次の方法で共有


Azure Key Vault への資格情報の格納

適用対象: Azure Data Factory Azure Synapse Analytics

ヒント

企業向けのオールインワン分析ソリューションである Microsoft Fabric の Data Factory をお試しください。 Microsoft Fabric では、データ移動からデータ サイエンス、リアルタイム分析、ビジネス インテリジェンス、レポートまで、あらゆるものが対象です。 新しい試用版を無料で開始する方法について説明します。

データ ストアとコンピューティングの資格情報は 、Azure Key Vault に格納できます。 Azure Data Factory は、データ ストア/計算を使うアクティビティの実行時に、資格情報を取得します。

現時点では、カスタム アクティビティを除くすべてのアクティビティの種類が、この機能をサポートしています。 コネクタの具体的な構成については、 各コネクタ トピック の「リンクされたサービスのプロパティ」セクションで詳細を確認してください。

前提条件

この機能は、データ ファクトリのマネージド ID に依存しています。 データ ファクトリのマネージド ID から動作する方法について説明し、データ ファクトリに関連付けられていることを確認します。

手順

Azure Key Vault に格納されている資格情報を参照するには、次の手順に従う必要があります。

  1. ファクトリと共に生成された "マネージド ID オブジェクト ID" の値をコピーして、データ ファクトリのマネージド ID を取得します。 ADF オーサリング UI を使用する場合、マネージド ID オブジェクト ID が Azure Key Vault のリンクされたサービス作成ウィンドウに表示されます。Azure portal から取得することもできます。 データ ファクトリのマネージド ID の取得に関するページを参照してください。
  2. マネージド ID に、Azure Key Vault へのアクセス権を付与します。 アクセス ポリシーまたはアクセス制御アクセス許可を使用できます。
    1. アクセス ポリシー - キー コンテナーで、[アクセス ポリシー] ->[アクセス ポリシーの追加] を選択>、Azure Data Factory のマネージド ID を検索し、[シークレットのアクセス許可] ドロップダウンで取得一覧表示のアクセス許可を付与します。
    2. アクセス制御 - キー コンテナーで、アクセス制御 (IAM) を選択し、> をクリックして ロールの割り当ての追加 を選択します。 [Key Vault シークレット ユーザー] を選択し、[次へ] を選択します。 [ メンバー] で [ マネージド ID ] を選択し、 メンバーを選択 し、Azure Data Factory マネージド ID を検索します。 次に、確認と割り当て を選択します。
  3. Azure Key Vault をポイントするリンクされたサービスを作成します。 Azure Key Vault のリンクされたサービスを参照してください。
  4. データ ストアのリンク サービスを作成します。 構成で、Azure Key Vault に格納されている対応するシークレットを参照します。 「Azure Key Vault に格納されているシークレットを参照する」を参照してください。

Azure Key Vault のリンクされたサービス

Azure Key Vault のリンクされたサービスでは、次のプロパティがサポートされます。

プロパティ 内容 必須
種類 type プロパティは 、AzureKeyVault に設定する必要があります。 はい
baseUrl Azure Key Vault の URL を指定します。 はい

オーサリング UI の使用:

[接続] ->[リンクされたサービス] ->[新規] を選択します。 新しいリンクされたサービスで、"Azure Key Vault" を検索して選択します。

Azure Key Vault を検索する

資格情報が格納されるプロビジョニングされた Azure Key Vault を選択します。 テスト接続を実行して、AKV 接続が有効であることを確認できます。

Azure Key Vault の構成

JSON の例:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

キー コンテナーに格納されたシークレットの参照

キー コンテナーのシークレットを参照するリンクされたサービスのフィールドを構成する場合は、次のプロパティがサポートされます。

プロパティ 内容 必須
種類 フィールドの type プロパティは、 AzureKeyVaultSecret に設定する必要があります。 はい
シークレット名 Azure Key Vault 内のシークレットの名前。 はい
秘密バージョン Azure Key Vault 内のシークレットのバージョン。
指定しない場合は、常に最新バージョンのシークレットが使用されます。
指定した場合は、その特定のバージョンに固定されます。
いいえ
資格情報の格納に使用する Azure Key Vault のリンクされたサービスを表します。 はい

オーサリング UI の使用:

データ ストア/コンピューティングへの接続を作成するときに、シークレット フィールドに Azure Key Vault を選択します。 プロビジョニングされた Azure Key Vault のリンクされたサービスを選択し、 シークレット名を指定します。 シークレット バージョンも必要に応じて指定できます。

ヒント

SQL Server や Blob Storage などのリンクされたサービスで接続文字列を使用するコネクタの場合は、シークレット フィールドのみを格納するかを選択できます。 たとえば、AKV のパスワードや、接続文字列全体を AKV に格納する場合などです。 どちらのオプションも UI で入手できます。

Azure Key Vault シークレットを構成する

JSON の例: (「パスワード」セクションを参照)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Azure Data Factory のコピー アクティビティによってソースとシンクとしてサポートされるデータ ストアの一覧については、 サポートされているデータ ストアを参照してください。