Compartir a través de

OneLake Data Access Security - List Data Access Roles

Servicio:
Core
Versión de la API:
v1

Devuelve una lista de roles de OneLake.

Note

Esta API forma parte de una versión preliminar y solo se proporciona con fines de evaluación y desarrollo. Puede cambiar en función de los comentarios y no se recomienda para su uso en producción.

Ámbitos delegados necesarios

OneLake.Read.All o OneLake.ReadWrite.All

Identidades admitidas de Microsoft Entra

Esta API admite las identidades de Microsoft enumeradas en esta sección.

Identity Support
User Yes
Entidad de servicio e Identidades administradas Yes

Interface

GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRoles
Con parámetros opcionales: 
GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRoles?continuationToken={continuationToken}

Parámetros de identificador URI

Nombre En Requerido Tipo Description
itemId
 path True

string (uuid)

Identificador del elemento fabric para colocar los roles.
workspaceId
 path True

string (uuid)

Identificador del área de trabajo.
continuationToken
 query

string

Token para recuperar la siguiente página de resultados.

Respuestas

Nombre Tipo Description
200 OK

DataAccessRoles

Solicitud completada correctamente.

Encabezados

Etag: string
Other Status Codes

ErrorResponse

Códigos de error comunes:

  • ItemNotFound: indica que el servidor no encuentra el elemento solicitado.

Ejemplos

List data access roles multiple pages example
List data access roles single page example
List data access roles with constraints example
List default data access roles example

List data access roles multiple pages example

Solicitud de ejemplo

GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles

Respuesta de muestra

status code:
200 
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4
{
  "value": [
    {
      "name": "default_role_1",
      "decisionRules": [
        {
          "effect": "Permit",
          "permission": [
            {
              "attributeName": "Path",
              "attributeValueIncludedIn": [
                "*"
              ]
            },
            {
              "attributeName": "Action",
              "attributeValueIncludedIn": [
                "Read"
              ]
            }
          ]
        }
      ],
      "members": {
        "fabricItemMembers": [
          {
            "itemAccess": [
              "ReadAll"
            ],
            "sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
          }
        ]
      }
    }
  ],
  "continuationToken": "LDEsMTAwMDAwLDA%3D",
  "continuationUri": "https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles?continuationToken=LDEsMTAwMDAwLDA%3D"
}

List data access roles single page example

Solicitud de ejemplo

GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles

Respuesta de muestra

status code:
200 
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4
{
  "value": [
    {
      "name": "default_role_1",
      "decisionRules": [
        {
          "effect": "Permit",
          "permission": [
            {
              "attributeName": "Path",
              "attributeValueIncludedIn": [
                "*"
              ]
            },
            {
              "attributeName": "Action",
              "attributeValueIncludedIn": [
                "Read"
              ]
            }
          ]
        }
      ],
      "members": {
        "fabricItemMembers": [
          {
            "itemAccess": [
              "ReadAll"
            ],
            "sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
          }
        ]
      }
    }
  ]
}

List data access roles with constraints example

Solicitud de ejemplo

GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles

Respuesta de muestra

status code:
200 
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4
{
  "value": [
    {
      "name": "DefaultReader",
      "decisionRules": [
        {
          "effect": "Permit",
          "permission": [
            {
              "attributeName": "Path",
              "attributeValueIncludedIn": [
                "*"
              ]
            },
            {
              "attributeName": "Action",
              "attributeValueIncludedIn": [
                "Read"
              ]
            }
          ],
          "constraints": {
            "columns": [
              {
                "tablePath": "/Tables/industrytable",
                "columnNames": [
                  "Industry"
                ],
                "columnEffect": "Permit",
                "columnAction": [
                  "Read"
                ]
              }
            ],
            "rows": [
              {
                "tablePath": "/Tables/industrytable",
                "value": "select * from Industrytable where Industry=\"Green\""
              }
            ]
          }
        }
      ],
      "members": {
        "fabricItemMembers": [
          {
            "itemAccess": [
              "ReadAll"
            ],
            "sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
          }
        ]
      }
    }
  ]
}

List default data access roles example

Solicitud de ejemplo

GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles

Respuesta de muestra

status code:
200 
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4
{
  "value": [
    {
      "name": "DefaultReader",
      "decisionRules": [
        {
          "effect": "Permit",
          "permission": [
            {
              "attributeName": "Path",
              "attributeValueIncludedIn": [
                "*"
              ]
            },
            {
              "attributeName": "Action",
              "attributeValueIncludedIn": [
                "Read"
              ]
            }
          ]
        }
      ],
      "members": {
        "fabricItemMembers": [
          {
            "itemAccess": [
              "ReadAll"
            ],
            "sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
          }
        ]
      }
    }
  ]
}

Definiciones

Nombre Description
AttributeName

Especifica el nombre del atributo que se está evaluando para los permisos de acceso. AttributeName puede ser Path o Action. Se pueden agregar tipos attributeName adicionales a lo largo del tiempo.
ColumnAction

Matriz de acciones aplicadas a columnNames. Esto determina qué acciones podrá realizar un usuario en columnas. Los valores permitidos son: Read. Se pueden agregar tipos columnAction adicionales a lo largo del tiempo.
ColumnConstraint

ColumnConstraint indica una restricción que determina los permisos y la visibilidad que un usuario tiene en las columnas de una tabla.
ColumnEffect

Efecto proporcionado a columnNames. El único valor permitido es Permitir. Se pueden agregar tipos de columnEffect adicionales a lo largo del tiempo.
Constraints

Cualquier restricción, como la seguridad de nivel de fila o columna que se aplique a las tablas como parte de este rol. Si no se incluye, no se aplican restricciones a ninguna tabla del rol.
DataAccessRole

Un rol de acceso a datos representa un conjunto de permisos y ámbitos de permisos que definen qué acciones pueden realizar sus miembros para los datos en el ámbito. Los roles de acceso a datos se usan para administrar la seguridad del acceso a datos y garantizar que solo los usuarios autorizados puedan ver, editar o eliminar determinados datos. Los miembros son usuarios o grupos a los que se les ha concedido el rol y pueden leer los datos en función de los permisos asignados al rol. Por ejemplo, un miembro puede ser un grupo de identificadores de Entra de Microsoft y un ámbito de permisos puede ser una acción de lectura aplicada en la ruta de acceso dada a archivo, carpetas o tablas en OneLake.
DataAccessRoles
DecisionRule

Especifica una regla para que coincida con la acción solicitada. Contiene efecto (Permiso) y Permiso que determinan si un usuario o entidad está autorizado para realizar una acción específica (por ejemplo, leer) en un recurso. El permiso es un conjunto de ámbitos, definidos por atributos, que deben coincidir con la acción solicitada para que se aplique la regla.
Effect

Efecto que un rol tiene sobre el acceso al recurso de datos. Actualmente, el único tipo de efecto admitido es Permit, que concede acceso al recurso. Se pueden agregar tipos de efecto adicionales a lo largo del tiempo.
ErrorRelatedResource

Objeto de detalles del recurso relacionado con el error.
ErrorResponse

Respuesta de error.
ErrorResponseDetails

Detalles de la respuesta de error.
FabricItemMember

Miembro del elemento de tejido.
ItemAccess

Lista que especifica los permisos de acceso para que el usuario de Fabric tenga que incluirse automáticamente en los miembros del rol. Se pueden agregar tipos de itemAccess adicionales a lo largo del tiempo.
Members

Objeto members que contiene los miembros del rol como matrices de diferentes tipos de miembro.
MicrosoftEntraMember

Miembro de Id. de Microsoft Entra asignado al rol.
ObjectType

Tipo de objeto De id. de Microsoft Entra. Se pueden agregar tipos objectType adicionales a lo largo del tiempo.
PermissionScope

Define un conjunto de atributos (propiedades) que determinan el ámbito y el nivel de acceso a un recurso. Cuando attributeName propiedad se establece en Path, la propiedad attributeValueIncludedIn debe especificar la ubicación del recurso al que se accede, como "Tables/Table1". Cuando la propiedad attributeName se establece en Action, la propiedad attributeValueIncludedIn debe especificar el tipo de acceso que se concede, como Read.
RowConstraint

RowConstraint indica una restricción que determina las filas de una tabla que los usuarios pueden ver. Los roles definidos con RowConstraints usan T-SQL para definir un predicado que filtra los datos de una tabla. Las filas que no cumplen las condiciones del predicado se filtran, dejando un subconjunto de las filas originales. RowConstraints también se puede usar para especificar tipos dinámicos y de varias tablas de RLS mediante T-SQL.

AttributeName

Enumeración

Especifica el nombre del atributo que se está evaluando para los permisos de acceso. AttributeName puede ser Path o Action. Se pueden agregar tipos attributeName adicionales a lo largo del tiempo.

Valor Description
Path

Ruta de acceso del nombre de atributo
Action

Acción de nombre de atributo

ColumnAction

Enumeración

Matriz de acciones aplicadas a columnNames. Esto determina qué acciones podrá realizar un usuario en columnas. Los valores permitidos son: Read. Se pueden agregar tipos columnAction adicionales a lo largo del tiempo.

Valor Description
Read

Valor ColumnAction Read

ColumnConstraint

Object

ColumnConstraint indica una restricción que determina los permisos y la visibilidad que un usuario tiene en las columnas de una tabla.

Nombre Tipo Description
columnAction

ColumnAction[]

Matriz de acciones aplicadas a columnNames. Esto determina qué acciones podrá realizar un usuario en columnas. Los valores permitidos son: Read. Se pueden agregar tipos columnAction adicionales a lo largo del tiempo.
columnEffect

ColumnEffect

Efecto proporcionado a columnNames. El único valor permitido es Permitir. Se pueden agregar tipos de columnEffect adicionales a lo largo del tiempo.
columnNames

string[]

Matriz de nombres de columna que distinguen mayúsculas de minúsculas. Cada valor es un nombre de columna de la tabla especificada en tablePath. Use estas columnas con columnEffect y columnAction. Las columnas que no aparecen en la lista obtienen el valor predeterminado NULL. Use * para indicar todas las columnas de la tabla.
tablePath

string

Ruta de acceso relativa al archivo que especifica a qué tabla se aplica la restricción de columna. Debe estar en forma de /Tables/{optionalSchema}/{tableName}. Solo se puede proporcionar un valor aquí y tableName debe ser una tabla incluida en PermissionScope.

ColumnEffect

Enumeración

Efecto proporcionado a columnNames. El único valor permitido es Permitir. Se pueden agregar tipos de columnEffect adicionales a lo largo del tiempo.

Valor Description
Permit

Tipo ColumnEffect Permitir

Constraints

Object

Cualquier restricción, como la seguridad de nivel de fila o columna que se aplique a las tablas como parte de este rol. Si no se incluye, no se aplican restricciones a ninguna tabla del rol.

Nombre Tipo Description
columns

ColumnConstraint[]

Matriz de restricciones de columna aplicadas a una o varias tablas del rol de acceso a datos.
rows

RowConstraint[]

Matriz de restricciones de fila aplicadas a una o varias tablas del rol de acceso a datos.

DataAccessRole

Object

Un rol de acceso a datos representa un conjunto de permisos y ámbitos de permisos que definen qué acciones pueden realizar sus miembros para los datos en el ámbito. Los roles de acceso a datos se usan para administrar la seguridad del acceso a datos y garantizar que solo los usuarios autorizados puedan ver, editar o eliminar determinados datos. Los miembros son usuarios o grupos a los que se les ha concedido el rol y pueden leer los datos en función de los permisos asignados al rol. Por ejemplo, un miembro puede ser un grupo de identificadores de Entra de Microsoft y un ámbito de permisos puede ser una acción de lectura aplicada en la ruta de acceso dada a archivo, carpetas o tablas en OneLake.

Nombre Tipo Description
decisionRules

DecisionRule[]

Matriz de permisos que componen el rol acceso a datos.
id

string (uuid)

Identificador único del rol acceso a datos.
members

Members

Objeto members que contiene los miembros del rol como matrices de diferentes tipos de miembro.
name

string

Nombre del rol acceso a datos.

DataAccessRoles

Object
Nombre Tipo Description
continuationToken

string

Token del siguiente lote del conjunto de resultados. Si no hay más registros, se quita de la respuesta.
continuationUri

string

Identificador URI del siguiente lote del conjunto de resultados. Si no hay más registros, se quita de la respuesta.
value

DataAccessRole[]

Lista de roles que se usan para administrar la seguridad del acceso a datos y asegurarse de que solo los usuarios autorizados puedan ver determinados datos. Un rol representa un conjunto de permisos y ámbitos de permisos que definen las acciones que sus miembros pueden realizar para los datos en el ámbito. Los miembros son usuarios o grupos a los que se les ha concedido el rol y pueden leer los datos en función de los permisos asignados al rol. Por ejemplo, un miembro puede ser un grupo de identificadores de Entra de Microsoft y un ámbito de permisos puede ser una acción de lectura aplicada en la ruta de acceso dada a archivo, carpetas o tablas en OneLake.

DecisionRule

Object

Especifica una regla para que coincida con la acción solicitada. Contiene efecto (Permiso) y Permiso que determinan si un usuario o entidad está autorizado para realizar una acción específica (por ejemplo, leer) en un recurso. El permiso es un conjunto de ámbitos, definidos por atributos, que deben coincidir con la acción solicitada para que se aplique la regla.

Nombre Tipo Description
constraints

Constraints

Cualquier restricción, como la seguridad de nivel de fila o columna que se aplique a las tablas como parte de este rol. Si no se incluye, no se aplican restricciones a ninguna tabla del rol.
effect

Effect

Efecto que un rol tiene sobre el acceso al recurso de datos. Actualmente, el único tipo de efecto admitido es Permit, que concede acceso al recurso. Se pueden agregar tipos de efecto adicionales a lo largo del tiempo.
permission

PermissionScope[]

La propiedad permission es una matriz que especifica el ámbito y el nivel de acceso de una acción solicitada. La matriz debe contener exactamente dos objetos PermissionScope: Path y Action. El scope se define mediante el objeto PermissionScope, con attributeValueIncludedIn especificando la ubicación del recurso al que se accede o el tipo de acción que se va a conceder. El access hace referencia al nivel de acceso que se concede, como Read.

Effect

Enumeración

Efecto que un rol tiene sobre el acceso al recurso de datos. Actualmente, el único tipo de efecto admitido es Permit, que concede acceso al recurso. Se pueden agregar tipos de efecto adicionales a lo largo del tiempo.

Valor Description
Permit

el tipo de efecto Permitir

ErrorRelatedResource

Object

Objeto de detalles del recurso relacionado con el error.

Nombre Tipo Description
resourceId

string

Identificador de recurso implicado en el error.
resourceType

string

Tipo del recurso implicado en el error.

ErrorResponse

Object

Respuesta de error.

Nombre Tipo Description
errorCode

string

Identificador específico que proporciona información sobre una condición de error, lo que permite una comunicación estandarizada entre nuestro servicio y sus usuarios.
message

string

Representación legible del error.
moreDetails

ErrorResponseDetails[]

Lista de detalles de error adicionales.
relatedResource

ErrorRelatedResource

Detalles del recurso relacionado con el error.
requestId

string

Identificador de la solicitud asociada al error.

ErrorResponseDetails

Object

Detalles de la respuesta de error.

Nombre Tipo Description
errorCode

string

Identificador específico que proporciona información sobre una condición de error, lo que permite una comunicación estandarizada entre nuestro servicio y sus usuarios.
message

string

Representación legible del error.
relatedResource

ErrorRelatedResource

Detalles del recurso relacionado con el error.

FabricItemMember

Object

Miembro del elemento de tejido.

Nombre Tipo Description
itemAccess

ItemAccess[]

Lista que especifica los permisos de acceso para que el usuario de Fabric tenga que incluirse automáticamente en los miembros del rol. Se pueden agregar tipos de itemAccess adicionales a lo largo del tiempo.
sourcePath

string

pattern: ^[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?/[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?$

Ruta de acceso al elemento de Fabric que tiene acceso al elemento especificado.

ItemAccess

Enumeración

Lista que especifica los permisos de acceso para que el usuario de Fabric tenga que incluirse automáticamente en los miembros del rol. Se pueden agregar tipos de itemAccess adicionales a lo largo del tiempo.

Valor Description
Read

Lectura de acceso a elementos.
Write

Escritura de acceso de elemento.
Reshare

Volver a compartir el acceso al elemento.
Explore

Exploración de acceso a elementos.
Execute

Ejecutar acceso a elementos.
ReadAll

Acceso de elemento ReadAll.

Members

Object

Objeto members que contiene los miembros del rol como matrices de diferentes tipos de miembro.

Nombre Tipo Description
fabricItemMembers

FabricItemMember[]

Lista de miembros que tienen un determinado conjunto de permisos en Microsoft Fabric. Todos los miembros con ese conjunto de permisos se agregan como miembros de este rol de acceso a datos.
microsoftEntraMembers

MicrosoftEntraMember[]

Lista de miembros de Id. de Microsoft Entra.

MicrosoftEntraMember

Object

Miembro de Id. de Microsoft Entra asignado al rol.

Nombre Tipo Description
objectId

string (uuid)

Identificador del objeto.
objectType

ObjectType

Tipo de objeto De id. de Microsoft Entra. Se pueden agregar tipos objectType adicionales a lo largo del tiempo.
tenantId

string (uuid)

Identificador del inquilino.

ObjectType

Enumeración

Tipo de objeto De id. de Microsoft Entra. Se pueden agregar tipos objectType adicionales a lo largo del tiempo.

Valor Description
Group

Grupo de nombres de atributo
User

Nombre de atributo User
ServicePrincipal

Nombre de atributo ServicePrincipal
ManagedIdentity

Nombre de atributo ManagedIdentity

PermissionScope

Object

Define un conjunto de atributos (propiedades) que determinan el ámbito y el nivel de acceso a un recurso. Cuando attributeName propiedad se establece en Path, la propiedad attributeValueIncludedIn debe especificar la ubicación del recurso al que se accede, como "Tables/Table1". Cuando la propiedad attributeName se establece en Action, la propiedad attributeValueIncludedIn debe especificar el tipo de acceso que se concede, como Read.

Nombre Tipo Description
attributeName

AttributeName

Especifica el nombre del atributo que se está evaluando para los permisos de acceso. AttributeName puede ser Path o Action. Se pueden agregar tipos attributeName adicionales a lo largo del tiempo.
attributeValueIncludedIn

string[]

Especifica una lista de valores para el attributeName para definir el ámbito y el nivel de acceso a un recurso. Cuando attributeName es Path, attributeValueIncludedIn debe especificar la ubicación del recurso al que se accede, como "Tables/Table1". Cuando se attributeNameAction, el attributeValueIncludedIn debe especificar el tipo de acceso que se va a conceder, como Read.

RowConstraint

Object

RowConstraint indica una restricción que determina las filas de una tabla que los usuarios pueden ver. Los roles definidos con RowConstraints usan T-SQL para definir un predicado que filtra los datos de una tabla. Las filas que no cumplen las condiciones del predicado se filtran, dejando un subconjunto de las filas originales. RowConstraints también se puede usar para especificar tipos dinámicos y de varias tablas de RLS mediante T-SQL.

Nombre Tipo Description
tablePath

string

Ruta de acceso de archivo relativa que especifica a qué tabla se aplica la restricción de fila. Debe estar en forma de /Tables/{optionalSchema}/{tableName}. Solo se puede proporcionar un valor aquí y tableName debe ser una tabla incluida en PermissionScope.
value

string

Expresión T-SQL que se usa para evaluar qué filas pueden ver los miembros del rol. Solo se puede usar un subconjunto de T-SQL como predicado.