【Microsoft Fabric×Azure Key Vault】第1回：Key Vaultの概要と作成手順（事前準備編）

Azure SQL Databaseなどの外部データソースとの接続において、Azure Key Vaultを利用することで、パスワード情報などの資格情報をコードにハードコーディングせずにAzure上で一元管理でき、セキュリティリスクを軽減することが可能です。

本シリーズでは、Microsoft FabricからAzure SQL DatabaseにAzure Key Vaultを利用して接続する方法を3回に分けて解説します。

第1回として、本記事では、Azure Key Vaultの概要とMicrosoft Fabricとの連携に必要になる準備手順についてご紹介します。

Azure Key Vaultは、Microsoftが提供するクラウドベースのサービスで、アプリケーションやサービスで使用される機密情報を安全に保護・管理するためのサービスです。

Azure Key Vaultの主な機能は以下の通りです。

※本記事では、Microsoft Fabricとの連携に関係の深い機能に絞ってご紹介します。

機密情報の一元管理
- シークレット（パスワード、APIキーなど）、キー（暗号キー）、証明書（TLS/SSL証明書）をAzure上で安全に一元管理可能。
セキュリティとアクセス制御
- Microsoft Entra IDによる認証を通じて、Azure RBACまたはKey Vault のアクセスポリシーを利用した細かなアクセス制御が可能。

Microsoft Fabricでは、データパイプラインやノートブックなどのアイテムから外部データソースへ接続し、データを取得する機会が頻繁にあります。これらの接続にはユーザー名やパスワードなどの資格情報が必要となります。

コネクタ設定やコードに直接記述する場合、セキュリティリスクや管理不可が発生する可能性があります。こうした課題を解決する手段として、Azure Key Vaultを活用します。

Azure Key Vaultを利用することで、以下のようなメリットが得られます。

Microsoft Fabric上のコードやコネクタ設定にパスワード情報を記述せず、Azure上でのアクセス制御に基づいて管理するため、情報漏洩のリスクを軽減できる。
接続先や環境（開発・検証・本番）ごとの資格情報を一元管理できる。
パスワード情報の変更時などの運用負荷が軽減できる。

今回の構成図は以下の通りです。

本構成における検証は、以下の条件・構成に基づいて実施しています。

なお、Azure SQL Databseの作成手順は省略します。

※2026年1月時点では、Microsoft FabricからAzure Key Vaultの参照はクラウドおよびオンプレミスデータゲートウェイでのみサポートされており、仮想ネットワークゲートウェイ経由での参照には対応していません。

ここからは、実際にAzure内にAzure Key Vaultを作成し、Microsoft Fabricから資格情報を参照できるようにするための準備作業について記載します。

まずは、Azure SQL Databaseのシークレット情報を格納するための保管庫となるAzure Key Vaultを作成します。

Azure Portalにサインインし、検索バーに「Key Vault」と入力して「キーコンテナー」をクリックします。

テナント内のキーコンテナー一覧が表示されるので、「作成」をクリックします。

対象のサブスクリプションとリソースグループを選択し、以下の基本設定を入力します。

その他設定項目はデフォルトのまま進み、設定した値を確認した後「作成」をクリックします。

デプロイの完了後、対象リソースに移動すると、Key Vaultが作成されたことが確認できます。

次に、作成したAzure Key Vaultに、Azure SQL Databaseのパスワード情報をシークレットとして登録します。

左ペインから「シークレット」をクリックします。

シークレットの新規作成を行うため、「生成/インポート」をクリックします。

以下の設定項目を入力し、「作成」をクリックします。

項目	設定値	備考
アップロードオプション	手動	-
名前	T-SQLDB-Password	-
シークレット値	Azure SQL Databaseのパスワードを入力	-
コンテンツの種類（省略可能）	Test Azure SQL DB Password	-
アクティブ化する日を設定する	-	-
有効期限を設定する	-	-
有効	はい	-
タグ	-	-