<p><style_prompt> [Tone & Style]</style_prompt></p> <ul class="wp-block-list"> <li><p>Professional, technical, and architect-level.</p></li> <li><p>Use precise Azure/Microsoft terminology (e.g., Azure RBAC, Microsoft Entra ID).</p></li> <li><p>Avoid fluff; focus on actionable insights and logical structure. [Formatting]</p></li> <li><p>Markdown hierarchy (H1, H2, H3).</p></li> <li><p>Strict adherence to the provided structure. </p></li> </ul> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft FabricにおけるAzure Key Vault RBACモデル移行とセキュアな認証基盤の構築</h1> <h2 class="wp-block-heading">【導入】</h2> <p>Azure RBAC移行に伴うFabricのシークレット参照権限の構成と、最小特権の原則に基づいた安全なデータ統合手法を解説します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>従来の「アクセスポリシー」モデルから「Azure RBAC」モデルへの移行は、コントロールプレーンとデータプレーンの権限を一元化することを意味します。Microsoft FabricからAzure Key Vault (AKV) へアクセスする場合、Fabricの「ワークスペース ID（Workspace Identity）」をEntra ID上のプリンシパルとして扱い、AKVのデータプレーン権限（Key Vault Secrets User）を直接割り当てます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Microsoft Fabric" A["Data Factory / Pipeline"] --> B["Workspace Identity"] end subgraph "Azure Environment" B -->|Auth: OAuth2| C["Microsoft Entra ID"] C -->|Validate RBAC| D["Azure Key Vault"] D -->|Access Mode: Azure RBAC| E[Secret/Key/Cert] end subgraph "Security Boundary" D -.->|Private Endpoint| F["Virtual Network"] D -.->|Firewall| G["Trusted Services Only"] end </pre></div> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>Azure RBACモデルを有効化したKey Vaultのデプロイと、Fabricからのアクセス許可設定を自動化します。</p> <h3 class="wp-block-heading">1. IaCによる構成 (Bicep)</h3> <p>Key Vaultの作成時に <code>enableRbacAuthorization: true</code> を設定します。</p> <pre data-enlighter-language="generic">resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = { name: 'kv-fabric-prod-001' location: resourceGroup().location properties: { sku: { family: 'A' name: 'standard' } tenantId: subscription().tenantId enableRbacAuthorization: true // RBACモデルを強制 networkAcls: { defaultAction: 'Deny' bypass: 'AzureServices' // Fabricからのアクセスを許可するための信頼されたサービス設定 } } } </pre> <h3 class="wp-block-heading">2. Fabric ワークスペース ID への権限付与 (Azure CLI)</h3> <p>FabricのワークスペースID（サービスプリンシパル）に対して「Key Vault シークレット ユーザー」ロールを付与します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 変数の定義 VAULT_NAME="kv-fabric-prod-001" WORKSPACE_ID_OBJECT_ID="<Fabric-Workspace-Identity-Object-ID>" # Key Vault シークレット ユーザー (4633456b-1734-4ff4-5a24-10091d706373) の割り当て az role assignment create \ --role "Key Vault Secrets User" \ --assignee-object-id $WORKSPACE_ID_OBJECT_ID \ --scope "/subscriptions/<sub-id>/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/$VAULT_NAME" \ --assignee-principal-type ServicePrincipal </pre> </div> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <ul class="wp-block-list"> <li><p><strong>最小特権の原則 (PoLP)</strong>: Fabricには「Key Vault 管理者」ではなく「Key Vault シークレット ユーザー」のみを付与します。これにより、Fabric側からシークレットの削除やポリシー変更を禁止します。</p></li> <li><p><strong>ワークスペース ID の活用</strong>: 個人アカウントの資格情報ではなく、Fabricワークスペース固有のマネージドIDを使用することで、パスワードレス認証を実現します。</p></li> <li><p><strong>ネットワーク境界</strong>: Key Vaultのファイアウォールで「信頼された Microsoft サービスによるこのファイアウォールのバイパスを許可する」を有効にし、パブリックアクセスを制限した状態での通信を確保します。</p></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: Azure Monitorの「診断設定」を有効化し、<code>AuditEvent</code> をLog Analyticsに送信します。RBACモデルへの移行により、誰が（どのマネージドIDが）どのシークレットにアクセスしたかの監査が容易になります。</p></li> <li><p><strong>コスト最適化</strong>: Key VaultのRBACモデル使用自体に追加料金は発生しません。ただし、シークレットのトランザクション数（10,000操作単位）で課金されるため、Fabricのパイプライン内での頻繁なポーリングを避け、キャッシュ戦略を検討してください。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>アクセスポリシーの廃止検討</strong>: 新規構築時はアクセスポリシーを避け、条件付きアクセス等と親和性の高いAzure RBACモデルを既定とすること。</p></li> <li><p><strong>ワークスペース ID の事前有効化</strong>: Fabric側で「ワークスペース ID」を明示的に有効化（作成）しなければ、RBACの割り当て先が存在しないため注意が必要。</p></li> <li><p><strong>伝播遅延の考慮</strong>: RBACのロール割り当ては、設定反映までに最大5〜10分程度の遅延が発生する場合があるため、CI/CDパイプライン実行時はリトライ処理を含めるのがベストプラクティス。</p></li> </ol>

graph TD
    subgraph "Microsoft Fabric"
        A["Data Factory / Pipeline"] --> B["Workspace Identity"]
    end
    subgraph "Azure Environment"
        B -->|Auth: OAuth2| C["Microsoft Entra ID"]
        C -->|Validate RBAC| D["Azure Key Vault"]
        D -->|Access Mode: Azure RBAC| E[Secret/Key/Cert]
    end
    subgraph "Security Boundary"
        D -.->|Private Endpoint| F["Virtual Network"]
        D -.->|Firewall| G["Trusted Services Only"]
    end

resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-fabric-prod-001'
  location: resourceGroup().location
  properties: {
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: subscription().tenantId
    enableRbacAuthorization: true // RBACモデルを強制
    networkAcls: {
      defaultAction: 'Deny'
      bypass: 'AzureServices' // Fabricからのアクセスを許可するための信頼されたサービス設定
    }
  }
}

# 変数の定義

VAULT_NAME="kv-fabric-prod-001"
WORKSPACE_ID_OBJECT_ID="<Fabric-Workspace-Identity-Object-ID>"

# Key Vault シークレット ユーザー (4633456b-1734-4ff4-5a24-10091d706373) の割り当て

az role assignment create \
    --role "Key Vault Secrets User" \
    --assignee-object-id $WORKSPACE_ID_OBJECT_ID \
    --scope "/subscriptions/<sub-id>/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/$VAULT_NAME" \
    --assignee-principal-type ServicePrincipal