Bagikan melalui

Apa yang ANY FILE dapat diamankan?

  • Artikel

Hak istimewa pada ANY FILE jaminan memberikan akses langsung utama yang berhak ke sistem file dan data dalam penyimpanan objek cloud, terlepas dari ACL tabel Apache Hive yang diatur pada objek database seperti skema atau tabel.

Hak istimewa untuk ANY FILE

Anda dapat memberikan MODIFY atau SELECT memberikan hak istimewa pada ANY FILE yang dapat diamankan ke perwakilan layanan, pengguna, atau grup apa pun menggunakan daftar kontrol akses tabel Apache Hive (ACL) warisan. Semua admin ruang kerja memiliki MODIFY hak istimewa secara ANY FILE default. Setiap pengguna dengan MODIFY hak istimewa dapat memberikan atau mencabut hak istimewa pada ANY FILE.

Anda harus memiliki hak istimewa pada yang dapat diamankan ANY FILE saat menggunakan sumber data kustom atau driver JDBC yang tidak termasuk dalam Federasi Lakehouse. Lihat Apa itu Federasi Lakehouse?.

Hak istimewa pada yang dapat diamankan ANY FILE tidak dapat mengambil alih hak istimewa Katalog Unity dan tidak memberikan atau memperluas hak istimewa pada objek data yang diatur oleh Katalog Unity. Beberapa driver dan pustaka yang diinstal khusus mungkin membahayakan isolasi pengguna dengan menyimpan data semua pengguna dalam satu direktori sementara umum.

Hak istimewa pada ANY FILE keamanan hanya berlaku saat Anda menggunakan gudang atau kluster SQL dengan mode akses bersama.

ANY FILE menghormati pola akses warisan untuk data dalam penyimpanan objek cloud, termasuk pemasangan dan kredensial penyimpanan yang ditentukan pada tingkat komputasi. Lihat Mengonfigurasi akses ke penyimpanan objek cloud untuk Azure Databricks.

Bagaimana berinteraksi ANY FILE dengan Unity Catalog?

Saat menggunakan kluster bersama yang didukung Unity Catalog atau gudang SQL, hak istimewa pada ANY FILE yang dapat diamankan dievaluasi saat mengakses jalur penyimpanan atau sumber data yang tidak diatur oleh Katalog Unity. Hak istimewa pada ANY FILE keamanan dievaluasi setelah semua hak istimewa terkait Katalog Unity dan berfungsi sebagai fallback untuk jalur penyimpanan dan pustaka konektor yang tidak dikelola dengan Katalog Unity.

Databricks merekomendasikan penggunaan Federasi Lakehouse untuk mengonfigurasi akses baca-saja ke sumber data eksternal yang didukung. Federasi Lakehouse tidak pernah membutuhkan hak istimewa pada ANY FILE yang dapat diamankan. Lihat Apa itu Federasi Lakehouse?.

Volume dan tabel Unity Catalog menyediakan tata kelola penuh untuk data tabular dan nontabular dan tidak memerlukan hak istimewa pada ANY FILE yang dapat diamankan.

Akses ke data apa pun yang diatur oleh Unity Catalog menggunakan URI tidak dapat menggunakan hak istimewa pada ANY FILE yang dapat diamankan. Lihat Menyambungkan ke penyimpanan dan layanan objek cloud menggunakan Katalog Unity.

Anda harus memiliki SELECT hak istimewa pada ANY FILE yang dapat diamankan untuk dibaca menggunakan pola berikut pada kluster bersama yang didukung Katalog Unity:

  • Penyimpanan objek cloud menggunakan URI.
  • Data yang disimpan di akar DBFS atau menggunakan pemasangan DBFS.
  • Sumber data menggunakan pustaka atau driver kustom.
  • Driver JDBC tidak dikonfigurasi dengan Federasi Lakehouse.
  • Sumber data eksternal yang tidak diatur oleh Katalog Unity.
  • Sumber data streaming, kecuali tabel dan volume yang diatur oleh Unity Catalog dan streaming yang menggunakan nama tabel yang terdaftar ke metastore Apache Hive.

Kekhawatiran tentang ANY FILE hak istimewa yang dapat diamankan

Hak istimewa pada ANY FILE ACL tabel Hive warisan yang diamankan pada objek database. Gunakan kebijaksanaan saat Anda memberikan hak istimewa pada ANY FILE yang dapat diamankan, jika Anda belum sepenuhnya memigrasikan semua tabel ke Unity Catalog dan Anda masih mengandalkan ACL tabel Apache Hive warisan untuk mengelola akses ke data.

Hak istimewa yang diberikan pada ANY FILE keamanan tidak pernah melewati tata kelola data Katalog Unity. Namun, pengguna yang memiliki hak istimewa pada yang dapat diamankan ANY FILE memiliki kemampuan yang diperluas untuk mengonfigurasi dan mengakses sumber data yang tidak diatur oleh Katalog Unity.

Batasan untuk ANY FILE

ANY FILE adalah warisan yang dapat diamankan yang tidak dilaporkan dalam skema informasi.