適用対象:
Azure Data Factory Azure Synapse Analytics
ヒント
企業向けのオールインワン分析ソリューションである Microsoft Fabric の Data Factory をお試しください。 Microsoft Fabric では、データ移動からデータ サイエンス、リアルタイム分析、ビジネス インテリジェンス、レポートまで、あらゆるものが対象です。 新しい試用版を無料で開始する方法について説明します。
データ ストアとコンピューティングの資格情報は 、Azure Key Vault に格納できます。 Azure Data Factory は、データ ストア/計算を使うアクティビティの実行時に、資格情報を取得します。
現時点では、カスタム アクティビティを除くすべてのアクティビティの種類が、この機能をサポートしています。 コネクタの具体的な構成については、 各コネクタ トピック の「リンクされたサービスのプロパティ」セクションで詳細を確認してください。
前提条件
この機能は、データ ファクトリのマネージド ID に依存しています。 データ ファクトリのマネージド ID から動作する方法について説明し、データ ファクトリに関連付けられていることを確認します。
手順
Azure Key Vault に格納されている資格情報を参照するには、次の手順に従う必要があります。
- ファクトリと共に生成された "マネージド ID オブジェクト ID" の値をコピーして、データ ファクトリのマネージド ID を取得します。 ADF オーサリング UI を使用する場合、マネージド ID オブジェクト ID が Azure Key Vault のリンクされたサービス作成ウィンドウに表示されます。Azure portal から取得することもできます。 データ ファクトリのマネージド ID の取得に関するページを参照してください。
- マネージド ID に、Azure Key Vault へのアクセス権を付与します。 アクセス ポリシーまたはアクセス制御アクセス許可を使用できます。
- アクセス ポリシー - キー コンテナーで、[アクセス ポリシー] ->[アクセス ポリシーの追加] を選択>、Azure Data Factory のマネージド ID を検索し、[シークレットのアクセス許可] ドロップダウンで取得と一覧表示のアクセス許可を付与します。
- アクセス制御 - キー コンテナーで、アクセス制御 (IAM) を選択し、> をクリックして ロールの割り当ての追加 を選択します。 [Key Vault シークレット ユーザー] を選択し、[次へ] を選択します。 [ メンバー] で [ マネージド ID ] を選択し、 メンバーを選択 し、Azure Data Factory マネージド ID を検索します。 次に、確認と割り当て を選択します。
- Azure Key Vault をポイントするリンクされたサービスを作成します。 Azure Key Vault のリンクされたサービスを参照してください。
- データ ストアのリンク サービスを作成します。 構成で、Azure Key Vault に格納されている対応するシークレットを参照します。 「Azure Key Vault に格納されているシークレットを参照する」を参照してください。
Azure Key Vault のリンクされたサービス
Azure Key Vault のリンクされたサービスでは、次のプロパティがサポートされます。
| プロパティ | 内容 | 必須 |
|---|---|---|
| 種類 | type プロパティは 、AzureKeyVault に設定する必要があります。 | はい |
| baseUrl | Azure Key Vault の URL を指定します。 | はい |
オーサリング UI の使用:
[接続] ->[リンクされたサービス] ->[新規] を選択します。 新しいリンクされたサービスで、"Azure Key Vault" を検索して選択します。
資格情報が格納されるプロビジョニングされた Azure Key Vault を選択します。 テスト接続を実行して、AKV 接続が有効であることを確認できます。
JSON の例:
{
"name": "AzureKeyVaultLinkedService",
"properties": {
"type": "AzureKeyVault",
"typeProperties": {
"baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
}
}
}
キー コンテナーに格納されたシークレットの参照
キー コンテナーのシークレットを参照するリンクされたサービスのフィールドを構成する場合は、次のプロパティがサポートされます。
| プロパティ | 内容 | 必須 |
|---|---|---|
| 種類 | フィールドの type プロパティは、 AzureKeyVaultSecret に設定する必要があります。 | はい |
| シークレット名 | Azure Key Vault 内のシークレットの名前。 | はい |
| 秘密バージョン | Azure Key Vault 内のシークレットのバージョン。 指定しない場合は、常に最新バージョンのシークレットが使用されます。 指定した場合は、その特定のバージョンに固定されます。 |
いいえ |
| 店 | 資格情報の格納に使用する Azure Key Vault のリンクされたサービスを表します。 | はい |
オーサリング UI の使用:
データ ストア/コンピューティングへの接続を作成するときに、シークレット フィールドに Azure Key Vault を選択します。 プロビジョニングされた Azure Key Vault のリンクされたサービスを選択し、 シークレット名を指定します。 シークレット バージョンも必要に応じて指定できます。
ヒント
SQL Server や Blob Storage などのリンクされたサービスで接続文字列を使用するコネクタの場合は、シークレット フィールドのみを格納するかを選択できます。 たとえば、AKV のパスワードや、接続文字列全体を AKV に格納する場合などです。 どちらのオプションも UI で入手できます。
JSON の例: (「パスワード」セクションを参照)
{
"name": "DynamicsLinkedService",
"properties": {
"type": "Dynamics",
"typeProperties": {
"deploymentType": "<>",
"organizationName": "<>",
"authenticationType": "<>",
"username": "<>",
"password": {
"type": "AzureKeyVaultSecret",
"secretName": "<secret name in AKV>",
"store":{
"referenceName": "<Azure Key Vault linked service>",
"type": "LinkedServiceReference"
}
}
}
}
}
関連するコンテンツ
Azure Data Factory のコピー アクティビティによってソースとシンクとしてサポートされるデータ ストアの一覧については、 サポートされているデータ ストアを参照してください。