次の方法で共有

セキュリティ保護可能な ANY FILE とは

セキュリティ保護可能な ANY FILE の権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウド オブジェクト ストレージのファイルシステムとデータへの直接アクセスを許可します。

ANY FILE の権限

セキュリティ保護可能な MODIFYSELECT または ANY FILE 権限を、従来の Hive テーブルのアクセス制御リスト (ACL) を使用して、任意のサービス プリンシパル、ユーザー、またはグループに付与できます。 すべてのワークスペース管理者には、既定で MODIFY に対する ANY FILE 権限があります。 MODIFY 権限を持つすべてのユーザーは、ANY FILE の権限を付与または取り消すことができます。

Lakehouse フェデレーションに含まれていないカスタム データ ソースまたは JDBC ドライバーを使用する場合、セキュリティ保護可能な ANY FILE の権限が必要です。 「Lakehouse フェデレーションとは」をご覧ください。

セキュリティ保護可能な ANY FILE の権限は、Unity Catalog 権限をオーバーライドできず、Unity Catalog によって管理されるデータ オブジェクトに権限を付与または拡張しません。 ドライバーやカスタムインストールされているライブラリの中には、すべてのユーザーのデータを共通の一時ディレクトリに保存することで、ユーザの分離を侵害するものがあります。

セキュリティ保護可能な ANY FILE に対する特権は、標準アクセス モード (以前の共有アクセス モード) で SQL ウェアハウスまたはクラスターを使用する場合にのみ適用されます。

ANY FILE では、コンピューティング レベルで定義されたマウントやストレージ資格情報など、クラウド オブジェクト ストレージのデータに対する従来のアクセス パターンが尊重されます。 レガシ パターンを使用した Azure Databricks のクラウド オブジェクト ストレージへのアクセスの構成に関するページを参照してください。

ANY FILE と Unity Catalog を相互作用させる方法

Unity カタログ対応の標準クラスターまたは SQL ウェアハウスを使用する場合、セキュリティ保護可能な ANY FILE に対する特権は、Unity カタログによって 管理されていない ストレージ パスまたはデータ ソースにアクセスするときに評価されます。 セキュリティ保護可能な ANY FILE の権限は、Unity Catalog 関連のすべての権限の後に評価され、Unity Catalog で管理されていないストレージ パスおよびコネクタ ライブラリのフォールバックとして機能します。

Databricks では、サポートされている外部データ ソースへの読み取り専用アクセスを構成するために、Lakehouse フェデレーションを使用することをおすすめします。 Lakehouse フェデレーションでは、セキュリティ保護可能な ANY FILE の権限は必要ありません。 「Lakehouse フェデレーションとは」をご覧ください。

Unity Catalog のボリュームとテーブルでは、表形式データと表形式以外のデータの完全なガバナンスが提供され、セキュリティ保護可能な ANY FILE の権限は必要ありません。

URI を使用して Unity Catalog で管理されるデータへのアクセスでは、セキュリティ保護可能な ANY FILE の権限を使用できません。 Unity カタログを使用したクラウド オブジェクト ストレージへの接続を参照してください。

Unity Catalogが有効な標準クラスターで次のパターンを使用して読み取るには、SELECTのセキュリティ保護対象に関してANY FILE特権が必要です。

  • URI を使用したクラウド オブジェクト ストレージ。
  • DBFS ルートの格納データ、または DBFS マウントを使用した格納データ。
  • カスタム ライブラリやドライバーを使用したデータ ソース。
  • Lakehouse フェデレーションで構成されていない JDBC ドライバー。
  • Unity Catalog によって管理されていない外部データ ソース。
  • Unity Catalog によって管理されるテーブルとボリューム、および Hive メタストアに登録されたテーブル名を使用するストリームを除く、ストリーミング データ ソース。

セキュリティ保護可能な ANY FILE の権限に関する懸念事項

セキュリティ保護可能な ANY FILE の権限は本質的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。 すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理を従来の Hive テーブル ACL に引き続き依存している場合は、セキュリティ保護可能な ANY FILE の権限を慎重に付与してください。

セキュリティ保護可能な ANY FILE に付与された権限は、Unity Catalog データ ガバナンスをバイパスすることはありません。 ただし、セキュリティ保護可能な ANY FILE の権限を持つユーザーには、Unity Catalog によって管理されていないデータ ソースを構成してアクセスする拡張機能があります。

ANY FILE の制限事項

ANY FILE は、情報スキーマに報告されていないセキュリティ保護可能な従来の権限です。