<p><details> <summary>META</summary></details></p> <ul class="wp-block-list"> <li><p>version: 1.0</p></li> <li><p>context: Senior Cloud Architect</p></li> <li><p>target: Azure/Fabric Administrators</p></li> <li><p>key_elements: Azure RBAC, Microsoft Fabric, Azure Key Vault, Managed Identity</p></li> <li><p>delivery_style: Technical Solution Architect Document </p></li> </ul> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure RBAC移行に伴うMicrosoft FabricからのKey Vaultシークレット取得構成ガイド</h1> <p>【導入】 Azure Key Vaultのアクセス制御をRBACへ統合し、Microsoft Fabricのデータパイプラインにおけるセキュアな認証管理を実現します。</p> <p>【アーキテクチャ設計】 本構成では、従来の「アクセスポリシー」モデルから、より粒度の細かい制御が可能な「Azure RBAC」モデルへ移行します。Microsoft FabricのワークスペースID（Managed Identity）に対して、Key Vault内の特定のシークレットに対する「Key Vault Secrets User」ロールを付与することで、セキュアな資格情報取得を可能にします。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph LR subgraph "Microsoft Fabric" A["Notebook / Data Factory"] --> B["Workspace Managed Identity"] end subgraph "Azure Entra ID" B --> C["Token Request"] end subgraph "Azure Key Vault("RBAC Model")" C --> D["Role Check: Key Vault Secrets User"] D --> E["Secret Value"] end E --> A </pre></div> <p>【実装・デプロイ手順】 Azure RBACを有効化したKey Vaultのデプロイと、Fabricからのアクセス権限付与の手順を示します。</p> <ol class="wp-block-list"> <li><strong>BicepによるKey Vaultのデプロイ（RBAC有効化）</strong></li> </ol> <pre data-enlighter-language="generic">resource keyVault 'Microsoft.KeyVault/vaults@2023-07-01' = { name: 'kv-fabric-prod-001' location: resourceGroup().location properties: { sku: { family: 'A' name: 'standard' } tenantId: subscription().tenantId enableRbacAuthorization: true // RBACモデルを強制 enabledForDeployment: false enabledForDiskEncryption: false enabledForTemplateDeployment: false } } </pre> <ol class="wp-block-list" start="2"> <li><strong>Azure CLIによるロール割り当て</strong> FabricのワークスペースManaged Identityに対して権限を付与します。</li> </ol> <div class="codehilite"> <pre data-enlighter-language="generic"># 変数設定 KV_NAME="kv-fabric-prod-001" ASSIGNEE_ID="<Fabric-Workspace-Identity-ID>" ROLE="Key Vault Secrets User" # ロール割り当ての実行 az role assignment create \ --role "$ROLE" \ --assignee-object-id "$ASSIGNEE_ID" \ --scope "/subscriptions/<sub-id>/resourceGroups/<rg>/providers/Microsoft.KeyVault/vaults/$KV_NAME" \ --assignee-principal-type ServicePrincipal </pre> </div> <p>【アイデンティティとセキュリティ】</p> <ul class="wp-block-list"> <li><p><strong>認証モデルの統一</strong>: アクセスポリシー（Vault全体への権限）ではなく、RBACを使用することで「特定のシークレットのみ」へのアクセス許可を付与する最小権限の原則（PoLP）を適用します。</p></li> <li><p><strong>ネットワークセキュリティ</strong>: FabricからKey Vaultへのアクセスは、Fabricの「信頼されたサービス」設定または「Managed Private Endpoint」を使用して、パブリックインターネットを経由しない通信経路を確立することを推奨します。</p></li> <li><p><strong>条件付きアクセス</strong>: サービスプリンシパルに対する場所制限などの条件付きアクセスポリシーを適用し、認証の境界を強化します。</p></li> </ul> <p>【運用・コスト最適化】</p> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: Azure Monitorの診断設定を有効にし、<code>AuditEvent</code>をLog Analyticsへ送信します。RBAC移行後は、誰がどの権限でシークレットにアクセスしたかが「AzureActivity」ログおよびKey Vaultログの両面から追跡可能になります。</p></li> <li><p><strong>コスト最適化</strong>: Key VaultのStandard SKUはトランザクションベースの課金です。Fabricの各ノードが個別にシークレットを取得するのではなく、トークンのキャッシュや、Fabric環境変数への一時的な保持を検討し、APIコール数を抑制します。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>RBAC反映の遅延</strong>: ロール割り当て後、反映までに最大5〜10分程度のキャッシュ遅延が発生する可能性があるため、CI/CDパイプライン設計時に注意が必要です。</p></li> <li><p><strong>アクセスポリシーの廃止</strong>: RBACモデルに切り替えると、既存のアクセスポリシーは無視されます。移行時は既存アプリケーションの権限不足が発生しないよう、事前に一括でロール割り当てを行う必要があります。</p></li> <li><p><strong>Fabric IDの特定</strong>: Microsoft FabricのManaged Identityはワークスペースごとに作成されるため、環境（Dev/Prod）ごとに適切な識別子をKey Vault側に登録する運用フローを確立してください。</p></li> </ol>

graph LR
    subgraph "Microsoft Fabric"
        A["Notebook / Data Factory"] --> B["Workspace Managed Identity"]
    end
    subgraph "Azure Entra ID"
        B --> C["Token Request"]
    end
    subgraph "Azure Key Vault("RBAC Model")"
        C --> D["Role Check: Key Vault Secrets User"]
        D --> E["Secret Value"]
    end
    E --> A

resource keyVault 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-fabric-prod-001'
  location: resourceGroup().location
  properties: {
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: subscription().tenantId
    enableRbacAuthorization: true // RBACモデルを強制
    enabledForDeployment: false
    enabledForDiskEncryption: false
    enabledForTemplateDeployment: false
  }
}

# 変数設定

KV_NAME="kv-fabric-prod-001"
ASSIGNEE_ID="<Fabric-Workspace-Identity-ID>"
ROLE="Key Vault Secrets User"

# ロール割り当ての実行

az role assignment create \
    --role "$ROLE" \
    --assignee-object-id "$ASSIGNEE_ID" \
    --scope "/subscriptions/<sub-id>/resourceGroups/<rg>/providers/Microsoft.KeyVault/vaults/$KV_NAME" \
    --assignee-principal-type ServicePrincipal