OneLake Data Access Security - List Data Access Roles
OneLake ロールの一覧を返します。
Note
この API はプレビュー リリースの一部であり、評価と開発のみを目的として提供されます。 フィードバックに基づいて変更される可能性があり、運用環境での使用はお勧めしません。
必要な委任されたスコープ
OneLake.Read.All または OneLake.ReadWrite.All
Microsoft Entra でサポートされている ID
この API では、このセクションに記載されている Microsoft ID がサポートされています。
| Identity | Support |
|---|---|
| User | Yes |
| サービス プリンシパルとマネージド ID | Yes |
Interface
GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRolesGET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRoles?continuationToken={continuationToken}URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
item
|
path | True |
string (uuid) |
ロールを配置するファブリック項目の ID。 |
|
workspace
|
path | True |
string (uuid) |
ワークスペース ID。 |
|
continuation
|
query |
string |
結果の次のページを取得するためのトークン。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
要求は正常に完了しました。 ヘッダー Etag: string |
|
| Other Status Codes |
一般的なエラー コード:
|
例
| List data access roles multiple pages example |
| List data access roles single page example |
| List data access roles with constraints example |
| List default data access roles example |
List data access roles multiple pages example
要求のサンプル
GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles
応答のサンプル
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4{
"value": [
{
"name": "default_role_1",
"decisionRules": [
{
"effect": "Permit",
"permission": [
{
"attributeName": "Path",
"attributeValueIncludedIn": [
"*"
]
},
{
"attributeName": "Action",
"attributeValueIncludedIn": [
"Read"
]
}
]
}
],
"members": {
"fabricItemMembers": [
{
"itemAccess": [
"ReadAll"
],
"sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
}
]
}
}
],
"continuationToken": "LDEsMTAwMDAwLDA%3D",
"continuationUri": "https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles?continuationToken=LDEsMTAwMDAwLDA%3D"
}List data access roles single page example
要求のサンプル
GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles
応答のサンプル
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4{
"value": [
{
"name": "default_role_1",
"decisionRules": [
{
"effect": "Permit",
"permission": [
{
"attributeName": "Path",
"attributeValueIncludedIn": [
"*"
]
},
{
"attributeName": "Action",
"attributeValueIncludedIn": [
"Read"
]
}
]
}
],
"members": {
"fabricItemMembers": [
{
"itemAccess": [
"ReadAll"
],
"sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
}
]
}
}
]
}List data access roles with constraints example
要求のサンプル
GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles
応答のサンプル
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4{
"value": [
{
"name": "DefaultReader",
"decisionRules": [
{
"effect": "Permit",
"permission": [
{
"attributeName": "Path",
"attributeValueIncludedIn": [
"*"
]
},
{
"attributeName": "Action",
"attributeValueIncludedIn": [
"Read"
]
}
],
"constraints": {
"columns": [
{
"tablePath": "/Tables/industrytable",
"columnNames": [
"Industry"
],
"columnEffect": "Permit",
"columnAction": [
"Read"
]
}
],
"rows": [
{
"tablePath": "/Tables/industrytable",
"value": "select * from Industrytable where Industry=\"Green\""
}
]
}
}
],
"members": {
"fabricItemMembers": [
{
"itemAccess": [
"ReadAll"
],
"sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
}
]
}
}
]
}List default data access roles example
要求のサンプル
GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles
応答のサンプル
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4{
"value": [
{
"name": "DefaultReader",
"decisionRules": [
{
"effect": "Permit",
"permission": [
{
"attributeName": "Path",
"attributeValueIncludedIn": [
"*"
]
},
{
"attributeName": "Action",
"attributeValueIncludedIn": [
"Read"
]
}
]
}
],
"members": {
"fabricItemMembers": [
{
"itemAccess": [
"ReadAll"
],
"sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb"
}
]
}
}
]
}定義
| 名前 | 説明 |
|---|---|
|
Attribute |
アクセス許可を評価する属性の名前を指定します。 AttributeName は、 |
|
Column |
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。 |
|
Column |
ColumnConstraint は、ユーザーがテーブル内の列に対して持つ権限と可視性を決定する制約を示します。 |
|
Column |
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。 |
| Constraints |
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。 |
|
Data |
データ アクセス ロールは、スコープ内のデータに対してメンバーが実行できるアクションを定義するアクセス許可とアクセス許可スコープのセットを表します。 データ アクセス ロールは、データ アクセス セキュリティを管理し、承認されたユーザーのみが特定のデータを表示、編集、または削除できるようにするために使用されます。 メンバーはロールが付与されているユーザーまたはグループであり、ロールに割り当てられたアクセス許可に基づいてデータを読み取ることができます。 たとえば、メンバーは Microsoft Entra ID グループにすることができ、アクセス許可スコープは、OneLake の特定のパスに適用される読み取りアクション、フォルダー、またはテーブルにすることができます。 |
|
Data |
|
|
Decision |
要求されたアクションに一致するルールを指定します。 リソースに対して特定のアクション (読み取りなど) を実行する権限をユーザーまたはエンティティに付与するかどうかを決定する効果 (許可) とアクセス許可が含まれます。 アクセス許可は、適用するルールの要求されたアクションと一致する必要がある、属性によって定義される一連のスコープです。 |
| Effect |
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は |
|
Error |
エラー関連のリソース詳細オブジェクト。 |
|
Error |
エラー応答。 |
|
Error |
エラー応答の詳細。 |
|
Fabric |
ファブリック項目メンバー。 |
|
Item |
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。 |
| Members |
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。 |
|
Microsoft |
ロールに割り当てられている Microsoft Entra ID メンバー。 |
|
Object |
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。 |
|
Permission |
リソースへのアクセスのスコープとレベルを決定する属性 (プロパティ) のセットを定義します。
|
|
Row |
RowConstraint は、ユーザーが表示できるテーブル内の行を決定する制約を示します。 RowConstraints で定義されたロールは、T-SQL を使用して、テーブル内のデータをフィルター処理する述語を定義します。 述語の条件を満たしていない行はフィルターで除外され、元の行のサブセットが残ります。 RowConstraints を使用して、T-SQL を使用して RLS の動的および複数テーブルのフレーバーを指定することもできます。 |
AttributeName
アクセス許可を評価する属性の名前を指定します。 AttributeName は、Path または Actionできます。 attributeName 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Path |
属性名パス |
| Action |
属性名アクション |
ColumnAction
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Read |
ColumnAction 値 Read |
ColumnConstraint
ColumnConstraint は、ユーザーがテーブル内の列に対して持つ権限と可視性を決定する制約を示します。
| 名前 | 型 | 説明 |
|---|---|---|
| columnAction |
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。 |
|
| columnEffect |
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。 |
|
| columnNames |
string[] |
大文字と小文字を区別する列名の配列。 各値は、 |
| tablePath |
string |
列制約が適用されるテーブルを指定する相対ファイル パス。 これは、 |
ColumnEffect
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Permit |
ColumnEffect 型の Permit |
Constraints
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。
| 名前 | 型 | 説明 |
|---|---|---|
| columns |
データ アクセス ロールの 1 つ以上のテーブルに適用される列制約の配列。 |
|
| rows |
データ アクセス ロールの 1 つ以上のテーブルに適用される行制約の配列。 |
DataAccessRole
データ アクセス ロールは、スコープ内のデータに対してメンバーが実行できるアクションを定義するアクセス許可とアクセス許可スコープのセットを表します。 データ アクセス ロールは、データ アクセス セキュリティを管理し、承認されたユーザーのみが特定のデータを表示、編集、または削除できるようにするために使用されます。 メンバーはロールが付与されているユーザーまたはグループであり、ロールに割り当てられたアクセス許可に基づいてデータを読み取ることができます。 たとえば、メンバーは Microsoft Entra ID グループにすることができ、アクセス許可スコープは、OneLake の特定のパスに適用される読み取りアクション、フォルダー、またはテーブルにすることができます。
| 名前 | 型 | 説明 |
|---|---|---|
| decisionRules |
データ アクセス ロールを構成するアクセス許可の配列。 |
|
| id |
string (uuid) |
データ アクセス ロールの一意の ID。 |
| members |
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。 |
|
| name |
string |
データ アクセス ロールの名前。 |
DataAccessRoles
| 名前 | 型 | 説明 |
|---|---|---|
| continuationToken |
string |
次の結果セット バッチのトークン。 これ以上レコードがない場合は、応答から削除されます。 |
| continuationUri |
string |
次の結果セット バッチの URI。 これ以上レコードがない場合は、応答から削除されます。 |
| value |
データ アクセス セキュリティを管理し、承認されたユーザーのみが特定のデータを表示できるようにするために使用されるロールの一覧。 ロールは、スコープ内のデータに対してメンバーが実行できるアクションを定義する一連のアクセス許可とアクセス許可スコープを表します。 メンバーはロールが付与されているユーザーまたはグループであり、ロールに割り当てられたアクセス許可に基づいてデータを読み取ることができます。 たとえば、メンバーは Microsoft Entra ID グループにすることができ、アクセス許可スコープは、OneLake の特定のファイル、フォルダー、またはテーブルへのパスに適用される読み取りアクションにすることができます。 |
DecisionRule
要求されたアクションに一致するルールを指定します。 リソースに対して特定のアクション (読み取りなど) を実行する権限をユーザーまたはエンティティに付与するかどうかを決定する効果 (許可) とアクセス許可が含まれます。 アクセス許可は、適用するルールの要求されたアクションと一致する必要がある、属性によって定義される一連のスコープです。
| 名前 | 型 | 説明 |
|---|---|---|
| constraints |
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。 |
|
| effect |
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は |
|
| permission |
|
Effect
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は Permitのみです。この種類では、リソースへのアクセスが許可されます。 追加の効果の種類は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Permit |
効果の種類の許可 |
ErrorRelatedResource
エラー関連のリソース詳細オブジェクト。
| 名前 | 型 | 説明 |
|---|---|---|
| resourceId |
string |
エラーに関係するリソース ID。 |
| resourceType |
string |
エラーに関係するリソースの種類。 |
ErrorResponse
エラー応答。
| 名前 | 型 | 説明 |
|---|---|---|
| errorCode |
string |
エラー状態に関する情報を提供し、サービスとそのユーザー間の標準化された通信を可能にする特定の識別子。 |
| message |
string |
エラーの人間が判読できる表現。 |
| moreDetails |
その他のエラーの詳細の一覧。 |
|
| relatedResource |
エラー関連のリソースの詳細。 |
|
| requestId |
string |
エラーに関連付けられている要求の ID。 |
ErrorResponseDetails
エラー応答の詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| errorCode |
string |
エラー状態に関する情報を提供し、サービスとそのユーザー間の標準化された通信を可能にする特定の識別子。 |
| message |
string |
エラーの人間が判読できる表現。 |
| relatedResource |
エラー関連のリソースの詳細。 |
FabricItemMember
ファブリック項目メンバー。
| 名前 | 型 | 説明 |
|---|---|---|
| itemAccess |
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。 |
|
| sourcePath |
string pattern: ^[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?/[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?$ |
指定した項目へのアクセス権を持つ Fabric 項目へのパス。 |
ItemAccess
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Read |
アイテム アクセス読み取り。 |
| Write |
アイテム アクセス書き込み。 |
| Reshare |
アイテム アクセスの再共有。 |
| Explore |
アイテム アクセスの探索。 |
| Execute |
アイテム アクセス実行。 |
| ReadAll |
Item Access ReadAll。 |
Members
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。
| 名前 | 型 | 説明 |
|---|---|---|
| fabricItemMembers |
Microsoft Fabric で特定のアクセス許可が設定されているメンバーの一覧。 そのアクセス許可セットを持つすべてのメンバーは、このデータ アクセス ロールのメンバーとして追加されます。 |
|
| microsoftEntraMembers |
Microsoft Entra ID メンバーの一覧。 |
MicrosoftEntraMember
ロールに割り当てられている Microsoft Entra ID メンバー。
| 名前 | 型 | 説明 |
|---|---|---|
| objectId |
string (uuid) |
オブジェクト ID。 |
| objectType |
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。 |
|
| tenantId |
string (uuid) |
テナント ID。 |
ObjectType
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Group |
属性名グループ |
| User |
属性名 ユーザー |
| ServicePrincipal |
属性名 ServicePrincipal |
| ManagedIdentity |
属性名 ManagedIdentity |
PermissionScope
リソースへのアクセスのスコープとレベルを決定する属性 (プロパティ) のセットを定義します。
attributeName プロパティが Pathに設定されている場合、attributeValueIncludedIn プロパティはアクセスするリソースの場所 ("Tables/Table1" など) を指定する必要があります。
attributeName プロパティが Actionに設定されている場合、attributeValueIncludedIn プロパティは、許可するアクセスの種類 (Readなど) を指定する必要があります。
| 名前 | 型 | 説明 |
|---|---|---|
| attributeName |
アクセス許可を評価する属性の名前を指定します。 AttributeName は、 |
|
| attributeValueIncludedIn |
string[] |
リソースへのスコープとアクセス レベルを定義する |
RowConstraint
RowConstraint は、ユーザーが表示できるテーブル内の行を決定する制約を示します。 RowConstraints で定義されたロールは、T-SQL を使用して、テーブル内のデータをフィルター処理する述語を定義します。 述語の条件を満たしていない行はフィルターで除外され、元の行のサブセットが残ります。 RowConstraints を使用して、T-SQL を使用して RLS の動的および複数テーブルのフレーバーを指定することもできます。
| 名前 | 型 | 説明 |
|---|---|---|
| tablePath |
string |
行制約が適用されるテーブルを指定する相対ファイル パス。 これは、 |
| value |
string |
ロール メンバーが表示できる行を評価するために使用される T-SQL 式。 述語として使用できるのは、T-SQL のサブセットだけです。 |