Die Begrenzung und Kontrolle der Datenzugriffe für Datenbankbenutzer sollte man nicht in eine API verlagern, wenn man sie direkt im DBMS verankern kann.

Wenn es um das pure durchreichen von Daten geht, stimmt das natürlich.
Eine API macht erst dann wirklich Sinn, wenn die Daten vorher noch validiert und aufbereitet werden.

Bei Raw-Daten wäre eine API nur ein unötiger Flaschenhals.