<p><!-- STYLE_METADATA: { "role": "Senior Cloud Architect", "style": "Technical/Strategic", "focus": "Security, Governance, Microsoft Fabric, Azure RBAC", "terminology": "Enterprise-ready/Official" } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Key Vault RBAC移行への対応：Microsoft Fabric連携におけるシークレット管理の最適化</h1> <h3 class="wp-block-heading">【導入】</h3> <p>Azure Key Vaultのアクセス制御が「アクセスポリシー」から「Azure RBAC」へ既定化される中、Microsoft Fabricからのセキュアなシークレット取得を実現する権限設計と実装手法を提示します。</p> <hr/> <h3 class="wp-block-heading">【アーキテクチャ設計】</h3> <p>Microsoft Fabric（Data Factory/Spark）がAzure Key Vault（AKV）にアクセスする際、従来の「アクセスポリシー」ではなく、Azure RBACモデルを利用することで、Entra IDに基づいた一元的な権限管理が可能になります。Fabricの「ワークスペース管理 ID（Workspace Managed Identity）」を活用し、最小権限（Least Privilege）を適用したデータパイプラインを構築します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Microsoft Fabric" A["Fabric Workspace"] --> B["Managed Identity"] B --> C["Data Factory / Notebook"] end subgraph "Azure Environment" D["Entra ID"] -.->|Role Assignment| E E["Azure Key Vault"] F[Networking] ---|Private Link| E end C -->|Authenticate| D C -->|Get Secret| E E -->|Return Secret| C </pre></div> <p><strong>構成のポイント:</strong></p> <ol class="wp-block-list"> <li><p><strong>RBACの有効化</strong>: Key Vault作成時に <code>enableRbacAuthorization: true</code> を設定。</p></li> <li><p><strong>ワークスペース管理 ID</strong>: Fabricのワークスペース単位で発行されるIDを認証主体として利用。</p></li> <li><p><strong>ロール割り当て</strong>: 従来の「Get/List」ポリシーの代わりに「Key Vault Secrets User」ロールを付与。</p></li> </ol> <hr/> <h3 class="wp-block-heading">【実装・デプロイ手順】</h3> <h4 class="wp-block-heading">1. BicepによるAzure Key Vault（RBACモード）のプロビジョニング</h4> <p>アクセスポリシーを排除し、RBACを強制する構成です。</p> <pre data-enlighter-language="generic">resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = { name: 'kv-fabric-prod-001' location: resourceGroup().location properties: { sku: { family: 'A' name: 'standard' } tenantId: subscription().tenantId enableRbacAuthorization: true // RBACモデルを強制 networkAcls: { defaultAction: 'Deny' bypass: 'AzureServices' } } } </pre> <h4 class="wp-block-heading">2. Azure CLIによるFabric管理IDへのロール割り当て</h4> <p>Fabricワークスペースの管理IDに対し、シークレット参照権限のみを付与します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Fabricワークスペースの管理IDオブジェクトIDを取得（事前にFabric側で有効化済みとする） PRINCIPAL_ID="<Fabric-Workspace-Identity-Object-ID>" KV_RESOURCE_ID=$(az keyvault show --name kv-fabric-prod-001 --query id -o tsv) # 「Key Vault Secrets User」ロールをスコープ限定で付与 az role assignment create \ --role "Key Vault Secrets User" \ --assignee-object-id $PRINCIPAL_ID \ --assignee-principal-type ServicePrincipal \ --scope $KV_RESOURCE_ID </pre> </div><hr/> <h3 class="wp-block-heading">【アイデンティティとセキュリティ】</h3> <ol class="wp-block-list"> <li><p><strong>ゼロトラスト原則の適用</strong>:</p> <ul> <li><p><strong>認証</strong>: Microsoft Fabricのワークスペース管理IDを使用することで、コード内へのシークレット埋め込みを完全に排除します。</p></li> <li><p><strong>認可</strong>: <code>Key Vault Administrator</code> ではなく <code>Key Vault Secrets User</code> を使用し、読み取り専用権限に限定します。</p></li> </ul></li> <li><p><strong>ネットワーク境界の保護</strong>:</p> <ul> <li>Key Vaultの「信頼されたMicrosoftサービスによるバイパス」を有効化しつつ、パブリックアクセスを制限します。Fabricからのアクセスには、ワークスペースの「Managed Private Endpoint」の利用が推奨されます。</li> </ul></li> <li><p><strong>条件付きアクセス</strong>:</p> <ul> <li>ワークロードアイデンティティに対して条件付きアクセスを適用し、特定の場所やデバイス以外からのトークン発行を制限する構成を検討してください。</li> </ul></li> </ol> <hr/> <h3 class="wp-block-heading">【運用・コスト最適化】</h3> <ol class="wp-block-list"> <li><p><strong>可観測性（Log Analytics）</strong>:</p> <ul> <li>Azure Monitorの診断設定で <code>AuditEvent</code> を有効化。Fabric側のどのノートブックが、いつシークレットを取得したかを完全に監査可能にします。</li> </ul></li> <li><p><strong>コスト削減</strong>:</p> <ul> <li><strong>SKU選択</strong>: HSM（ハードウェア・セキュリティ・モジュール）が必要ない場合は <code>Standard</code> SKUを選択。シークレットの読み取りトランザクション（10,000件あたり約$0.03）を監視し、不要なループ処理内での取得を避ける（キャッシュの活用）。</li> </ul></li> <li><p><strong>ガバナンス</strong>:</p> <ul> <li>Azure Policyを使用して、<code>enableRbacAuthorization</code> が <code>false</code> のKey Vault作成を拒否するガードレールを設置します。</li> </ul></li> </ol> <hr/> <h3 class="wp-block-heading">【まとめ】</h3> <ol class="wp-block-list"> <li><p><strong>RBACへの完全移行</strong>: 従来のアクセスポリシーは「誰が」を管理できても「どのリソース範囲で」の制御が困難でした。RBAC移行により、Azure全体での一貫したガバナンスが可能になります。</p></li> <li><p><strong>Fabric管理IDの活用</strong>: 認証情報の管理をプラットフォーム側に委ねることで、資格情報の漏洩リスクを最小化できます。</p></li> <li><p><strong>移行時の注意点（落とし穴）</strong>: 既存のアクセスポリシーからRBACに切り替えた瞬間、<strong>既存のすべてのポリシーが無効化</strong>されます。移行前に必ずロール割り当てを完了させてから切り替えを実施してください。</p></li> </ol>

graph TD
    subgraph "Microsoft Fabric"
        A["Fabric Workspace"] --> B["Managed Identity"]
        B --> C["Data Factory / Notebook"]
    end

    subgraph "Azure Environment"
        D["Entra ID"] -.->|Role Assignment| E
        E["Azure Key Vault"]
        F[Networking] ---|Private Link| E
    end

    C -->|Authenticate| D
    C -->|Get Secret| E
    E -->|Return Secret| C

resource vault 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-fabric-prod-001'
  location: resourceGroup().location
  properties: {
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: subscription().tenantId
    enableRbacAuthorization: true // RBACモデルを強制
    networkAcls: {
      defaultAction: 'Deny'
      bypass: 'AzureServices'
    }
  }
}

# Fabricワークスペースの管理IDオブジェクトIDを取得（事前にFabric側で有効化済みとする）

PRINCIPAL_ID="<Fabric-Workspace-Identity-Object-ID>"
KV_RESOURCE_ID=$(az keyvault show --name kv-fabric-prod-001 --query id -o tsv)

# 「Key Vault Secrets User」ロールをスコープ限定で付与

az role assignment create \
    --role "Key Vault Secrets User" \
    --assignee-object-id $PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --scope $KV_RESOURCE_ID