Azure Key Vault (AKV) は、シークレット、キー、証明書を一元的に格納するための Microsoft のクラウド サービスであるため、アプリにハードコーディングする必要はありません。 Microsoft Fabric で Azure Key Vault 参照を使用すると、資格情報をコピーして貼り付ける代わりに、ボールト内のシークレットを参照することができます。
Microsoft Fabric で Azure Key Vault 参照を使用するには、次の手順を実行します。
[前提条件]
アクティブなサブスクリプションを持つ Microsoft Fabric テナント アカウント。 無料でアカウントを作成できます。
-
- Azure Key Vault にはパブリック ネットワークからアクセスできます。
- Azure Key Vault 参照接続の作成者には、Key Vault に対する少なくとも Key Vault 証明書ユーザー のアクセス許可があります。
サポートされているコネクタと認証の種類を確認して、使用するコネクタが AKV 参照をサポートしていることを確認します。
ユース ケースに影響する可能性がある制限事項については、 制限事項と考慮事項 を確認してください。
Microsoft Fabric で Azure Key Vault 参照を作成する
fabric.microsoft.com に移動します。 右上隅にある歯車アイコンを選択し、[ 接続とゲートウェイの管理] を選択します。
[Azure Key Vault 参照] タブを選択し、[新規] を選択します。
[ 参照エイリアス] に、参照の名前を入力します。
[ アカウント名] に、接続先の既存の Azure Key Vault の名前を入力します。
OAuth 2.0 を使用して認証し、キー コンテナーに接続し、[ 資格情報の編集] を選択します。
プロンプトに従って Azure 資格情報でサインインし、Microsoft Fabric に Azure Key Vault へのアクセス権を付与します。 Key Vault にアクセスするために 必要なアクセス許可 があることを確認します。
(省略可能)オンプレミスのデータ ゲートウェイまたは仮想ネットワーク ゲートウェイでこの AKV 参照を使用できるようにするには、このチェック ボックスをオンにします。
[ 作成 ] を選択し、その状態を確認して、オンラインでキー コンテナーに接続されているかどうかを確認します。
Azure Key Vault に資格情報を格納する
サポートされているコネクタの資格情報を Azure Key Vault に格納するには、次の手順に従います。
- Azure portalでキー コンテナーに移動します。
- Key Vault の左側のサイドバーで、[ オブジェクト ] を選択し、[ シークレット] を選択します。
- [ + 生成/インポート] を選択します。
- [ シークレットの作成 ] 画面で、次の値を選択または追加します。
- アップロード オプション: 手動。
- 名前: シークレットの名前。 この名前は、後で 接続を作成するときに使用します。 シークレットの名前は、キー コンテナー内で一意である必要があります。
- 値: パスワード、アカウント キー、トークン、サービス プリンシパル シークレットなど、格納する資格情報の値。 この値は、使用するコネクタと認証の種類によって異なります。
- 他の値は既定値のままにしておきます。
- を選択してを作成します。
Microsoft Fabric 接続でこのシークレットを使用する準備ができました。
Azure Key Vault シークレットの詳細については、Azure Key Vault のシークレットを参照してください。
接続で Azure Key Vault 参照を使用する
[接続とゲートウェイの管理] 設定で Azure Key Vault 参照を使用して 接続を作成します 。 (現在、Microsoft Fabric のデータ取得エクスペリエンスでは、Azure Key Vault 参照を使用した認証による接続の作成はサポートされていません)。
「接続とゲートウェイの管理」設定を使用して接続を作成するには:
fabric.microsoft.com で、右上隅にある歯車アイコンを選択し、[接続とゲートウェイの管理] に移動します。
[ 接続 ] タブに移動し、[ 新規] を選択します。
[ クラウド ] タブを選択し、接続名を入力し、 AKV 参照でサポートされている接続の種類を選択します。
すべての接続の詳細を指定し、サポートされている認証の種類のいずれかを選択します。
- Basic (ユーザー名/パスワード)
- サービス プリンシパル
- SAS/PAT トークン
- アカウント キー
シークレットまたはパスワード フィールドの横にある AKV 参照アイコンを選択して 、AKV 参照 リスト ダイアログを開きます。
既存の AKV 参照を選択し、キー コンテナーにシークレットの名前を入力して、[ 適用] を選択します。
その接続を使用して、Fabric 項目のデータ ソースに接続します。
Azure Key Vault 参照のしくみ
Fabric で Azure Key Vault 参照を構成する場合は、シークレット自体を格納するのではなく、シークレットへのセキュリティで保護されたポインターを作成します。 プロセスのしくみを次に示します。
初期セットアップ: Fabric では、Azure Key Vault (AKV) に接続するためのコンテナー URI、Key Vault のシークレット名、ユーザー認証または OAuth2.0 資格情報のみが記録されます。 指定した AKV でユーザー ID の取得 と 一覧表示 のアクセス許可を付与する必要があります。 重要なのは、実際のシークレット値が Fabric 内に格納されることは決してありません。
ランタイム シークレットの取得: Fabric がデータ接続を確立する必要がある場合、格納されている参照を使用して Key Vault からシークレットを動的に取得します。 シークレットは接続を認証するためにすぐに使用され、その接続を確立するために必要な期間だけメモリに保持されます。
サポートされているコネクタと認証の種類
| サポートされているコネクタ | カテゴリ | アカウント キー | Basic (ユーザー名/パスワード) | トークン (Shared Access Signature または Personal Access Token) | サービス プリンシパル |
|---|---|---|---|---|---|
Azure BLOB ストレージ |
Azure | 
|
|
|
|
|
Azure Data Lake Storage Gen2 |
Azure |
|
|
|
|
Azure Table ストレージ |
Azure |
|
|
|
|
Databricks |
サービスとアプリ |
|
|
|
|
Dataverse |
サービスとアプリ |
|
|
|
|
Odata |
汎用プロトコル |
|
|
|
|
Oracle Cloud Storage |
File |
|
|
|
|
Postgresql |
データベース |
|
|
|
|
SharePoint Online リスト |
サービスとアプリ |
|
|
|
|
雪片 |
サービスとアプリ |
|
|
|
|
SQL Server (クラウド) |
データベース |
|
|
|
|
Web API/Web ページ |
汎用プロトコル |
|
|
|
|
制限事項と考慮事項
- Azure Key Vault 参照は、クラウドとオンプレミスのデータ ゲートウェイ接続で動作します。
- 仮想ネットワーク データ ゲートウェイ接続はまだサポートされていません。
- Fabric の系列ビューは、AKV 参照では使用できません。
- Fabric 項目の [ Modern Get Data]\(最新のデータの取得 \) ペインから接続を使用して AKV 参照を作成することはできません。 代わりに、[ 接続とゲートウェイの管理] 設定で AKV 参照を使用して接続を作成します。
- Fabric の Azure Key Vault 参照は、常にシークレットの最新 (最新) バージョンを取得します。 Azure Key Vault 資格情報のバージョン管理はサポートされていません。