OneLake Data Access Security - Get Data Access Role
指定されたロール名のデータ アクセス ロールの詳細を返します。
注
この API はプレビュー リリースの一部であり、評価と開発のみを目的として提供されます。 フィードバックに基づいて変更される可能性があり、運用環境での使用はお勧めしません。
この API を呼び出すとき、呼び出し元はクエリ パラメーター trueの値としてpreviewを指定する必要があります。
Permissions
呼び出し元には、ワークスペースの メンバー 以上のロールが必要です。
必要な委任されたスコープ
OneLake.Read.All または OneLake.ReadWrite.All
Microsoft Entra でサポートされている ID
この API では、このセクションに記載されている Microsoft ID がサポートされています。
| アイデンティティ | Support |
|---|---|
| ユーザー | イエス |
| サービス プリンシパルとマネージド ID | イエス |
インターフェイス
GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRoles/{roleName}URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
item
|
path | True |
string (uuid) |
ロールを取得する Fabric 項目の ID。 |
|
role
|
path | True |
string |
取得するロールの名前。 |
|
workspace
|
path | True |
string (uuid) |
ワークスペース ID。 |
要求ヘッダー
| 名前 | 必須 | 型 | 説明 |
|---|---|---|---|
| If-Match |
string |
ETag 値。 ETag は引用符で囲む必要があります。 指定した場合、呼び出しは、リソースの ETag が指定された ETag と一致する場合にのみ成功します。 |
|
| If-None-Match |
string |
ETag 値。 ETag は引用符で囲む必要があります。 指定した場合、呼び出しは、リソースの ETag が指定された ETag と一致しない場合にのみ成功します。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
要求は正常に完了しました。 ヘッダー ETag: string |
|
| 429 Too Many Requests |
サービス レートの制限を超えました。 サーバーは、クライアントが追加の要求を送信するまでに待機する必要がある時間を秒単位で示す ヘッダー Retry-After: integer |
|
| Other Status Codes |
一般的なエラー コード:
|
例
Get data access role example
要求のサンプル
GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles/DefaultReader
応答のサンプル
ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4{
"name": "DefaultReader",
"decisionRules": [
{
"effect": "Permit",
"permission": [
{
"attributeName": "Path",
"attributeValueIncludedIn": [
"Tables/schema1",
"Tables/schema2/TableB"
]
},
{
"attributeName": "Action",
"attributeValueIncludedIn": [
"Read",
"ReadWrite"
]
}
],
"constraints": {
"columns": [
{
"tablePath": "Tables/schema1/TableB",
"columnNames": [
"*"
],
"columnEffect": "Permit",
"columnAction": [
"Read"
]
}
],
"rows": [
{
"tablePath": "Tables/schema1/TableC",
"value": "select * from [schema1].[TableC] where name = 'Aaron' AND country = 'USA'"
}
]
}
}
],
"members": {
"fabricItemMembers": [
{
"sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb",
"itemAccess": [
"ReadAll"
]
}
],
"microsoftEntraMembers": [
{
"tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"objectId": "EAF3B3B8-524A-4EC6-A96F-3340748DF869"
}
]
}
}定義
| 名前 | 説明 |
|---|---|
|
Attribute |
アクセス許可を評価する属性の名前を指定します。 AttributeName は、 |
|
Column |
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。 |
|
Column |
ColumnConstraint は、ユーザーがテーブル内の列に対して持つ権限と可視性を決定する制約を示します。 |
|
Column |
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。 |
| Constraints |
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。 |
|
Data |
単一ロール操作に使用される基本データ アクセス ロール オブジェクト (ID は含まれません)。 スコープ付きデータに対して許可されるアクションを定義するアクセス許可とアクセス許可スコープのセットを表します。 |
|
Decision |
要求されたアクションに一致するルールを指定します。 リソースに対して特定のアクション (読み取りなど) を実行する権限をユーザーまたはエンティティに付与するかどうかを決定する効果 (許可) とアクセス許可が含まれます。 アクセス許可は、適用するルールの要求されたアクションと一致する必要がある、属性によって定義される一連のスコープです。 |
| Effect |
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は |
|
Error |
エラー関連のリソース詳細オブジェクト。 |
|
Error |
エラー応答。 |
|
Error |
エラー応答の詳細。 |
|
Fabric |
ファブリック項目メンバー。 |
|
Item |
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。 |
| Members |
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。 |
|
Microsoft |
ロールに割り当てられている Microsoft Entra ID メンバー。 |
|
Object |
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。 |
|
Permission |
リソースへのアクセスのスコープとレベルを決定する属性 (プロパティ) のセットを定義します。
|
|
Row |
RowConstraint は、ユーザーが表示できるテーブル内の行を決定する制約を示します。 RowConstraints で定義されたロールは、T-SQL を使用して、テーブル内のデータをフィルター処理する述語を定義します。 述語の条件を満たしていない行はフィルターで除外され、元の行のサブセットが残ります。 RowConstraints を使用して、T-SQL を使用して RLS の動的および複数テーブルのフレーバーを指定することもできます。 |
AttributeName
アクセス許可を評価する属性の名前を指定します。 AttributeName は、Path または Actionできます。 attributeName 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Path |
属性名パス |
| Action |
属性名アクション |
ColumnAction
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Read |
ColumnAction 値 Read |
ColumnConstraint
ColumnConstraint は、ユーザーがテーブル内の列に対して持つ権限と可視性を決定する制約を示します。
| 名前 | 型 | 説明 |
|---|---|---|
| columnAction |
columnNames に適用されるアクションの配列。 これにより、ユーザーが列に対して実行できるアクションが決まります。 使用できる値は、 Read です。 columnAction 型は、時間の経過と同時に追加される場合があります。 |
|
| columnEffect |
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。 |
|
| columnNames |
string[] |
大文字と小文字を区別する列名の配列。 各値は、 |
| tablePath |
string |
列制約が適用されるテーブルを指定する相対ファイル パス。 これは、 |
ColumnEffect
columnNames に与えられる効果。 許可される値は Permit のみです。 columnEffect 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Permit |
ColumnEffect 型の Permit |
Constraints
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。
| 名前 | 型 | 説明 |
|---|---|---|
| columns |
データ アクセス ロールの 1 つ以上のテーブルに適用される列制約の配列。 |
|
| rows |
データ アクセス ロールの 1 つ以上のテーブルに適用される行制約の配列。 |
DataAccessRoleBase
単一ロール操作に使用される基本データ アクセス ロール オブジェクト (ID は含まれません)。 スコープ付きデータに対して許可されるアクションを定義するアクセス許可とアクセス許可スコープのセットを表します。
| 名前 | 型 | 説明 |
|---|---|---|
| decisionRules |
データ アクセス ロールを構成するアクセス許可の配列。 |
|
| members |
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。 |
|
| name |
string |
データ アクセス ロールの名前。 |
DecisionRule
要求されたアクションに一致するルールを指定します。 リソースに対して特定のアクション (読み取りなど) を実行する権限をユーザーまたはエンティティに付与するかどうかを決定する効果 (許可) とアクセス許可が含まれます。 アクセス許可は、適用するルールの要求されたアクションと一致する必要がある、属性によって定義される一連のスコープです。
| 名前 | 型 | 説明 |
|---|---|---|
| constraints |
このロールの一部としてテーブルに適用される行レベルまたは列レベルのセキュリティなどの制約。 含まれていない場合、ロール内のどのテーブルにも制約は適用されません。 |
|
| effect |
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は |
|
| permission |
|
Effect
ロールがデータ リソースへのアクセスに与える影響。 現在、サポートされている効果の種類は Permitのみです。この種類では、リソースへのアクセスが許可されます。 追加の効果の種類は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Permit |
効果の種類の許可 |
ErrorRelatedResource
エラー関連のリソース詳細オブジェクト。
| 名前 | 型 | 説明 |
|---|---|---|
| resourceId |
string |
エラーに関係するリソース ID。 |
| resourceType |
string |
エラーに関係するリソースの種類。 |
ErrorResponse
エラー応答。
| 名前 | 型 | 説明 |
|---|---|---|
| errorCode |
string |
エラー状態に関する情報を提供し、サービスとそのユーザー間の標準化された通信を可能にする特定の識別子。 |
| message |
string |
エラーの人間が判読できる表現。 |
| moreDetails |
その他のエラーの詳細の一覧。 |
|
| relatedResource |
エラー関連のリソースの詳細。 |
|
| requestId |
string (uuid) |
エラーに関連付けられている要求の ID。 |
ErrorResponseDetails
エラー応答の詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| errorCode |
string |
エラー状態に関する情報を提供し、サービスとそのユーザー間の標準化された通信を可能にする特定の識別子。 |
| message |
string |
エラーの人間が判読できる表現。 |
| relatedResource |
エラー関連のリソースの詳細。 |
FabricItemMember
ファブリック項目メンバー。
| 名前 | 型 | 説明 |
|---|---|---|
| itemAccess |
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。 |
|
| sourcePath |
string pattern: ^[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?/[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?$ |
指定した項目へのアクセス権を持つ Fabric 項目へのパス。 |
ItemAccess
Fabric ユーザーがロール メンバーに自動的に含める必要があるアクセス許可を指定するリスト。 追加の itemAccess 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Read |
アイテム アクセス読み取り。 |
| Write |
アイテム アクセス書き込み。 |
| Reshare |
アイテム アクセスの再共有。 |
| Explore |
アイテム アクセスの探索。 |
| Execute |
アイテム アクセス実行。 |
| ReadAll |
Item Access ReadAll。 |
Members
さまざまなメンバー型の配列としてロールのメンバーを含む members オブジェクト。
| 名前 | 型 | 説明 |
|---|---|---|
| fabricItemMembers |
Microsoft Fabric で特定のアクセス許可が設定されているメンバーの一覧。 そのアクセス許可セットを持つすべてのメンバーは、このデータ アクセス ロールのメンバーとして追加されます。 |
|
| microsoftEntraMembers |
Microsoft Entra ID メンバーの一覧。 |
MicrosoftEntraMember
ロールに割り当てられている Microsoft Entra ID メンバー。
| 名前 | 型 | 説明 |
|---|---|---|
| objectId |
string (uuid) |
オブジェクト ID。 |
| objectType |
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。 |
|
| tenantId |
string (uuid) |
テナント ID。 |
ObjectType
Microsoft Entra ID オブジェクトの型。 追加の objectType 型は、時間の経過と同時に追加される場合があります。
| 値 | 説明 |
|---|---|
| Group |
属性名グループ |
| User |
属性名 ユーザー |
| ServicePrincipal |
属性名 ServicePrincipal |
| ManagedIdentity |
属性名 ManagedIdentity |
PermissionScope
リソースへのアクセスのスコープとレベルを決定する属性 (プロパティ) のセットを定義します。
attributeName プロパティが Pathに設定されている場合、attributeValueIncludedIn プロパティはアクセスするリソースの場所 ("Tables/Table1" など) を指定する必要があります。
attributeName プロパティが Actionに設定されている場合、attributeValueIncludedIn プロパティは、許可するアクセスの種類 (Readなど) を指定する必要があります。
| 名前 | 型 | 説明 |
|---|---|---|
| attributeName |
アクセス許可を評価する属性の名前を指定します。 AttributeName は、 |
|
| attributeValueIncludedIn |
string[] |
リソースへのスコープとアクセス レベルを定義する |
RowConstraint
RowConstraint は、ユーザーが表示できるテーブル内の行を決定する制約を示します。 RowConstraints で定義されたロールは、T-SQL を使用して、テーブル内のデータをフィルター処理する述語を定義します。 述語の条件を満たしていない行はフィルターで除外され、元の行のサブセットが残ります。 RowConstraints を使用して、T-SQL を使用して RLS の動的および複数テーブルのフレーバーを指定することもできます。
| 名前 | 型 | 説明 |
|---|---|---|
| tablePath |
string |
行制約が適用されるテーブルを指定する相対ファイル パス。 これは、 |
| value |
string |
ロール メンバーが表示できる行を評価するために使用される T-SQL 式。 述語として使用できるのは、T-SQL のサブセットだけです。 |