LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ryoma-nagata(Ryoma Nagata)

Microsoft Fabric で秘密度ラベルを適用する②保護ポリシーによりシステム管理者からのデータアクセスをブロックする

Last updated at Posted at 2025-02-27

はじめに

Microsoft Fabric で秘密度ラベルを適用する①環境設定 の続きとして、Microsoft Fabric の MIP保護ポリシーを使用して秘密度ラベルによるアクセス制御レイヤーを構築してみます。

参考

セマンティックモデルとレイクハウスから継承され、出力されたデータファイルを暗号化して外部漏洩をブロックする DLPポリシー についてはまた別の機会に検証します。

手順

Fabric の保護ポリシーを作成および管理する (プレビュー) に従って構成します。

1. 秘密度ラベルの作成と発行

(初回のみ)Information Protection の有効化

はじめて秘密度ラベルでアクセス制御を構成する場合には以下のようなエラーが発生します。

image.png

その場合には保護サービスの状態をアクティブ化または確認する方法を参考に、Information Protection の有効化を実施します。

image.png

秘密度ラベルの作成と発行

アクセス制御に対応した秘密度ラベルを構成します。

保護ポリシーの前提条件は以下です。

Fabric の保護ポリシーのコンテキストで "適切に構成された" とは、ラベルが構成されたときに、そのスコープが[ファイルとその他のデータ資産] に設定され、その保護設定が、[アクセスの制御] を含むように設定されていることを意味します

引用:https://learn.microsoft.com/ja-jp/fabric/governance/protection-policies-create#prerequisites

基本設定

image.png

スコープ

image.png

保護設定の種類

ここでアクセスの制御を選択します。

image.png

アクセス制御設定

アクセス許可を今すぐ割り当てる の状態にして、対象のユーザーまたはグループ(今回はデータエンジニア用アカウント)を指定します。

image.png

残りの設定は既定です。

image.png

image.png

ラベルが作成できたら発行して、アイテムに割り当てができるようになってればOK。

2. 保護ポリシーの構成

Purview Information Protection の画面で保護ポリシーを作成します。

image.png

基本設定

image.png

保護ポリシーを適用する対象のラベルを選択

image.png

対象データソースとして Fabric を選択

image.png

保護ポリシーが動作した際に維持するアクセスを定義します。ここでは データエンジニアの権限は維持されるようにしました。

image.png

ポリシーを有効化したら完了です。

image.png

image.png

3. Fabric アイテムへのラベル適用

作業を行うワークスペースでは以下のように権限を割り当てました。

image.png

管理者に開発用アカウントがいるためデータエンジニアが作成したデータは全て開発用アカウントからも参照および書き込みできます。

データエンジニアが作成したレイクハウス
image.png

ラベル適用前なので開発用アカウントから参照できています。

image.png

アクセス権の管理画面でも権限がワークスぺースロールにより設定されています。

image.png

データエンジニアのアカウントにてラベルを適用します。

image.png

ラベルを割り当てたユーザーは保護ポリシーの対象外となります。

保護ポリシーは、ラベル発行者には適用されません。 つまり、保護ポリシーに関連付けられたラベルを項目に最後に適用したユーザーは、ポリシーで指定されていない場合でも、項目へのアクセスを拒否されません。 たとえば、保護ポリシーがラベル A に関連付けられており、あるユーザーがラベル A を項目に適用した場合、そのユーザーは、ポリシーで指定されていない場合でも、項目にアクセスできます。

引用:https://learn.microsoft.com/ja-jp/fabric/governance/protection-policies-overview

4. ポリシーの動作チェック

ラベルを割り当てると開発用アカウントからはラベルが割り当てられたアイテムが表示されなくなります。

image.png

アクセス権の設定画面では、元の状態のままなのですが、保護ポリシーにより、読取アクセス権がブロックされていることがわかります。

image.png

データエンジニア側で対象のレイクハウスからレポートを作成してみます。

レイクハウスのラベルが継承されていることがわかります。

image.png

image.png

レポートは保護ポリシー適用下では以下のように開発用アカウントからは表示されます。

image.png

開いてみると以下のようになります。

image.png

このように、保護ポリシーを使用すると、ワークスペース管理者のようにシステム管理者相当の権限を持っているユーザーが存在していても、秘密度ラベルに応じた機密性の高いデータへのアクセスを適切に制御することが可能です。

その他紹介

ドメインとの連携

ドメイン設定によりドメイン内のワークスペースに自動的に秘密度ラベルを付与することができます。

image.png

監査ログ

Purview 監査ログからは、Operation name="Validate" で関連ログを検出可能です。

image.png

image.png

プレビュー機能のため、docsでの記載はなく、変更の可能性があります。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?