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(kv.id, 'Key Vault Secrets User') scope: kv properties: { roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', '4633458b-17de-408a-b874-0445c86b69e6') // Key Vault Secrets User principalId: 'fabric-workspace-identity-guid' // FabricのワークスペースIDを指定 principalType: 'ServicePrincipal' } } </pre> <p>【アイデンティティとセキュリティ】</p> <ul class="wp-block-list"> <li><p><strong>最小権限の原則 (PoLP):</strong> Fabric側には <code>Key Vault Secrets User</code> のみを付与し、シークレットの管理権限（作成・削除）は分離します。</p></li> <li><p><strong>ネットワーク境界:</strong> Fabricはマネージドネットワークサービスを介してAKVにアクセスします。AKV側で「信頼されたMicrosoftサービスを許可」を有効にしつつ、パブリックアクセスを制限します。</p></li> <li><p><strong>条件付きアクセス:</strong> Key Vaultへのアクセスに対し、FabricのワークスペースIDの場所や認証強度を制限するポリシーの適用を検討してください。</p></li> </ul> <p>【運用・コスト最適化】</p> <ul class="wp-block-list"> <li><p><strong>可観測性:</strong> Azure Monitorで <code>SecretGet</code> イベントを監視します。RBACに移行することで、監査ログには「誰が」だけでなく「どのRBACロールで」アクセスしたかが明確に記録されます。</p></li> <li><p><strong>SKU選択:</strong> Fabricからの頻繁なシークレット取得が発生する場合、Standard SKUで十分ですが、HSMによる保護が必要な法規制対象データの場合は Premium SKU を選択します。</p></li> <li><p><strong>コスト:</strong> Key Vaultのコストはトランザクション数（10,000操作単位）に依存するため、Fabricノートブック内では取得したシークレットを短時間キャッシュする実装が推奨されます。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>RBAC移行の必須性:</strong> 今後のAzure標準はRBACモデルです。アクセスポリシーから移行する際は、既存の権限が漏れなくロールにマッピングされているか確認してください。</p></li> <li><p><strong>Fabricアイデンティティの活用:</strong> Fabricワークスペースごとにアイデンティティを構成し、環境（Dev/Prod）ごとに異なるKey Vaultを参照させる設計がベストプラクティスです。</p></li> <li><p><strong>伝播遅延の考慮:</strong> RBACのロール割り当ては反映までに最大数分かかる場合があるため、自動デプロイ直後のFabricジョブ実行時にはリトライロジックを含めるのが安全です。</p></li> </ol>

graph TD
    subgraph "Microsoft Fabric"
        A["Fabric Workspace"] -->|Managed Identity| B["Fabric Notebook/Pipeline"]
    end
    subgraph "Azure Environment"
        B -->|Entra ID Auth| C["Azure Key Vault"]
        C -->|RBAC: Key Vault Secrets User| B
        D[Admin/Dev] -->|RBAC: Key Vault Administrator| C
    end
    subgraph "Identity Provider"
        E["Microsoft Entra ID"] -.->|Token Issue| B
    end

# RBAC許可を有効にしたKey Vaultの作成

az keyvault create \
  --name "kv-fabric-prod-001" \
  --resource-group "rg-shared-infra" \
  --location japaneast \
  --enable-rbac-authorization true

// Key Vaultの定義
resource kv 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-fabric-prod-001'
  location: resourceGroup().location
  properties: {
    sku: { family: 'A', name: 'standard' }
    tenantId: subscription().tenantId
    enableRbacAuthorization: true // RBACモデルを強制
    networkAcls: {
      defaultAction: 'Deny'
      bypass: 'AzureServices'
    }
  }
}

// FabricワークスペースIDへのロール割り当て（シークレット参照のみ）
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(kv.id, 'Key Vault Secrets User')
  scope: kv
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', '4633458b-17de-408a-b874-0445c86b69e6') // Key Vault Secrets User
    principalId: 'fabric-workspace-identity-guid' // FabricのワークスペースIDを指定
    principalType: 'ServicePrincipal'
  }
}