OneLake Data Access Security - Get Data Access Role

Usługa:

Core

Wersja API:

v1

Zwraca szczegóły roli dostępu do danych dla danej nazwy roli.

Uwaga / Notatka

Ten interfejs API jest częścią wersji zapoznawczej i jest dostarczany tylko do celów ewaluacyjnych i programistycznych. Może ona ulec zmianie na podstawie opinii i nie jest zalecana do użytku produkcyjnego.

Podczas wywoływania tego interfejsu API wywołujące muszą określić true jako wartość parametru previewzapytania .

Permissions

Obiekt wywołujący musi mieć rolę członka lub wyższą w obszarze roboczym.

Wymagane zakresy delegowane

OneLake.Read.All lub OneLake.ReadWrite.All

Tożsamości obsługiwane przez Microsoft Entra

To API obsługuje tożsamości Microsoft wymienione w tej sekcji.

Tożsamość	Support
User	Tak
Główne usługi i Tożsamości zarządzane	Tak

Interfejs

GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/items/{itemId}/dataAccessRoles/{roleName}

Parametry URI

Nazwa	W	Wymagane	Typ	Opis
itemId	path	True	string (uuid)	Identyfikator elementu sieć szkieletowa do pobrania roli.
roleName	path	True	string	Nazwa roli do pobrania.
workspaceId	path	True	string (uuid)	Identyfikator przestrzeni roboczej.

Nagłówek żądania

Nazwa	Wymagane	Typ	Opis
If-Match		string	Wartość ETag. Element ETag musi być określony w cudzysłowie. Jeśli zostanie podana wartość , wywołanie powiedzie się tylko wtedy, gdy element ETag zasobu jest zgodny z podanym elementem ETag.
If-None-Match		string	Wartość ETag. Element ETag musi być określony w cudzysłowie. Jeśli zostanie podana wartość , wywołanie powiedzie się tylko wtedy, gdy element ETag zasobu nie jest zgodny z podanym elementem ETag.

Odpowiedzi

Nazwa	Typ	Opis
200 OK	DataAccessRoleBase	Żądanie zostało ukończone pomyślnie. Nagłówki ETag: string
Other Status Codes	ErrorResponse	Typowe kody błędów: ItemNotFound — wskazuje, że serwer nie może odnaleźć żądanego elementu. RoleNotFound — wskazuje, że określona rola nie została znaleziona. Warunek wstępnyFailed — wskazuje, że bieżący zasób ETag nie jest zgodny z wartością określoną w nagłówku If-Match.

Przykłady

Get data access role example

Przykładowa prośba

HTTP

GET https://api.fabric.microsoft.com/v1/workspaces/cfafbeb1-8037-4d0c-896e-a46fb27ff222/items/25bac802-080d-4f73-8a42-1b406eb1fceb/dataAccessRoles/DefaultReader

Przykładowa odpowiedź

Kod statusu:

200

ETag: 33a64df551425fcc55e4d42a148795d9f25f89d4

{
  "name": "DefaultReader",
  "decisionRules": [
    {
      "effect": "Permit",
      "permission": [
        {
          "attributeName": "Path",
          "attributeValueIncludedIn": [
            "Tables/schema1",
            "Tables/schema2/TableB"
          ]
        },
        {
          "attributeName": "Action",
          "attributeValueIncludedIn": [
            "Read",
            "ReadWrite"
          ]
        }
      ],
      "constraints": {
        "columns": [
          {
            "tablePath": "Tables/schema1/TableB",
            "columnNames": [
              "*"
            ],
            "columnEffect": "Permit",
            "columnAction": [
              "Read"
            ]
          }
        ],
        "rows": [
          {
            "tablePath": "Tables/schema1/TableC",
            "value": "select * from [schema1].[TableC] where name = 'Aaron' AND country = 'USA'"
          }
        ]
      }
    }
  ],
  "members": {
    "fabricItemMembers": [
      {
        "sourcePath": "cfafbeb1-8037-4d0c-896e-a46fb27ff222/25bac802-080d-4f73-8a42-1b406eb1fceb",
        "itemAccess": [
          "ReadAll"
        ]
      }
    ],
    "microsoftEntraMembers": [
      {
        "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "objectId": "EAF3B3B8-524A-4EC6-A96F-3340748DF869"
      }
    ]
  }
}

Definicje

Nazwa	Opis
AttributeName	Określa nazwę atrybutu ocenianego pod kątem uprawnień dostępu. AtrybutName może być Path lub Action. Dodatkowe typy attributeName można dodawać w czasie.
ColumnAction	Tablica akcji zastosowanych do kolumny columnNames. Określa, które akcje użytkownik będzie mógł wykonywać w kolumnach. Dozwolone wartości to: Odczyt. Dodatkowe typy columnAction mogą być dodawane w czasie.
ColumnConstraint	KolumnaConstraint wskazuje ograniczenie określające uprawnienia i widoczność, które użytkownik ma w kolumnach w tabeli.
ColumnEffect	Efekt nadany kolumnom columnNames. Jedyną dozwoloną wartością jest Zezwalanie. Dodatkowe typy columnEffect mogą być dodawane w czasie.
Constraints	Wszelkie ograniczenia, takie jak zabezpieczenia na poziomie wiersza lub kolumny, które są stosowane do tabel w ramach tej roli. Jeśli nie zostaną uwzględnione, żadne ograniczenia nie mają zastosowania do żadnych tabel w roli.
DataAccessRoleBase	Podstawowy obiekt roli dostępu do danych używany na potrzeby operacji z jedną rolą (nie zawiera identyfikatora). Reprezentuje zestaw uprawnień i zakresów uprawnień, które definiują dozwolone akcje dla danych o określonym zakresie.
DecisionRule	Określa regułę dopasowania żądanej akcji. Zawiera efekt (Zezwól) i Uprawnienie, które określają, czy użytkownik lub jednostka jest autoryzowana do wykonania konkretnej akcji (np. odczytu) na zasobie. Uprawnienie to zestaw zakresów zdefiniowanych przez atrybuty, które muszą być zgodne z żądaną akcją, aby reguła została zastosowana.
Effect	Wpływ, jaki rola ma na dostęp do zasobu danych. Obecnie jedynym obsługiwanym typem efektu jest Permit, który udziela dostępu do zasobu. Dodatkowe typy efektów mogą być dodawane w czasie.
ErrorRelatedResource	Obiekt szczegółów zasobu powiązanego z błędem.
ErrorResponse	Odpowiedź na błąd.
ErrorResponseDetails	Szczegóły odpowiedzi na błąd.
FabricItemMember	Składowa elementu sieci szkieletowej.
ItemAccess	Lista określająca uprawnienia dostępu dla użytkownika sieci szkieletowej, które mają być automatycznie uwzględniane w członkach roli. Dodatkowe typy itemAccess można dodawać w czasie.
Members	Obiekt członkowski zawierający elementy członkowskie roli jako tablice różnych typów składowych.
MicrosoftEntraMember	Członek microsoft Entra ID przypisany do roli.
ObjectType	Typ obiektu Microsoft Entra ID. Dodatkowe typy objectType można dodawać w czasie.
PermissionScope	Definiuje zestaw atrybutów (właściwości), które określają zakres i poziom dostępu do zasobu. Gdy właściwość attributeName jest ustawiona na Path, właściwość attributeValueIncludedIn musi określać lokalizację zasobu, na przykład "Tables/Table1". Gdy właściwość attributeName jest ustawiona na Action, właściwość attributeValueIncludedIn musi określać typ udzielanego dostępu, na przykład Read.
RowConstraint	WierszConstraint wskazuje ograniczenie określające wiersze w tabeli, które użytkownicy mogą zobaczyć. Role zdefiniowane za pomocą ograniczeń wierszy używają języka T-SQL do zdefiniowania predykatu, który filtruje dane w tabeli. Wiersze, które nie spełniają warunków predykatu, są filtrowane, pozostawiając podzbiór oryginalnych wierszy. Ograniczenia wierszy mogą również służyć do określania dynamicznych i wieloplaterowych smaków zabezpieczeń na poziomie wiersza przy użyciu języka T-SQL.

AttributeName

Wyliczenie

Określa nazwę atrybutu ocenianego pod kątem uprawnień dostępu. AtrybutName może być Path lub Action. Dodatkowe typy attributeName można dodawać w czasie.

Wartość	Opis
Path	Ścieżka nazwy atrybutu
Action	Akcja nazwy atrybutu

ColumnAction

Wyliczenie

Tablica akcji zastosowanych do kolumny columnNames. Określa, które akcje użytkownik będzie mógł wykonywać w kolumnach. Dozwolone wartości to: Odczyt. Dodatkowe typy columnAction mogą być dodawane w czasie.

Wartość	Opis
Read	Odczyt wartości ColumnAction

ColumnConstraint

Sprzeciwiać się

KolumnaConstraint wskazuje ograniczenie określające uprawnienia i widoczność, które użytkownik ma w kolumnach w tabeli.

Nazwa	Typ	Opis
columnAction	ColumnAction[]	Tablica akcji zastosowanych do kolumny columnNames. Określa, które akcje użytkownik będzie mógł wykonywać w kolumnach. Dozwolone wartości to: Odczyt. Dodatkowe typy columnAction mogą być dodawane w czasie.
columnEffect	ColumnEffect	Efekt nadany kolumnom columnNames. Jedyną dozwoloną wartością jest Zezwalanie. Dodatkowe typy columnEffect mogą być dodawane w czasie.
columnNames	string[]	Tablica nazw kolumn z uwzględnieniem wielkości liter. Każda wartość to nazwa kolumny z tabeli określonej w pliku tablePath. Użyj tych kolumn z wartościami columnEffect i columnAction. Kolumny, które nie są wymienione, otrzymują wartość domyślną o wartości null. Użyj * polecenia , aby wskazać wszystkie kolumny w tabeli.
tablePath	string	Względna ścieżka pliku określająca, do której tabeli ma zastosowanie ograniczenie kolumny. Powinno to mieć postać /Tables/{optionalSchema}/{tableName}. W tym miejscu można podać tylko jedną wartość, a tabela TableName musi być tabelą zawartą w kolumnie PermissionScope.

ColumnEffect

Wyliczenie

Efekt nadany kolumnom columnNames. Jedyną dozwoloną wartością jest Zezwalanie. Dodatkowe typy columnEffect mogą być dodawane w czasie.

Wartość	Opis
Permit	Typ ColumnEffect Zezwalaj

Constraints

Sprzeciwiać się

Wszelkie ograniczenia, takie jak zabezpieczenia na poziomie wiersza lub kolumny, które są stosowane do tabel w ramach tej roli. Jeśli nie zostaną uwzględnione, żadne ograniczenia nie mają zastosowania do żadnych tabel w roli.

Nazwa	Typ	Opis
columns	ColumnConstraint[]	Tablica ograniczeń kolumn zastosowanych do co najmniej jednej tabeli w roli dostępu do danych.
rows	RowConstraint[]	Tablica ograniczeń wierszy zastosowanych do co najmniej jednej tabeli w roli dostępu do danych.

DataAccessRoleBase

Sprzeciwiać się

Podstawowy obiekt roli dostępu do danych używany na potrzeby operacji z jedną rolą (nie zawiera identyfikatora). Reprezentuje zestaw uprawnień i zakresów uprawnień, które definiują dozwolone akcje dla danych o określonym zakresie.

Nazwa	Typ	Opis
decisionRules	DecisionRule[]	Tablica uprawnień tworzących rolę dostępu do danych.
members	Members	Obiekt członkowski zawierający elementy członkowskie roli jako tablice różnych typów składowych.
name	string	Nazwa roli dostępu do danych.

DecisionRule

Sprzeciwiać się

Określa regułę dopasowania żądanej akcji. Zawiera efekt (Zezwól) i Uprawnienie, które określają, czy użytkownik lub jednostka jest autoryzowana do wykonania konkretnej akcji (np. odczytu) na zasobie. Uprawnienie to zestaw zakresów zdefiniowanych przez atrybuty, które muszą być zgodne z żądaną akcją, aby reguła została zastosowana.

Nazwa	Typ	Opis
constraints	Constraints	Wszelkie ograniczenia, takie jak zabezpieczenia na poziomie wiersza lub kolumny, które są stosowane do tabel w ramach tej roli. Jeśli nie zostaną uwzględnione, żadne ograniczenia nie mają zastosowania do żadnych tabel w roli.
effect	Effect	Wpływ, jaki rola ma na dostęp do zasobu danych. Obecnie jedynym obsługiwanym typem efektu jest Permit, który udziela dostępu do zasobu. Dodatkowe typy efektów mogą być dodawane w czasie.
permission	PermissionScope[]	Właściwość permission to tablica określająca zakres i poziom dostępu dla żądanej akcji. Tablica musi zawierać dokładnie dwa obiekty PermissionScope: Path i Action. scope jest definiowana przy użyciu obiektu PermissionScope z attributeValueIncludedIn określania lokalizacji zasobu, do których uzyskuje się dostęp, lub typu udzielanej akcji. access odnosi się do poziomu przyznanego dostępu, takiego jak Read.

Effect

Wyliczenie

Wpływ, jaki rola ma na dostęp do zasobu danych. Obecnie jedynym obsługiwanym typem efektu jest Permit, który udziela dostępu do zasobu. Dodatkowe typy efektów mogą być dodawane w czasie.

Wartość	Opis
Permit	typ efektu Zezwalaj

ErrorRelatedResource

Sprzeciwiać się

Obiekt szczegółów zasobu powiązanego z błędem.

Nazwa	Typ	Opis
resourceId	string	Identyfikator zasobu, który jest zaangażowany w błąd.
resourceType	string	Typ zasobu, który jest zaangażowany w błąd.

ErrorResponse

Sprzeciwiać się

Odpowiedź na błąd.

Nazwa	Typ	Opis
errorCode	string	Określony identyfikator, który zawiera informacje o stanie błędu, co pozwala na ustandaryzowaną komunikację między naszą usługą a jej użytkownikami.
message	string	Czytelna reprezentacja błędu przez człowieka.
moreDetails	ErrorResponseDetails[]	Lista dodatkowych szczegółów błędu.
relatedResource	ErrorRelatedResource	Szczegóły zasobu powiązanego z błędem.
requestId	string	Identyfikator żądania skojarzonego z błędem.

ErrorResponseDetails

Sprzeciwiać się

Szczegóły odpowiedzi na błąd.

Nazwa	Typ	Opis
errorCode	string	Określony identyfikator, który zawiera informacje o stanie błędu, co pozwala na ustandaryzowaną komunikację między naszą usługą a jej użytkownikami.
message	string	Czytelna reprezentacja błędu przez człowieka.
relatedResource	ErrorRelatedResource	Szczegóły zasobu powiązanego z błędem.

FabricItemMember

Sprzeciwiać się

Składowa elementu sieci szkieletowej.

Nazwa	Typ	Opis
itemAccess	ItemAccess[]	Lista określająca uprawnienia dostępu dla użytkownika sieci szkieletowej, które mają być automatycznie uwzględniane w członkach roli. Dodatkowe typy itemAccess można dodawać w czasie.
sourcePath	string pattern: ^[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?/[{]?[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}[}]?$	Ścieżka do elementu sieci szkieletowej z określonym dostępem do elementu.

ItemAccess

Wyliczenie

Lista określająca uprawnienia dostępu dla użytkownika sieci szkieletowej, które mają być automatycznie uwzględniane w członkach roli. Dodatkowe typy itemAccess można dodawać w czasie.

Wartość	Opis
Read	Odczyt dostępu do elementów.
Write	Zapis dostępu do elementu.
Reshare	Udostępnianie dalej dostępu do elementów.
Explore	Eksplorowanie dostępu do elementów.
Execute	Wykonywanie dostępu do elementów.
ReadAll	Dostęp do elementu ReadAll.

Members

Sprzeciwiać się

Obiekt członkowski zawierający elementy członkowskie roli jako tablice różnych typów składowych.

Nazwa	Typ	Opis
fabricItemMembers	FabricItemMember[]	Lista członków, którzy mają określone uprawnienia ustawione w usłudze Microsoft Fabric. Wszyscy członkowie z tym zestawem uprawnień są dodawani jako członkowie tej roli dostępu do danych.
microsoftEntraMembers	MicrosoftEntraMember[]	Lista członków identyfikatora Entra firmy Microsoft.

MicrosoftEntraMember

Sprzeciwiać się

Członek microsoft Entra ID przypisany do roli.

Nazwa	Typ	Opis
objectId	string (uuid)	Identyfikator obiektu.
objectType	ObjectType	Typ obiektu Microsoft Entra ID. Dodatkowe typy objectType można dodawać w czasie.
tenantId	string (uuid)	Identyfikator dzierżawy.

ObjectType

Wyliczenie

Typ obiektu Microsoft Entra ID. Dodatkowe typy objectType można dodawać w czasie.

Wartość	Opis
Group	Grupa nazw atrybutów
User	Nazwa atrybutu Użytkownik
ServicePrincipal	Nazwa atrybutu ServicePrincipal
ManagedIdentity	Nazwa atrybutu ManagedIdentity

PermissionScope

Sprzeciwiać się

Definiuje zestaw atrybutów (właściwości), które określają zakres i poziom dostępu do zasobu. Gdy właściwość attributeName jest ustawiona na Path, właściwość attributeValueIncludedIn musi określać lokalizację zasobu, na przykład "Tables/Table1". Gdy właściwość attributeName jest ustawiona na Action, właściwość attributeValueIncludedIn musi określać typ udzielanego dostępu, na przykład Read.

Nazwa	Typ	Opis
attributeName	AttributeName	Określa nazwę atrybutu ocenianego pod kątem uprawnień dostępu. AtrybutName może być Path lub Action. Dodatkowe typy attributeName można dodawać w czasie.
attributeValueIncludedIn	string[]	Określa listę wartości dla attributeName, aby zdefiniować zakres i poziom dostępu do zasobu. Gdy attributeName jest Path, attributeValueIncludedIn musi określić lokalizację zasobu, do których jest uzyskiwany dostęp, na przykład "Tabele/Tabela1". Gdy attributeName jest Action, attributeValueIncludedIn musi określić typ przyznanego dostępu, na przykład Read.

RowConstraint

Sprzeciwiać się

WierszConstraint wskazuje ograniczenie określające wiersze w tabeli, które użytkownicy mogą zobaczyć. Role zdefiniowane za pomocą ograniczeń wierszy używają języka T-SQL do zdefiniowania predykatu, który filtruje dane w tabeli. Wiersze, które nie spełniają warunków predykatu, są filtrowane, pozostawiając podzbiór oryginalnych wierszy. Ograniczenia wierszy mogą również służyć do określania dynamicznych i wieloplaterowych smaków zabezpieczeń na poziomie wiersza przy użyciu języka T-SQL.

Nazwa	Typ	Opis
tablePath	string	Względna ścieżka pliku określająca, do której tabeli ma zastosowanie ograniczenie wiersza. Powinno to mieć postać /Tables/{optionalSchema}/{tableName}. W tym miejscu można podać tylko jedną wartość, a tabela TableName musi być tabelą zawartą w kolumnie PermissionScope.
value	string	Wyrażenie języka T-SQL używane do oceny wierszy, które mogą zobaczyć członkowie roli. Jako predykat można używać tylko podzestawu języka T-SQL.