Co je ANY FILE zabezpečitelné?
Oprávnění k ANY FILE zabezpečitelnému objektu udělují oprávněnému objektu zabezpečení přímý přístup k systému souborů a datům v cloudovém úložišti objektů bez ohledu na všechny seznamy ACL tabulky Hive nastavené na databázové objekty, jako jsou schémata nebo tabulky.
Oprávnění pro ANY FILE
K zabezpečitelnému objektu ANY FILE služby, uživateli nebo skupině můžete udělit MODIFY oprávnění SELECT pomocí starších seznamů řízení přístupu k tabulce Hive (ACL). Ve výchozím nastavení mají MODIFY všichni správci pracovního prostoru oprávnění ANY FILE . Každý uživatel s oprávněními MODIFY může udělit nebo odvolat oprávnění .ANY FILE
Při použití vlastních zdrojů dat nebo ovladačů JDBC, které nejsou součástí Lakehouse Federation, musíte mít oprávnění k ANY FILE zabezpečitelnému. Podívejte se , co je Federace Lakehouse?.
Oprávnění k zabezpečitelnému objektu ANY FILE nemohou přepsat oprávnění katalogu Unity a neudělují ani rozbalují oprávnění k datovým objektům, které se řídí katalogem Unity. Některé ovladače a vlastní nainstalované knihovny můžou ohrozit izolaci uživatelů uložením dat všech uživatelů do jednoho společného dočasného adresáře.
Oprávnění k ANY FILE zabezpečitelnému použití platí jenom v případech, kdy používáte služby SQL Warehouse nebo clustery s režimem sdíleného přístupu.
ANY FILE respektuje starší vzory přístupu pro data v cloudovém úložišti objektů, včetně připojení a přihlašovacích údajů úložiště definovaných na úrovni výpočetních prostředků. Viz Konfigurace přístupu ke cloudovému úložišti objektů pro Azure Databricks.
Jak interaguje ANY FILE s katalogem Unity?
Při použití sdílených clusterů nebo skladů SQL s podporou katalogu Unity se při přístupu k cestám k úložišti nebo zdrojům dat, které nejsou řízeny katalogem Unity, vyhodnotí oprávnění ANY FILE k zabezpečitelnému. Oprávnění k ANY FILE zabezpečitelnému stavu se vyhodnocují po všech oprávněních souvisejících s katalogem Unity a slouží jako záložní pro cesty úložiště a knihovny konektorů, které nejsou spravovány pomocí katalogu Unity.
Databricks doporučuje používat Službu Lakehouse Federation ke konfiguraci přístupu jen pro čtení pro podporované externí zdroje dat. Federace Lakehouse nikdy nevyžaduje oprávnění k ANY FILE zabezpečitelnému. Podívejte se , co je Federace Lakehouse?.
Svazky a tabulky katalogu Unity poskytují úplné zásady správného řízení pro tabulková a netabularová data a nevyžadují oprávnění k ANY FILE zabezpečitelnému.
Přístup k jakýmkoli datům, která se řídí katalogem Unity pomocí identifikátorů URI, nemůžou používat oprávnění k ANY FILE zabezpečitelnému. Viz Připojení ke cloudovému úložišti objektů pomocí katalogu Unity.
Abyste mohli číst pomocí následujících vzorů sdílených clusterů s podporou katalogu Unity, musíte mít SELECT oprávnění k ANY FILE zabezpečitelnému čtení:
- Cloudové úložiště objektů pomocí identifikátorů URI
- Data uložená v kořenovém adresáři DBFS nebo pomocí připojení DBFS
- Zdroje dat využívající vlastní knihovny nebo ovladače
- Ovladače JDBC nejsou nakonfigurované se službou Lakehouse Federation.
- Externí zdroje dat, které nejsou řízeny katalogem Unity.
- Streamované zdroje dat s výjimkou tabulek a svazků, které se řídí katalogem Unity a datovými proudy, které používají názvy tabulek zaregistrovaných v metastoru Hive.
Obavy týkající se ANY FILE zabezpečitelných oprávnění
Oprávnění k ANY FILE zabezpečitelné v podstatě obejít starší seznamy ACL tabulky Hive nastavené u databázových objektů. Pokud jste plně migrovali všechny tabulky do katalogu Unity a stále spoléháte na starší seznamy řízení přístupu k datům, použijte při udělování oprávnění k ANY FILE zabezpečitelnému přístupu k datům podle vlastního uvážení.
Oprávnění udělená k ANY FILE zabezpečitelnému systému nikdy neodejdou zásady správného řízení dat katalogu Unity. Uživatelé, kteří mají oprávnění k ANY FILE zabezpečitelnému systému, ale rozšířili možnost konfigurovat a přistupovat ke zdrojům dat, které nejsou řízeny katalogem Unity.
Omezení pro ANY FILE
ANY FILE je starší verze zabezpečitelné, která není hlášena ve schématu informací.