Qu’est-ce que le sécurisable ANY FILE ?

  • Article

Les privilèges sur le sécurisable ANY FILE octroient au principal habilité un accès direct au système de fichiers et aux données du stockage d’objets cloud, indépendamment des listes de contrôle d’accès de table Hive définies sur les objets de base de données comme des schémas ou des tables.

Privilèges pour ANY FILE

Vous pouvez accorder le privilège MODIFY ou SELECT sur le sécurisable ANY FILE à n’importe quel principal de service, utilisateur ou groupe en utilisant des listes de contrôle d’accès (ACL) de table Hive héritée. Tous les administrateurs d’espace de travail ont par défaut des privilèges MODIFY sur ANY FILE. Tout utilisateur disposant de privilèges MODIFY peut accorder ou révoquer des privilèges sur ANY FILE.

Vous devez avoir des privilèges sur le sécurisable ANY FILE quand vous utilisez des sources de données personnalisées ou des pilotes JDBC qui ne sont pas inclus dans Lakehouse Federation. Consultez Présentation de Lakehouse Federation.

Le privilège ANY FILE ne peut pas remplacer les privilèges d’Unity Catalog, et n’accorde pas ou n’étend pas les privilèges sur les objets de données gouvernés par Unity Catalog. Certains pilotes et certaines bibliothèques installées sur mesure peuvent compromettre l’isolement des utilisateurs en stockant les données de tous les utilisateurs dans un répertoire temporaire commun.

Les privilèges sur le sécurisable ANY FILEs’appliquent seulement quand vous utilisez des entrepôts SQL ou des clusters en mode d’accès partagé.

ANY FILE respecte les schémas d’accès hérités pour les données dans un stockage d’objets cloud, y compris les montages et les informations d’identification de stockage définis au niveau de l’ordinateur. Consultez Configurer l’accès au stockage d’objets cloud pour Azure Databricks.

Comment ANY FILE interagit avec le Unity Catalog ?

Lors de l’utilisation de clusters partagés ou d’entrepôts SQL activés pour Unity Catalog, les privilèges sur le sécurisable ANY FILE sont évalués lors de l’accès à des chemins de stockage ou à des sources de données qui ne sont pas gouvernés par Unity Catalog. Les privilèges sur le sécurisable ANY FILE sont évalués après tous les privilèges liés à Unity Catalog et servent de solution de repli pour les chemins d’accès de stockage et les bibliothèques de connecteurs qui ne sont pas gérés par Unity Catalog.

Databricks recommande d’utiliser Lakehouse Federation pour configurer l’accès en lecture seule aux sources de données externes prises en charge. Lakehouse Federation ne nécessite jamais de privilèges sur le sécurisable ANY FILE. Consultez Présentation de Lakehouse Federation.

Les volumes et les tables Unity Catalog offrent une gouvernance complète pour les données tabulaires et non tabulaires, et ne nécessitent pas de privilèges sur le sécurisable ANY FILE.

L’accès aux données gouvernées par Unity Catalog avec des URI ne peut pas utiliser de privilèges sur le sécurisable ANY FILE. Consultez Se connecter au stockage d’objets cloud à l’aide de Unity Catalog.

Vous devez disposer de privilèges SELECT sur le sécurisable ANY FILE pour lire en utilisant les modèles suivants sur les clusters partagés activés pour Unity Catalog :

  • Stockage d’objets cloud avec des URI.
  • Données stockées dans la racine DBFS ou avec des montages DBFS.
  • Sources de données avec des bibliothèques ou des pilotes personnalisés.
  • Pilotes JDBC non configurés avec Lakehouse Federation.
  • Sources de données externes qui ne sont pas gouvernées par Unity Catalog.
  • Sources de données de diffusion en continu, à l’exception des tables et des volumes gouvernés par Unity Catalog et des flux qui utilisent des noms de table inscrits auprès du metastore Hive.

Considérations sur les privilèges du sécurisable ANY FILE

Les privilèges sur le sécurisable ANY FILE contournent en fait les listes de contrôle d’accès de table Hive héritée définies sur des objets de base de données. Faites preuve de discernement quand vous accordez des privilèges sur le sécurisable ANY FILE si vous n’avez pas entièrement migré toutes les tables vers Unity Catalog et que vous utilisez encore des listes de contrôle d’accès de table Hive pour gérer l’accès aux données.

Les privilèges accordés sur le sécurisable ANY FILE ne contournent jamais la gouvernance des données d’Unity Catalog. Cependant, les utilisateurs disposant de privilèges sur le sécurisable ANY FILE ont la possibilité supplémentaire de configurer et d’accéder à des sources de données non gouvernées par Unity Catalog.

Limitations pour ANY FILE

ANY FILE est un sécurisable hérité qui n’est pas signalé dans le schéma des informations.