OneLake データ アクセス ロールの概要 (プレビュー)
概要
フォルダーの OneLake データ アクセス ロールは、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できる新機能です。 Fabric アイテム内の特定のフォルダーに読み取りアクセス権を付与し、ユーザーまたはグループに割り当てるセキュリティ ロールを定義できます。 アクセス許可によって、ユーザーが Lakehouse UX、ノートブック、または OneLake API を使用してデータのレイク ビューにアクセスするときに表示されるフォルダーが決まります。
管理者、メンバー、または共同作成者のロールの Fabric ユーザーは、レイクハウス内の特定のフォルダーにのみアクセスを許可する OneLake データ アクセス ロールを作成することで開始できます。 レイクハウス内のデータへのアクセスを許可するには、データ アクセス ロールにユーザーを追加します。 データ アクセス ロールの一部ではないユーザーには、そのレイクハウスにデータが表示されません。
Note
データ アクセス ロールのセキュリティは、OneLake に直接アクセスするユーザーにのみ適用されます。 SQL 分析エンドポイント、セマンティック モデル、ウェアハウスなどの Fabric アイテムには、独自のセキュリティ モデルがあり、委任された ID を介して OneLake にアクセスします。 つまり、ユーザーに複数のアイテムへのアクセス権が付与されている場合、ユーザーはワークロードごとに異なるアイテムを表示できます。
オプトインする方法
Fabric のすべてのレイクハウスでは、データ アクセス ロールのプレビュー機能が既定で無効になっています。 プレビュー機能は、レイクハウスごとに構成されます。 オプトイン コントロールを使用すると、単一のレイクハウスでその他のレイクハウスや Fabric アイテムでプレビューを有効にせずにプレビューを試すことができます。
プレビューを有効にするには、ワークスペースの管理者、メンバー、または共同作成者である必要があります。 レイクハウスに移動し、リボンの [OneLake データ アクセスの管理 (プレビュー)] ボタンを選択して、確認ダイアログを開きます。 データ アクセス ロールプレビューは、外部データ共有プレビューと互換性がありません。 変更に問題がない場合は、[続行] を選択します。 ロールの管理 UX が開き、機能が有効になりました。
一度有効にすると、プレビュー機能をオフにすることはできません。
スムーズなオプトイン エクスペリエンスを確保するために、レイクハウス内のデータに対する読み取りアクセス許可を持つすべてのユーザーは引き続き読み取りアクセス権を持ちます。 アクセスの移行は、"DefaultReader" という名前の既定のデータ アクセス ロールを作成することによって行われます。仮想化されたロール メンバーシップを使用すると、レイクハウス内のデータを表示するために必要なアクセス許可 (ReadAll アクセス許可) を持つすべてのユーザーが、この既定のロールのメンバーとして含まれます。 これらのユーザーへのアクセスの制限を開始するには、DefaultReader ロールが削除されていること、またはアクセスしているユーザーから ReadAll アクセス許可が削除されていることを確認します。
重要
データ アクセス ロールに含まれるユーザーが DefaultReader ロールにも含まれていないようにします。 それ以外の場合、データへのフル アクセスが維持されます。
セキュリティで保護できるデータの種類とは
OneLake データ アクセス ロールを使用して、レイクハウス内のフォルダーへの OneLake 読み取りアクセスを管理できます。 読み取りアクセス権は、レイクハウス内の任意のフォルダーに付与でき、フォルダーへのアクセス権は既定の状態です。 データ アクセス ロールによるセキュリティの設定は、OneLake または OneLake 固有の API に対するアクセスにのみ適用されます。 詳細については、「データのアクセス制御モデル」に関する記事を参照してください。
前提条件
レイクハウスのセキュリティを構成するには、ワークスペースの管理者、メンバー、または共同作成者である必要があります。 ロールの作成とメンバーシップの割り当ては、ロールが保存されるとすぐに有効になるため、ロールにユーザーを追加する前にアクセス権を付与してください。
OneLake データ アクセス ロールは、レイクハウス アイテムに対してのみサポートされます。
ロールの作成
- セキュリティを定義するレイクハウスを開きます。
- レイクハウス リボンの右側にある [OneLake データ アクセスの管理 (プレビュー)] を選択します。
- [OneLake データ アクセスの管理] ウィンドウの左上にある [新しいロール] を選択し、目的のロール名を入力します。 ロール名には、次の特定の制限があります。
- ロール名に使用できるのは英数字のみです。
- ロール名の先頭は文字である必要があります。
- 名前は大文字と小文字を区別せず、一意である必要があります。
- 名前の最大長は 128 文字です。
- このロールをこのレイクハウス内のすべてのフォルダーに適用する場合は、[すべてのフォルダー] を選択します。
- この選択には、今後追加されるすべてのフォルダーが含まれます。
- このロールを選択したフォルダーにのみ適用する場合は、[選択したフォルダー] を選択します。
- ロールを適用するフォルダーの横にあるチェック ボックスをオンにします。
- ロールはフォルダーへのアクセス権を付与します。 ユーザーがフォルダーにアクセスできるようにするには、その横にあるチェックボックスをオンにします。 ユーザーにフォルダーが表示されない場合は、チェックボックスをオンにしないでください。
- 左下の [保存] を選択して、ルートを作成します。
- 左上の [ロールの割り当て] を選択して、ロール メンバーシップ ウィンドウを開きます。
- ユーザー、グループ、またはメール アドレスを [メンバーまたはグループの追加] コントロールに追加します。 詳細については、「メンバーまたはグループの割り当て」に関するページを参照してください。
- [追加] を選択して、選択した項目を [割り当てられたユーザー] 一覧に移動します。 [追加] を選択しても、選択内容はまだ保存されません。
- [保存] を選択し、ロールが正常に発行されたことを示す通知を待ちます。
- ペインを閉じるには、右上にある [X] を選択します。
ロールを編集する
- セキュリティを定義するレイクハウスを開きます。
- レイクハウス リボンの右側にある [OneLake データ アクセスの管理 (プレビュー)] を選択します。
- [OneLake データ アクセスの管理] ウィンドウで、編集するロールをポイントして選択します。
- アクセスを許可するフォルダーを変更するには、各フォルダーの横にあるチェックボックスを選択または選択解除します。
- ユーザーを変更するには、[ロールの割り当て] を選択します。 詳細については、「メンバーまたはグループの割り当て」に関するページを参照してください。
- 他のユーザーを追加するには、[ユーザーまたはグループの追加] ボックスに名前を入力し、[追加] を選択します。
- ユーザーを削除するには、「割り当てられたユーザー」の下でそのユーザーの名前を選択し、「削除」を選択します。
- [保存] を選択し、ロールが正常に発行されたことを示す通知を待ちます。
- ペインを閉じるには、右上にある [X] を選択します。
ロールの削除
- セキュリティを定義するレイクハウスを開きます。
- レイクハウス リボンの右側にある [OneLake データ アクセスの管理 (プレビュー)] を選択します。
- [OneLake データ アクセスの管理] ウィンドウで、削除するロールの横にあるチェックボックスをオンにします。
- [削除] を選択し、ロールが正常に削除されたことを示す通知を待ちます。
- ペインを閉じるには、右上にある [X] を選択します。
メンバーまたはグループを割り当てる
OneLake データ アクセス ロールでは、ロールにユーザーを追加する 2 つの異なる方法がサポートされています。 主な方法は、[ロールの割り当て] ページの [ユーザーまたはグループの追加] ボックスを使用して、ユーザーまたはグループをロールに直接追加することです。 2 つ目は、Lakehouse の権限制御に基づいてユーザーを追加する仮想メンバーシップを使用することです。
[ユーザーまたはグループの追加] ボックスを使用してロールにユーザーを直接追加すると、そのユーザーがロールの明示的なメンバーとして追加されます。 これらのユーザーは、[割り当てられたユーザーとグループ] の一覧に名前と画像だけが表示されます。
仮想メンバーを使用すると、ユーザーの Fabric アイテムのアクセス許可に基づいてロールのメンバーシップを動的に調整できます。 [Lakehouse のアクセス許可に基づいてユーザーを追加する] ボックスを選択し、アクセス許可を選択すると、選択したすべてのアクセス許可を持つ Fabric ワークスペース内のすべてのユーザーが、ロールの暗黙的なメンバーとして追加されます。 たとえば、[ReadAll]、[書き込み] を選択すると、レイクハウスに対する ReadAll および書き込みアクセス許可を持つ Fabric ワークスペースのすべてのユーザーがロールのメンバーとして含まれます。 「割り当てられたユーザー」リストの「割り当て元」列の下にある値「Lakehouse 権限」を探すことで、仮想メンバーとして追加されているユーザーを確認できます。 これらのメンバーを手動で削除することはできません。割り当てを解除するには、対応する Fabric アクセス許可を取り消す必要があります。
メンバーシップの種類に関係なく、データ アクセス ロールでは、個々のユーザー、Microsoft Entra グループ、およびセキュリティ プリンシパルの追加がサポートされます。
メンバーの割り当て
[メンバーの割り当て] ページにアクセスするには、次の 2 つの方法があります。
方法 1
- メンバーを割り当てるロールの名前を選択します。
- ロール詳細ページの上部で、[ロールの割り当て] を選択します。
方法 2
- ロールの一覧から、メンバーを割り当てるロールの横にあるチェック ボックスを選択します。
- [割り当て] を選択します。
ユーザーを直接割り当てる
[ロールの割り当て] ページで、[ユーザーまたはグループの追加] ボックスに名前またはメール アドレスを入力して、メンバーまたはグループを追加できます。 そのユーザーを含める結果を選択します。 この手順は、必要な数のユーザーに対して繰り返すことができます。 間違ったユーザーを選択した場合は、エントリの横にある X を選択してボックスから削除するか、[クリア] を選択してすべてのエントリを削除できます。 完了したら、[追加] を選択して、選択したユーザーをアクセス リストに移動します。 リストに追加しても、まだ保存されません。 これらのユーザーが追加されると、ロール メンバーシップ リストのプレビューになり、新しく追加されたユーザーの名前の横にインジケーターが表示されます。
アクセス変更を公開するには、ウィンドウの下部にある [保存] を選択します。
仮想メンバーを割り当てる
仮想メンバーを追加するには、 Lakehouse のアクセス許可に基づいてユーザーを追加する ボックスを使用します。 ボックスを選択してドロップダウン ピッカーを開き、仮想化するファブリックのアクセス許可を選択します。 すべてのアクセス許可がチェックされている場合、ユーザーは仮想化されます。
仮想化に使用できるアクセス許可は次のとおりです。
- Read
- Write
- 再共有する
- 実行
- ReadAll
アクセス許可を選択した後、 追加 を選択して、 割り当てられたユーザー 一覧を変更で更新します。 ユーザーの名前の横には、レイクハウスの権限によって割り当てられたことを示すテキストが表示されます。 これらのユーザーをロールの割り当てから手動で削除することはできません。 代わりに、Lakehouse 権限コントロールに基づいてユーザーを追加するか、Fabric 権限を削除して、対応する権限を削除します。
既知の問題
外部データ共有プレビュー機能は、データ アクセス ロール プレビューと互換性がありません。 レイクハウスでデータ アクセス ロール プレビューを有効にすると、既存の外部データ共有が機能しなくなる可能性があります。