OneLake セキュリティを使用すると、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できます。 Fabric アイテム内の特定のフォルダーに読み取りアクセス権を付与するセキュリティ ロールを定義し、これらのロールをユーザーまたはグループに割り当てることができます。 ロールには、アクセスをさらに制限するために行レベルまたは列レベルのセキュリティを含めることもできます。 OneLake セキュリティアクセス許可によって、Fabric のすべてのエクスペリエンスでユーザーが表示できるデータが決まります。
書き込みおよび再共有のアクセス許可を持つファブリック ユーザー (通常は管理者およびメンバー ワークスペース ユーザー) は、OneLake セキュリティ ロールを作成して、Fabric データ項目内の特定のフォルダーまたはテーブルにのみアクセス権を付与することで開始できます。 アイテム内のデータへのアクセスを許可するには、データ アクセス ロールにユーザーを追加します。 データ アクセス ロールの一部ではないユーザーには、そのアイテムにデータが表示されません。
[前提条件]
OneLake セキュリティを構成するには、ワークスペースの管理者またはメンバーであるか、書き込みと再共有のアクセス許可を持っている必要があります。 ロールの作成とメンバーシップの割り当ては、ロールが保存されるとすぐに有効になるため、ロールにユーザーを追加する前にアクセス権を付与してください。
次の表は、OneLake セキュリティをサポートするデータ項目の概要を示しています。
| ファブリックアイテム | ステータス | サポートされているアクセス許可 |
|---|---|---|
| Lakehouse | プライベート プレビュー | 読み取り、読み取りWrite |
| Azure Databricks ミラー化カタログ | プライベート プレビュー | Read |
オプトインする方法
OneLake セキュリティは現在プライベート プレビュー段階であり、その結果、既定で無効になっています。 プレビュー機能は項目ごとに構成されます。 オプトイン コントロールを使用すると、他の Fabric 項目でプレビューを有効にせずに、1 つの項目でプレビューを試すことができます。
一度有効にすると、プレビュー機能をオフにすることはできません。
- レイクハウスに移動し、[ OneLake セキュリティの管理 (プレビュー)] を選択します。
- 確認ダイアログを確認します。 データ アクセス ロールプレビューは、外部データ共有プレビューと互換性がありません。 変更に問題がない場合は、[ 続行] を選択します。
スムーズなオプトイン エクスペリエンスを確保するために、アイテム内のデータに対する読み取りアクセス許可を持つすべてのユーザーは、 DefaultReader という既定のデータ アクセス ロールを通じて引き続き読み取りアクセス権を持ちます。 仮想化されたロール メンバーシップを使用すると、Lakehouse 内のデータを表示するために必要なアクセス許可 (ReadAll アクセス許可) を持つすべてのユーザーが、この既定のロールのメンバーとして含まれます。 これらのユーザーへのアクセスの制限を開始するには、DefaultReader ロールを削除するか、アクセスするユーザーから ReadAll アクセス許可を削除します。
Important
データ アクセス ロールに含まれるすべてのユーザーが DefaultReader ロールから削除されていることを確認します。 それ以外の場合は、データへのフル アクセスが維持されます。
セキュリティで保護できるデータの種類
OneLake セキュリティ ロールを使用して、アイテム内のすべてのテーブルまたはフォルダーへの OneLake 読み取りアクセスを管理します。 行レベルまたは列レベルのセキュリティを使用して、テーブルへのアクセスをさらに制限できます。 セキュリティ セットは、Fabric のすべてのエンジンからのアクセスに適用されます。 詳細については、データ アクセス制御モデルを参照してください。
ロールを作成する
OneLake セキュリティ ロールを作成するには、次の手順に従います。
セキュリティを定義する Fabric 項目を開きます。
項目メニューから [OneLake セキュリティの管理 (プレビュー)] を選択します。
OneLake セキュリティ (プレビュー) ウィンドウで、[新規] を選択します。
次のガイドラインを満たす新しいロールの名前を指定します。
- ロール名には英数字のみを含めることができます。
- ロール名は文字で始まる必要があります。
- 名前は大文字と小文字が区別されず、一意である必要があります。
- 名前の最大長は 128 文字です。
このロールをこのレイクハウス内のすべてのテーブルとファイルに適用する場合は、[ すべてのデータ ] トグルを選択します。
この選択により、今後追加されるすべてのフォルダーへのアクセスも提供されます。
このロールを選択したテーブルとフォルダーのグループにのみ適用する場合は、[ 選択したデータ ] トグルを選択します。 次に、次の手順を使用して、このロールの承認済みデータを定義します。
[ Browse Lakehouse]\(レイクハウスの参照\) を選択します。 (または、使用しているアイテムに相当するもの)
![データを選択する [browse lakehouse]\(レイクハウスの参照\) オプションを示すスクリーンショット。](media/get-started-data-access-roles/browse-lakehouse.png)
[ テーブル と ファイル] ディレクトリを展開して、Lakehouse 内のデータを表示します。
ロールを適用するテーブルとファイルの横にあるチェック ボックスをオンにします。
[ データの追加] を選択して、選択した項目をロールに追加します。
[ロールにメンバーを追加] ボックスを使用して、ロールに含めるユーザーの名前またはメール アドレスを手動で入力します。 または、[ 詳細な構成 ] を選択し、「 仮想メンバーの割り当て」のガイダンスに従います。
メンバーを手動で追加するには:
- ユーザーの名前またはメール アドレスを入力します。
- 候補リストから正しい名前を選択します。
- チェック アイコンを選択して選択を確定するか、 X アイコンを選択して選択を解除します。
プレビュー ロールの概要を確認します。
- データ プレビューを編集するには、[ Lakehouse の参照 ] を選択し、選択したテーブルとフォルダーを更新します。
- メンバー プレビューからユーザーを削除するには、名前の横にある他のオプション (...) を選択し、[ ロールから削除] を選択します。
[ ロールの作成] を選択し、ロールが正常に発行されたことを示す通知を待ちます。
ロールを編集する
既存の OneLake セキュリティ ロールを編集するには、次の手順に従います。
セキュリティを定義する項目を開きます。
項目メニューから [OneLake セキュリティの管理 (プレビュー)] を選択します。
OneLake セキュリティ (プレビュー) ウィンドウで、編集するロールを選択します。
このアクションにより、ロールの詳細ページが開きます。これには、ロール内のデータとロールのメンバーという 2 つのタブが含まれます。
[ロールのデータ] タブ で情報を 確認します。
このタブには、ロールのメンバーがアクセスできるすべてのデータが表示されます。
[データ] 列には、ロール アクセスの一部であるテーブルまたはフォルダーの名前が表示されます。 スキーマを展開したり折りたたんだりして、下の項目を表示できます。 エントリの上にマウス ポインターを置くと、テーブルまたはフォルダーの完全なパスが表示されます。 ... をポイントすると、行レベルのセキュリティまたは列レベルのセキュリティを構成するためのオプションが表示されます。 行レベルのセキュリティと列レベルのセキュリティ ガイドでは、そのしくみについて詳しく説明します。
[種類] 列には、選択された項目の種類が表示されます。 値は、 スキーマ、 テーブル、または フォルダーのいずれかです。
[ アクセス許可] 列には、各アイテムに対するロールによって付与されるアクセス許可が表示されます。 現在、 読み取り のみがサポートされています。
データ アクセス列は、行レベルまたは列レベルの制限がアイテムに適用されるかどうかを示します。 ロックと水平線を持つアイコンは行レベルのセキュリティが適用されていることを示し、ロックと垂直線を持つアイコンは列レベルのセキュリティが適用されていることを示します。
ロールに含まれるデータを編集するには、[ データの追加] を選択します。
この操作により、テーブルとフォルダーの選択ダイアログが開きます。
テーブルまたはフォルダーをオンまたはオフにして、ロールに対してテーブルまたはフォルダーを追加または削除します。
[ データの追加] を選択して選択内容を確認します。
[ロールのメンバー] タブを選択して、ロールのメンバーを表示します。
[メンバー] 列には、メンバーのプロファイル画像と名前が表示されます。
[種類] 列は、メンバーがユーザーかグループかを示します。
[ 使用して追加] 列は、ユーザーが自分の電子メールを使用してロールのメンバーとして追加されたか、lakehouse アクセス許可グループの一部として含まれているかを示します。 項目のアクセス許可を使用してユーザーを追加する方法の詳細については、「 仮想メンバーの割り当て」を参照してください。
ロールのメンバーを編集するには、[メンバーの 追加] を選択します。
メンバーを手動で追加するには、[ ロールにメンバーを追加 する] テキストボックスに名前または電子メールを入力します。 候補リストから正しい名前を選択します。 次に、チェック アイコンを選択して選択を確定するか、 X アイコンを選択して選択を解除します。
ロールからユーザーを削除するには、名前の横にある他のオプション (...) を選択し、[ ロールから削除] を選択します。
ロール メンバーシップを変更すると、すぐにロールが更新されます。 通知は、変更の成功または失敗を示します。
ロールを削除する
OneLake データ アクセス ロールを削除するには、次の手順に従います。
セキュリティを定義するレイクハウスを開きます。
[Lakehouse] メニューから [ OneLake セキュリティの管理 (プレビュー)] を選択します。
OneLake セキュリティ (プレビュー) ウィンドウで、削除するロールの横にあるチェック ボックスをオンにします。
[ 削除] を選択し、ロールが正常に削除されたことを示す通知を待ちます。
メンバーまたはグループを割り当てる
OneLake セキュリティ ロールでは、ロールにユーザーを追加する 2 つの方法がサポートされています。 主な方法は、[ロールの割り当て] ページの [ユーザーまたはグループの追加] ボックスを使用して、ユーザーまたはグループをロールに直接追加することです。 2 つ目は、 高度な構成 コントロールを使用して、アクセス許可グループを持つ仮想メンバーシップを作成することです。
ロールにユーザーを直接追加すると、ロールの明示的なメンバーとしてユーザーが追加されます。 これらのユーザーは、[ メンバー] リストに自分の名前と画像が表示されます。
仮想メンバーを使用すると、ユーザーの Fabric 項目のアクセス許可 に基づいてロールのメンバーシップを動的に調整できます。 [詳細な構成] を選択し、アクセス許可を選択すると、選択したすべてのアクセス許可を持つすべてのユーザーを、ロールの暗黙的なメンバーとして Fabric ワークスペースに追加します。 たとえば、 ReadAll、Write を選択した場合、アイテムに対する ReadAll および Write アクセス許可を持つ Fabric ワークスペースのすべてのユーザーがロールのメンバーとして含まれます。 アクセス許可グループによって追加されているユーザーを確認するには、[ロールのメンバー] タブの [使用して追加] 列を確認します。これらのメンバーを手動で直接削除することはできません。 アクセス許可グループを介して追加されたメンバーを削除するには、ロールからアクセス許可グループを削除します。
使用するメンバーシップの種類に関係なく、OneLake セキュリティ ロールでは、個々のユーザー、Microsoft Entra グループ、およびセキュリティ プリンシパルの追加がサポートされます。
仮想メンバーを割り当てる
仮想メンバーに使用できるアクセス許可は次のとおりです。
- Read
- Write
- リシェア
- Execute
- すべてを読む
アクセス許可グループを持つユーザーを割り当てるには、次の手順を使用します。
メンバーを割り当てるロールの名前を選択します。
ロールの詳細ページで、[ロールの メンバー ] タブを選択します。
[ メンバーの追加] を選択します。
[ 詳細な構成] を選択します。
![アクセス許可グループを使用してメンバーを追加する [高度な構成] を選択するスクリーンショット。](media/get-started-data-access-roles/members-advanced-configuration.png)
[ アクセス許可グループ ] ボックスで、ユーザーを含める各アクセス許可の横にあるチェック ボックスをオンにします。
各アクセス許可グループには、そのグループに含まれているユーザーの数が表示されます。
複数のアクセス許可グループを選択すると、選択したすべての必要なアクセス許可を持つユーザーが含まれます。
[ 追加] を選択してグループを含め、ロールを保存します。