Microsoft Fabric でデータアクセスをセキュリティで保護する

Microsoft Fabric には、データアクセスを管理するためのマルチレイヤーセキュリティモデルが用意されています。セキュリティは、ワークスペース全体、個々の項目、または各 Fabric エンジンの詳細なアクセス許可を使用して設定できます。この演習では、ワークスペースと項目アクセス制御と OneLake データアクセスロールを使用してデータをセキュリティで保護します。

注: このラボの演習を完了するには、2 人のユーザーが必要です。1 人のユーザーにワークスペース管理者ロールを割り当て、もう 1 人にこのラボを通じたアクセス許可を割り当てる必要があります。ワークスペースにロールを割り当てるには、「ワークスペースへのアクセスを許可する」を参照してください。

このラボの所要時間は約 45 分です。

ワークスペースの作成

Fabric でデータを操作する前に、Fabric 試用版を有効にしてワークスペースを作成してください。

https://app.fabric.microsoft.com/home?experience=fabric の Microsoft Fabric ホームページで、[Synapse Data Warehouse] を選択します。
左側のメニューバーで、 [ワークスペース] を選択します (アイコンは 🗇 に似ています)。
任意の名前で新しいワークスペースを作成し、Fabric 容量を含むライセンスモード (“試用版”、Premium、または Fabric) を選択します。**
開いた新しいワークスペースは空のはずです。

注:ワークスペースを作成すると、自分は自動的にワークスペース管理者ロールのメンバーになります。

データウェアハウスの作成

次に、作成したワークスペースにデータウェアハウスを作成します。

Synapse Data Warehouse ホームページで、サンプルウェアハウス ショートカットを選択して、新しいウェアハウスを任意の名前を付けて作成します。

1 分ほどで、新しいレイクハウスが作成されます。

レイクハウスを作成する

次に、作成したワークスペースにレイクハウスを作成します。

左側のメニューバーで、[ワークスペース] を選択します (アイコンは 🗇 に似ています)。
前に作成したワークスペースを選択します。
ワークスペースで、[+ 新規] ボタンを選択し、[レイクハウス] を選択します。任意の名前で新しいレイクハウスを作成します。

1 分ほどすると、新しいレイクハウスが作成されます。
[サンプルデータで開始] タイルを選択します。 1 分ほどすると、レイクハウスにデータが設定されます。

ワークスペースのアクセス制御を適用する

ワークスペースロールは、ワークスペースとその中のコンテンツへのアクセスを制御するために使用されます。ワークスペースロールは、ユーザーがワークスペース内のすべての項目を表示する必要がある場合、ワークスペースへのアクセスを管理する必要がある場合、または新しい Fabric 項目を作成する必要がある場合、またはワークスペース内のコンテンツを表示、変更、または共有するために特定のアクセス許可が必要な場合に割り当てることができます。

この演習では、ワークスペースロールにユーザーを追加し、アクセス許可を適用し、アクセス許可の各セットが適用されたときに表示可能な内容を確認します。 2 つのブラウザーを開き、別のユーザーとしてサインインします。 1 つのブラウザーではワークスペース管理者になり、もう 1 つのブラウザーでは 2 番目の特権のないユーザーとしてサインインします。 1 つのブラウザーでは、ワークスペース管理者が 2 番目のユーザーのアクセス許可を変更し、2 番目のブラウザーでは、アクセス許可の変更の影響を確認できます。

左側のメニューバーで、 [ワークスペース] を選択します (アイコンは 🗇 に似ています)。
次に、前に作成したワークスペースを選択します。
画面上部で、[アクセスの管理] を選択します。

注: ワークスペースを作成したため、ログに記録されているユーザー (ワークスペース管理者　ロールのメンバー) が表示されます。他のユーザーには、ワークスペースへのアクセス権がまだ割り当てられません。

次に、ワークスペースに対するアクセス許可のないユーザーが表示できる内容を確認します。ブラウザーで InPrivate ウィンドウを開きます。 Microsoft Edge ブラウザーで、右上隅にある省略記号を選択し、[新しい InPrivate ウィンドウ] を選択します。
テストに使用している 2 番目のユーザーとして https://app.fabric.microsoft.com を入力してサインインします。
画面の左下隅で、[Microsoft Fabric] を選択し、[Data Warehouse] を選択します。次に、[ワークスペース] を選択します (アイコンは 🗇 に似ています)。

注: 2 番目のユーザーはワークスペースにアクセスできないため、表示できません。

次に、2 番目のユーザーに ワークスペースビューアー ロールを割り当て、そのロールによってワークスペース内のウェアハウスへの読み取りアクセスが許可されることを確認します。
ワークスペース管理者としてログインしているブラウザー画面に戻ります。作成したワークスペースが表示されているページにまだ残っていることを確認します。ページの下部に、新しいワークスペース項目とサンプルウェアハウスとレイクハウスが表示されている必要があります。
画面右上の [アクセスの管理] を選択します。
[ユーザーまたはグループの追加] を選択します。テストする 2 番目のユーザーのメールアドレスを入力します。 [追加] を選択して、ユーザーをワークスペース ビューアー ロールに割り当てます。
2 番目のユーザーとしてログインしている InPrivate ブラウザー画面に戻り、ブラウザーの [更新] ボタンを選択して、2 番目のユーザーに割り当てられているセッションのアクセス許可を更新します。
左側のメニューバーの [ワークスペース] アイコン (アイコンは &128455; に似ています) を選択し、ワークスペース管理者ユーザーとして作成したワークスペース名を選択します。 2 番目のユーザーには、ワークスペースビューアー ロールが割り当てられているため、ワークスペース内のすべての項目を表示できるようになりました。
ウェアハウスを選択して開きます。
日付テーブルを選択し、行が読み込まれるのを待ちます。ワークスペースビューアーロールのメンバーとして、ウェアハウス内のテーブルに対する CONNECT および ReadData アクセス許可があるため、行を表示できます。ワークスペースビューアーロールに付与されるアクセス許可の詳細については、「ワークスペースのロール」をご覧ください。
次に、左側のメニューバーの [ワークスペース] アイコンを選択し、レイクハウスを選択します。
レイクハウスが開いたら、画面の右上隅にある [レイクハウス] というドロップダウンボックスをクリックし、[SQL 分析エンドポイント] を選択します。
祝日テーブルを選択し、データが表示されるのを待ちます。ユーザーは SQL 分析エンドポイントに対する読み取りアクセス許可を付与するワークスペースビューアーロールのメンバーであるため、レイクハウステーブル内のデータは SQL 分析エンドポイントから読み取り可能です。

項目アクセス制御を適用する

項目のアクセス許可は、ウェアハウス、レイクハウス、セマンティックモデルなど、ワークスペース内の個々の Fabric 項目へのアクセスを制御します。この演習では、前の演習で適用したワークスペースビューアーのアクセス許可を削除してから、ウェアハウスに項目レベルのアクセス許可を適用して、あまり特権のないユーザーが、レイクハウスデータではなく、ウェアハウスデータのみを表示できるようにします。

ワークスペース管理者としてログインしているブラウザー画面に戻ります。左側のナビゲーションウィンドウから [ワークスペース] を選択します。
前に作成したワークスペースを選択して開きます。
画面上部から、[アクセスの管理] を選択します。
2 番目のユーザーの名前の下にある単語ビューアーを選択します。表示されるメニューから [削除] を選択します。
[アクセスの管理] セクションを閉じます。
ワークスペースで、ウェアハウスの名前にカーソルを合わせると、省略記号 (…) が表示されます。省略記号を選択してから、[アクセス許可の管理] を選択します。
[ユーザーの追加] を選択し、2 番目のユーザーの名前を入力します。
表示されるボックスの [追加のアクセス許可] で、[SQL を使用してすべてのデータを読み取る (ReadData)] チェックボックスをオンにし、他のすべてのボックスをオフにします。
[許可] を選択します。
2 番目のユーザーとしてログインしているブラウザー画面に戻ります。ブラウザービューを更新します。
2 番目のユーザーはワークスペースにアクセスできなくなり、代わりにウェアハウスにのみアクセスできます。左側のナビゲーションウィンドウでワークスペースを参照してウェアハウスを見つけることができなくなります。左側のナビゲーションメニューで [OneLake データハブ] を選択して、ウェアハウスを見つけます。
ウェアハウスを選択します。表示された画面で、上部のメニューバーから [開く] を選択します。
ウェアハウスビューが表示されたら、日付テーブルを選択してテーブルデータを表示します。ユーザーがウェアハウスに対する読み取りアクセス許可を持っているため、行は表示可能です。これは、ウェアハウスに対する項目のアクセス許可を使用して ReadData アクセス許可が適用されたためです。

レイクハウスで OneLake データアクセスロールを適用する

OneLake データアクセスロールを使用すると、レイクハウス内にカスタムロールを作成し、指定したフォルダーに読み取りアクセス許可を付与できます。現在、OneLake データアクセスロールはプレビュー機能です。

この演習では、項目のアクセス許可を割り当てて OneLake データアクセスロールを作成し、それらが連携してレイクハウス内のデータへのアクセスを制限する方法を試します。

2 番目のユーザーとしてログインしているブラウザーに留まります。
左側のナビゲーションバーで [OneLake データハブ] を選択します。 2 番目のユーザーには、レイクハウスが表示されません。
ワークスペース管理者としてログインしているブラウザーに戻ります。
左側のメニューで [ワークスペース] を選択して、ワークスペースを選択します。レイクハウスの名前にカーソルを合わせます。
省略記号の右側にある省略記号 (…) を選択し、[アクセス許可の管理] を選択します。
表示された画面で、[ユーザーの追加] を選択します。
2 番目のユーザーをレイクハウスに割り当て、[ユーザーアクセスの許可] ウィンドウのチェックボックスがオフになっていることを確認します。
[許可] を選択します。 2 番目のユーザーは、レイクハウスに対する読み取りアクセス許可を持つようになりました。読み取りアクセス許可では、ユーザーはレイクハウスのメタデータのみを表示できますが、基になるデータは表示できません。次に、これを検証します。
2 番目のユーザーとしてログインしているブラウザーに戻ります。ブラウザーを更新します。
左側のナビゲーションウィンドウで [OneLake データハブ] を選択します。
レイクハウスを選択して開きます。
上部のメニューバーで、[開く] を選択します。読み取りアクセス許可が付与されている場合でも、テーブルまたはファイルを展開できません。次に、OneLake データアクセス許可を使用して、2 番目のユーザーに特定のフォルダーへのアクセス権を付与します。
ワークスペース管理者としてログインしているブラウザーに戻ります。
左側のナビゲーションバーから [ワークスペース] を選択します。
ワークスペース名を選択します。
レイクハウスを選択します。
レイクハウスが開いたら、上部のメニューバーで [OneLake データアクセスの管理] を選択し、[続行] ボタンをクリックして機能を有効にします。
表示されるマネージド OneLake データアクセス (プレビュー) 画面で新しいロールを選択します。
次のスクリーンショットに示すように、祝日フォルダーにのみアクセスできる祝日という新しいロールを作成します。
ロールの作成が完了したら、[ロールの割り当て] を選択し、2 番目のユーザーにロールを割り当て、[追加] を選択して、[保存] を選択します。
2 番目のユーザーとしてログインしているブラウザーに戻ります。レイクハウスが開いているページにまだ居残っていることを確認します。ブラウザーを更新します。
祝日テーブルを選択し、データが読み込まれるのを待ちます。ユーザーがカスタム OneLake データアクセスロールに割り当てられたため、祝日テーブル内のデータにのみユーザーがアクセスできます。ロールは、他のテーブル、ファイル、またはフォルダーのデータではなく、祝日テーブル内のデータのみを表示することを許可します。