Azure Synapse サーバーレス SQL プールで認証方法を選択する

完了

サーバーレス SQL プールの認証とは、エンドポイントへの接続時にユーザーが自分の ID を証明する方法のことです。 2 種類の認証がサポートされています。

  • SQL 認証

    この認証方法では、ユーザー名とパスワードを使用します。

  • Microsoft Entra 認証

    この認証方法では、Microsoft Entra ID によって管理される ID が使用されます。 Microsoft Entra ユーザーの場合、多要素認証を有効にできます。 可能であれば、Active Directory 認証 (統合セキュリティ) を使用します。

承認

承認とは、サーバーレス SQL プール データベース内でユーザーにどのような操作が許可されるかを示すものであり、ユーザー アカウントのデータベース ロールのメンバーシップとオブジェクトレベルのアクセス許可によって制御されます。

SQL 認証が使用される場合、SQL ユーザーはサーバーレス SQL プール内にのみ存在し、アクセス許可のスコープはサーバーレス SQL プール内のオブジェクトに指定されます。 他のサービス (Azure Storage など) のセキュリティ保護可能なオブジェクトへのアクセスは、SQL ユーザーに対して直接許可することができません。これは、そのユーザーがサーバーレス SQL プールのスコープにのみ存在するためです。 SQL ユーザーは、ストレージ アカウント内のファイルにアクセスするための承認を取得する必要があります。

Microsoft Entra 認証が使用されている場合、ユーザーはサーバーレス SQL プールやその他のサービス (Azure Storage など) にサインインし、Microsoft Entra ユーザーにアクセス許可を付与できます。

ストレージ アカウントへのアクセス

サーバーレス SQL プール サービスにログインしたユーザーは、Azure Storage 内のファイルにアクセスしてクエリを実行する権限を持っている必要があります。 サーバーレス SQL プールでは、次の種類の承認がサポートされます。

  • 匿名アクセス

    匿名アクセスが許可されている Azure ストレージ アカウントに配置されている一般公開ファイルにアクセスするためのものです。

  • Shared Access Signature (SAS)

    ストレージ アカウント内のリソースへの委任アクセスを提供します。 SAS では、アカウント キーを共有することなく、ストレージ アカウントのリソースへのアクセス権をクライアントに付与できます。 SAS を使用すると、有効期間、付与されるアクセス許可、許容される IP アドレス範囲、許容されるプロトコル (https または http) など、SAS を使用しているクライアントに付与するアクセス権の種類をきめ細かく制御できます。

  • マネージド ID。

    サーバーレス SQL プール用の Azure サービスを提供する Microsoft Entra ID の機能です。 また、Microsoft Entra ID で自動的に管理される ID がデプロイされます。 この ID を使用して、Azure Storage でのデータ アクセスの要求を承認できます。 データにアクセスする前に、Azure Storage の管理者が、データにアクセスするためのアクセス許可をマネージド ID に付与する必要があります。 マネージド ID へのアクセス許可の付与は、他の Microsoft Entra ユーザーにアクセス許可を付与するのと同じ方法で行われます。

  • ユーザー ID

    "パススルー" とも呼ばれ、サーバーレス SQL プールにログインしている Microsoft Entra ユーザーの ID がデータへのアクセスの承認に使用される承認の種類です。 データにアクセスする前に、Azure Storage 管理者が、データにアクセスするためのアクセス許可を Microsoft Entra ユーザーに付与する必要があります。 この種類の承認では、サーバーレス SQL プールにログインした Microsoft Entra ユーザーが使用されるため、ユーザーの種類が SQL の場合はサポートされません。

データベース ユーザーに対してサポートされている承認の種類は、以下の表のとおりです。

承認の種類 SQL ユーザー Microsoft Entra ユーザー
ユーザー ID サポートされていません サポートされています
SAS サポートされています サポートされています
マネージド ID サポートされていません サポートされています

サポートされているストレージと承認の種類は、以下の表のとおりです。

承認の種類 Blob Storage ADLS Gen1 ADLS Gen2
ユーザー ID サポートされています - SAS トークンを使用して、ファイアウォールで保護されていないストレージにアクセスすることができます サポートされていません サポートされています - SAS トークンを使用して、ファイアウォールで保護されていないストレージにアクセスすることができます
SAS サポートされています サポート対象 サポートされています
マネージド ID サポートされています サポート対象 サポートされています