OneLake セキュリティの使い始め方

OneLake セキュリティを使用すると、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できます。 Fabric アイテム内の特定のフォルダーへのアクセスを許可するセキュリティ ロールを定義し、これらのロールをユーザーまたはグループに割り当てることができます。 ロールには、アクセスをさらに制限するために行レベルまたは列レベルのセキュリティを含めることもできます。 OneLake セキュリティアクセス許可によって、Fabric のすべてのエクスペリエンスでユーザーが表示できるデータが決まります。

書き込みおよび再共有のアクセス許可を持つファブリック ユーザー (通常は管理者およびメンバー ワークスペース ユーザー) は、OneLake セキュリティ ロールを作成して、Fabric データ項目内の特定のフォルダーまたはテーブルにのみアクセス権を付与することで開始できます。 アイテム内のデータへのアクセスを許可するには、データ アクセス ロールにユーザーを追加します。 データ アクセス ロールの一部ではないユーザーには、そのアイテムにデータが表示されません。

セキュリティで保護できるデータの種類

OneLake セキュリティ ロールを使用して、サポートされているデータ項目内の任意のテーブルまたはフォルダーへの OneLake 読み取りアクセスを管理します。 行レベルまたは列レベルのセキュリティを使用して、テーブルへのアクセスをさらに制限できます。 セキュリティ セットは、Fabric のすべてのエンジンからのアクセスに適用されます。 詳細については、 データ アクセス制御モデルを参照してください。

特定の項目の種類については、ReadWrite アクセスを構成することもできます。 このアクセス許可を使用すると、ユーザーは、Fabric アイテムを作成または管理するためのアクセス権を付与することなく、指定したテーブルまたはフォルダー上のレイクハウス内のデータを編集できます。 ReadWrite アクセスを使用すると、ユーザーは Spark ノートブック、OneLake ファイル エクスプローラー、または OneLake API を使用して書き込み操作を実行できます。 閲覧者向けの Lakehouse UX を使用した書き込み操作はサポートされていません。

次のデータ項目は、OneLake セキュリティをサポートしています。

既定の設定

新しい項目を作成すると、一連の既定のロールが含まれます。 既定のロールにより、特権ユーザーは、新しく作成されたアイテムのデータを表示して操作できるようになります。 アイテムごとに、そのアイテムのユース ケースに応じて既定のロールが異なりますが、ほとんどの場合、 DefaultReader ロールが含まれます。 仮想化されたロール メンバーシップを使用すると、アイテム内のデータを表示するために必要なアクセス許可 (ReadAll アクセス許可など) を持つすべてのユーザーが、この既定のロールのメンバーとして含まれます。 これらのユーザーへのアクセスを制限するには、DefaultReader ロールを削除するか、アクセスするユーザーから ReadAll アクセス許可を削除します。

対応する SQL 分析エンドポイント を持つ新しく作成された項目は、既定で ユーザーの ID モード で開始されます。 管理者とメンバーは、エンドポイントの設定でいつでもモードを変更できます。

SQL 分析エンドポイントの OneLake セキュリティを有効にする

SQL 分析エンドポイントで OneLake セキュリティを使用する前に、 ユーザーの ID アクセス モードを使用するように構成する必要があります。

1. SQL 分析エンドポイントに移動します。

2. SQL 分析エンドポイント エクスペリエンスで、[ セキュリティ ] タブを選択します。

3. [ データ アクセス モードの表示 (プレビュー)]>[Data アクセス モードの設定] を選択します。

   

4. [テーブルに OneLake セキュリティを使用する (ユーザーの ID アクセス モード)]、[適用] の順に選択します。

   

5. [ 続行] を選択して選択を確定します。

これで、SQL 分析エンドポイントを OneLake セキュリティで使用する準備ができました。

関連コンテンツ

• OneLake セキュリティ ロールの作成と管理
• OneLake セキュリティ データ アクセス制御モデル