OneLake ショートカットのセキュリティ

OneLake のショートカットは、OneLake 自体の内部でも、Azure Data Lake Storage (ADLS) などの外部システムでも、さまざまなストレージ アカウントに存在するデータへのポインターとして機能します。 この記事では、ショートカットを作成し、それらを使用してデータにアクセスするために必要なアクセス許可について説明します。

ショートカットのコンポーネントを明確にするために、このドキュメントでは次の条件を使用します:

• ターゲット パス: ショートカットが向いている場所。
• ショートカット パス: ショートカットが表示される場所。

ショートカットの作成および削除

ショートカットを作成するには、ユーザーは、ショートカットが作成されるファブリック アイテムに対する書き込み権限を持っている必要があります。 さらに、ユーザーには、ショートカットが指しているデータへの読み取りアクセスが必要です。 外部ソースへのショートカットには、外部システム内で、特定のアクセス許可が必要となる場合があります。 「ショートカットとは何か?」記事にはショートカットの種類と必要なアクセス許可の完全なリストが含まれます。

¹ OneLake データ アクセス ロールが有効になっている場合、ユーザーはターゲット パスへのアクセスを許可するロールに属している必要があります。

ショートカットへのアクセス

ショートカットのアクセス許可は、ショートカット パスとターゲット パスのアクセス許可の組み合わせによって制御されます。 ユーザーがショートカットにアクセスすると、2 つの場所の最も制限の厳しいアクセス許可が適用されます。 そのため、レイクハウスで読み取り/書き込みアクセス許可を持っているが、ターゲット　パスで読み取りアクセス許可のみを持つユーザーは、ターゲット パスへの書き込みを許可されません。 同様に、レイクハウスで読み取りアクセス許可のみを持っているが、ターゲット パスで読み取り/書き込みアクセス許可を持つユーザーも、ターゲット パスへの書き込みはできません。

各ショートカット アクションに対するショートカット関連のアクセス許可を次の表に示します。

¹ OneLake データ アクセス ロールが有効になっている場合、ユーザーはデータへのアクセスを許可するロールに属している必要があります。

OneLake データ アクセス ロール

OneLake データ アクセス ロール は、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できる新機能です。 Fabric アイテム内の特定のフォルダーに読み取りアクセス権を付与し、ユーザーまたはグループに割り当てるセキュリティ ロールを定義できます。 アクセス許可によって、ユーザーが Lakehouse UX、ノートブック、または OneLake API を使用してデータのレイク ビューにアクセスするときに表示されるフォルダーが決まります。 プレビュー機能が有効になっているアイテムの場合、OneLake データ アクセス ロールによって、ショートカットへのユーザーのアクセス権も決定されます。

管理者、メンバー、および共同作成者のロールのユーザーは、OneLake データ アクセス ロールが定義されているかどうかにかかわらず、ショートカットからデータを読み取るフル アクセス権を持ちます。 ただし、ワークスペース ロールで言及したショートカットのショートカット パスとターゲット パスの両方にアクセスする必要があります。

ビューアー ロール内のユーザー、またはユーザーと直接共有されているレイクハウスを持つユーザーは、ユーザーが OneLake データ アクセス ロールを介してアクセスできるかどうかに基づいてアクセスが制限されます。 ショートカット を使用したアクセス制御モデルの詳細については、「OneLake のデータ アクセス制御モデル」を参照してください。

関連するコンテンツ

• ショートカットとは何か?
• OneLake ショートカットを作成する
• OneLake ショートカット REST API を使用する
• OneLake のデータ アクセス制御モデル。