Microsoft Fabric の Cosmos DB は、認証と承認を管理するために、主に Microsoft Entra ID 認証と組み込みのデータ プレーン ロールに依存しています。 このガイドでは、Fabric データベースの Cosmos DB の組み込みデータ プレーン ロールを構成します。 Microsoft Fabric のアクセス制御でワークスペース ロールを使用して、Cosmos DB へのアクセスを構成できます。
2 つの異なるレベルのアクセス制御が連携します。 たとえば、データベースに 接続 するには、少なくとも Fabric データベース項目に対する 読み取り アクセス許可がユーザーに付与されている必要があります。
アクセス制御
Fabric では、Fabric ワークスペース ロールを使用してアクセスを制御します。 ファブリック ワークスペース ロールは、Microsoft Fabric ワークスペース内で何ができるかを誰ができるかを管理します。
まず、Fabric の Cosmos DB には、明確に定義された 3 つのロールを持つ項目レベルのアクセス許可があります。
| 能力 | |
|---|---|
| 読み取り | データベースへの接続、アイテムの読み取り、アイテムのクエリ、変更フィードの読み取り、コンテナーの一覧表示、スループットの読み取り、メタデータの読み取り |
| ReadAll | 読み取りと同じ機能、および OneLake ファイルからミラー化されたデータを直接読み取る機能 |
| 書き込み | ReadAll と同じ機能を備え、さらにコンテナーの作成、コンテナーの削除、項目の作成、項目の削除、項目の変更 |
Fabric のワークスペース ロールは、Fabric の Cosmos DB 内のアイテムに対する次の項目レベルのアクセス許可に変換されます。
| 管理者 | メンバー | 投稿者 | [ビューアー] | |
|---|---|---|---|---|
| 読み取り | ✅ はい | ✅ はい | ✅ はい | ✅ はい |
| ReadAll | ✅ はい | ✅ はい | ✅ はい | ✅ はい |
| 書き込み | ✅ はい | ✅ はい | ✅ はい | ✖️ いいえ |
別の観点として、次の表は、ユーザーが Cosmos DB データベースで必要とする一般的な機能をキャプチャし、適切なワークスペース ロールにマップします。
| 管理者 | メンバー | 投稿者 | [ビューアー] | |
|---|---|---|---|---|
| 完全な管理アクセスと完全なデータ アクセス | ✅ はい | ✅ はい | ✅ はい | ✖️ いいえ |
| データとメタデータの読み取り | ✅ はい | ✅ はい | ✅ はい | ✅ はい |
| データベースに接続する | ✅ はい | ✅ はい | ✅ はい | ✅ はい |
ヒント
ワークスペース内でのロールの動作の詳細については、「ワークスペース のロール」を参照してください。 ワークスペース ロールの割り当ての詳細については、「 ユーザーにワークスペースへのアクセス権を付与する」を参照してください。
Azure へのマッピング
Azure Cosmos DB for NoSQL を使用した経験がある場合は、Fabric 項目の Cosmos DB のアクセス許可を、そのサービスの組み込みデータ プレーン ロールにマップできます。
Cosmos DB データベース項目のアクセス許可は、次の Azure Cosmos DB データベース スコープ データ プレーン ロールの割り当てに相当します。
| Azure Cosmos DB for NoSQL ロール | Scope | |
|---|---|---|
| 読み取り | Cosmos DB Built-in Data Reader |
データベース |
| ReadAll | Cosmos DB Built-in Data Reader |
データベース |
| 書き込み | Cosmos DB Built-in Data Contributor |
データベース |
または、必要に応じて、Azure のロールベースアクセス制御の権限にマップできます。
| Azure Cosmos DB for NoSQL ロール | Scope | |
|---|---|---|
| 読み取り | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
データベース |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
データベース |
| 書き込み | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
データベース |
注
Azure Cosmos DB for NoSQL ロールの詳細については、 Azure Cosmos DB for NoSQL データ プレーンのセキュリティに関するページを参照してください。