<p>[STYLE: PROFESSIONAL_ARCHITECT] [TONE: LOGICAL] [TARGET: DEVOPS_ENGINEER] [TECH: AZURE_FABRIC_RBAC]</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Key Vault RBAC移行に伴うMicrosoft Fabricからのセキュアなシークレット統合設計</h1> <p>Azure RBAC移行による権限管理の統合と、Microsoft Fabricからのシークレット取得における最小権限原則の実装を解説します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>Azure Key Vault (AKV) のアクセス制御モデルを従来の「アクセスポリシー」から「Azure RBAC」に移行することで、コントロールプレーンとデータプレーンの権限を一元管理できます。Microsoft Fabricからのアクセスでは、<strong>ワークスペース ID (Workspace Identity)</strong> または <strong>サービスプリンシパル</strong> を使用し、AKVに対して特定のロールを割り当てます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Microsoft Fabric" A["Notebook / Data Factory"] --> B["Workspace Identity"] end subgraph "Azure Environment" B -->|Authentication| C["Microsoft Entra ID"] C -->|Access Token| D["Azure Key Vault"] subgraph "Access Control (RBAC)" E["Key Vault Secrets User"] -.->|Assign to| B end D -->|Secret Value| A end style E fill:#f9f,stroke:#333,stroke-width:2px </pre></div> <h3 class="wp-block-heading">構成コンポーネントの役割</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Fabric ワークスペース ID</strong>: 各ワークスペースに紐づくマネージド ID。外部リソースへの認証に使用します。</p></li> <li><p><strong>Azure Key Vault (RBACモード)</strong>: <code>Microsoft.KeyVault/vaults/secrets/getSecret/action</code> などのアクションをRBACで制御。</p></li> <li><p><strong>Key Vault Secrets User</strong>: シークレットの読み取りのみを許可する最小権限ロール。</p></li> </ul> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <h3 class="wp-block-heading">1. Azure Key Vault の RBAC 有効化と作成</h3> <p>Azure CLI を使用して、RBAC 認証を既定とした Key Vault を作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 変数定義 RESOURCE_GROUP="rg-fabric-prod" LOCATION="japaneast" KV_NAME="kv-fabric-secrets-001" # RBAC 認証モデルを有効にして Key Vault を作成 az keyvault create \ --name $KV_NAME \ --resource-group $RESOURCE_GROUP \ --location $LOCATION \ --enable-rbac-authorization true </pre> </div> <h3 class="wp-block-heading">2. Fabric ワークスペース ID への権限付与</h3> <p>Fabric ワークスペースの設定から「ワークスペース ID」を有効化した後、その ID に対してロールを割り当てます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Fabric ワークスペース ID (ObjectId) の取得 # ※実際には Fabric 管理画面または API から取得した ID を使用 FABRIC_WS_ID="<Fabric-Workspace-Identity-Object-ID>" # Key Vault Secrets User ロールの割り当て az role assignment create \ --role "Key Vault Secrets User" \ --assignee $FABRIC_WS_ID \ --scope "/subscriptions/<Sub-ID>/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.KeyVault/vaults/$KV_NAME" </pre> </div> <h3 class="wp-block-heading">3. Fabric Notebook でのシークレット取得 (PySpark)</h3> <p><code>mssparkutils</code> を使用して、安全にシークレットを呼び出します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Fabric Notebook 内での実装例 from notebookutils import mssparkutils key_vault_name = "kv-fabric-secrets-001" secret_name = "db-password" # RBAC 権限がある場合、このメソッドでシークレットを取得可能 # ※バックエンドでワークスペース ID のトークンが使用される secret_value = mssparkutils.credentials.getSecret(key_vault_name, secret_name) print(f"Secret retrieved successfully.") </pre> </div> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <ul class="wp-block-list"> <li><p><strong>最小権限原則の徹底</strong>: 開発者には <code>Key Vault Secrets Officer</code> を付与せず、実行環境（Fabric ID）にのみ <code>Key Vault Secrets User</code> を付与します。</p></li> <li><p><strong>条件付きアクセス (CA)</strong>: Fabric からのアクセスを特定のネットワーク（信頼された Microsoft サービス）または特定の IP 範囲に制限するよう、Microsoft Entra ID 側で構成します。</p></li> <li><p><strong>シークレットの有効期限</strong>: 全てのシークレットに <code>exp</code> (有効期限) を設定し、Azure Advisor または Microsoft Defender for Cloud で期限切れ間近の通知を構成します。</p></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: </p> <ul> <li>Azure Monitor の診断設定で「AuditEvent」を Log Analytics に送信します。誰が（Fabric ID）いつシークレットにアクセスしたかをクエリ可能です。</li> </ul></li> <li><p><strong>SKU選択</strong>: </p> <ul> <li>通常のシークレット管理であれば <strong>Standard SKU</strong> で十分です。HSM による物理的な保護が必要な場合のみ Premium を選択しますが、トランザクションあたりのコストが増加するため注意が必要です。</li> </ul></li> <li><p><strong>スロットリング対策</strong>: </p> <ul> <li>Fabric の大規模な並列ジョブから同時にアクセスする場合、Key Vault のサービス制限（10秒あたり最大2,000トランザクション）に達する可能性があります。リトライロジックの実装を検討してください。</li> </ul></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>RBAC への完全移行</strong>: 従来のアクセスポリシーは、リソースレベルでの一括権限付与しかできず、管理が煩雑でした。RBAC 移行により、シークレット個別の細かな制御が可能になります。</p></li> <li><p><strong>ワークスペース ID の活用</strong>: サービスプリンシパルのシークレット（Client Secret）を Fabric 側に持たせる必要がなくなり、認証情報の管理漏洩リスクを排除できます。</p></li> <li><p><strong>ネットワーク境界の注意点</strong>: Fabric はマルチテナントサービスであるため、Key Vault のファイアウォールで「信頼された Microsoft サービスによるこのファイアウォールのバイパスを許可する」を有効にする必要があります。</p></li> </ol>

graph TD
    subgraph "Microsoft Fabric"
        A["Notebook / Data Factory"] --> B["Workspace Identity"]
    end
    subgraph "Azure Environment"
        B -->|Authentication| C["Microsoft Entra ID"]
        C -->|Access Token| D["Azure Key Vault"]
        subgraph "Access Control (RBAC)"
            E["Key Vault Secrets User"] -.->|Assign to| B
        end
        D -->|Secret Value| A
    end
    style E fill:#f9f,stroke:#333,stroke-width:2px

# 変数定義

RESOURCE_GROUP="rg-fabric-prod"
LOCATION="japaneast"
KV_NAME="kv-fabric-secrets-001"

# RBAC 認証モデルを有効にして Key Vault を作成

az keyvault create \
  --name $KV_NAME \
  --resource-group $RESOURCE_GROUP \
  --location $LOCATION \
  --enable-rbac-authorization true

# Fabric ワークスペース ID (ObjectId) の取得


# ※実際には Fabric 管理画面または API から取得した ID を使用

FABRIC_WS_ID="<Fabric-Workspace-Identity-Object-ID>"

# Key Vault Secrets User ロールの割り当て

az role assignment create \
  --role "Key Vault Secrets User" \
  --assignee $FABRIC_WS_ID \
  --scope "/subscriptions/<Sub-ID>/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.KeyVault/vaults/$KV_NAME"

# Fabric Notebook 内での実装例

from notebookutils import mssparkutils

key_vault_name = "kv-fabric-secrets-001"
secret_name = "db-password"

# RBAC 権限がある場合、このメソッドでシークレットを取得可能


# ※バックエンドでワークスペース ID のトークンが使用される

secret_value = mssparkutils.credentials.getSecret(key_vault_name, secret_name)
print(f"Secret retrieved successfully.")