Power Automate のクラウドフローでAzure Key Vault コネクタを利用してみた際のメモ書きです。
Power Automate から Azure Key Vault を使う3つの方法
Power Automate(クラウドフロー、デスクトップフロー)でAzure Key Vault を使う方法は大きく分けて3つある。
- Azure Key Vault コネクタを使ってクラウドフローで取得し利用する (クラウドフロー)
- Dataverse の環境変数で Azure Key Vault に接続し利用する(クラウドフロー)
- 資格情報から環境変数経由で Azure Key Vault に接続し利用する(デスクトップフロー)
1つ目の方法、クラウドフローのAzure Key Vault コネクタを使った方法について書いてみます。
Azure Key Vault の設定
Azure Key Vault の設定方法はこちらに記載があります。
ポイントは下記の点ですね。
- Power Automate Premium プランを付与されている(Premiumコネクタ)
- 利用している同一のテナントで Azure Key Vault デプロイしている
- Azure Key Vault のキーを利用するユーザーに
キー コンテナー シークレット ユーザーのロールを付与する。 セキュア入力、セキュア出力と合わせて利用する
Azure Key Vault コネクタの設定
アクションを追加する から Azure Key Vault と検索します。
Azure Key Vault から シークレットの取得 を選択します。
Azure Key Vault コネクタの接続
初めて Azure Key Vault コネクタを利用する場合、接続情報(認証情報)を求められます。
必要情報を入力、選択の上、サインインをクリックし、キー コンテナー シークレット ユーザー`のロールを付与されたユーザーでサインインします。
| 項目 | 設定内容 |
|---|---|
| 接続名 | 任意の名前 |
| 認証の種類 | OAuth 用の既定の Microsoft Entra ID アプリケーション |
| Key Vault 名 | Azure で作成した Azure Key Vault リソース名 |
シークレットの指定
シークレットの名前のドロップボックスから、Azure Key Vault で設定したキーを選択します。
以上で利用可能ですが、セキュリティのためにもうひと設定加えます。
セキュア入力、セキュア出力
シークレットの取得アクションの設定タブを開きます。
セキュリティのセキュア入力、セキュア出力をオンに変更します。
この項目をオンに設定しないと、平文でキーやパスワードなどの情報がログとして残ってしまいます。
セキュア入力/出力がオフの状態
平文でキーの内容がログに残ってしまう。
セキュア入力/出力がオンの状態
さいごに
Azure Key Vault 側の設定さえできていれば、比較的簡単に扱えます。
セキュア入力/出力の設定と合わせて使わないと思わぬところでキーやパスワードなどのシークレット情報が洩れてしまう可能性があるので、注意が必要ですね。
キーパスワードなどのシークレット情報を直接クラウドフローに書き込んで保持するリスクのほうが高いので、Azure Key Vault をうまく利用していくと良いと思います。
