Delen via

Wat is het ANY FILE beveiligbaar?

  • Artikel

Bevoegdheden voor het ANY FILE beveiligbare verlenen de rechte principal directe toegang tot het bestandssysteem en de gegevens in de opslag van cloudobjecten, ongeacht de Hive-tabel-ACL's die zijn ingesteld op databaseobjecten, zoals schema's of tabellen.

Bevoegdheden voor ANY FILE

U kunt toegangsbeheerlijsten (ACL's) van een ANY FILE service-principal, gebruiker of groep verlenen MODIFY of er bevoegdheden voor verlenen aan of SELECT bevoegdheden verlenen aan elke service-principal, gebruiker of groep met behulp van verouderde Toegangsbeheerlijsten voor Hive-tabellen. Alle werkruimtebeheerders hebben MODIFY standaard bevoegdheden ANY FILE . Elke gebruiker met MODIFY bevoegdheden kan bevoegdheden verlenen of intrekken voor ANY FILE.

U moet bevoegdheden hebben voor het ANY FILE beveiligbaar wanneer u aangepaste gegevensbronnen of JDBC-stuurprogramma's gebruikt die niet zijn opgenomen in Lakehouse Federation. Zie Wat is Lakehouse Federation.

Bevoegdheden voor het ANY FILE beveiligbare kunnen de bevoegdheden van de Unity-catalogus niet overschrijven en geen bevoegdheden verlenen of uitbreiden voor gegevensobjecten die onder Unity Catalog vallen. Sommige stuurprogramma's en aangepaste bibliotheken kunnen gebruikersisolatie in gevaar komen door gegevens van alle gebruikers op te slaan in één algemene tijdelijke map.

Bevoegdheden voor het ANY FILE beveiligbare zijn alleen van toepassing wanneer u SQL-warehouses of -clusters gebruikt met de modus voor gedeelde toegang.

ANY FILE respecteert verouderde toegangspatronen voor gegevens in cloudobjectopslag, inclusief koppelings- en opslagreferenties die zijn gedefinieerd op rekenniveau. Zie Toegang tot cloudobjectopslag configureren voor Azure Databricks.

Hoe werkt ANY FILE de interactie met Unity Catalog?

Wanneer u gedeelde clusters of SQL-warehouses met Unity Catalog gebruikt, worden de bevoegdheden voor het ANY FILE beveiligbaar geëvalueerd bij het openen van opslagpaden of gegevensbronnen die niet onder Unity Catalog vallen. Bevoegdheden voor het ANY FILE beveiligbare apparaat worden geëvalueerd na alle bevoegdheden met betrekking tot de Unity-catalogus en dienen als terugval voor opslagpaden en connectorbibliotheken die niet worden beheerd met Unity Catalog.

Databricks raadt aan Lakehouse Federation te gebruiken voor het configureren van alleen-lezentoegang tot ondersteunde externe gegevensbronnen. Lakehouse Federation vereist nooit bevoegdheden voor het ANY FILE beveiligbare. Zie Wat is Lakehouse Federation.

Unity Catalog-volumes en -tabellen bieden volledige governance voor tabellaire en niet-tabellaire gegevens en vereisen geen bevoegdheden voor het ANY FILE beveiligbare.

Toegang tot gegevens die worden beheerd door Unity Catalog met behulp van URI's, kunnen geen bevoegdheden voor de ANY FILE beveiligbare gebruiken. Zie Verbinding maken naar cloudobjectopslag met behulp van Unity Catalog.

U moet bevoegdheden hebben SELECT voor het ANY FILE beveiligbaar om te lezen met behulp van de volgende patronen in gedeelde clusters met Unity Catalog:

  • Cloudobjectopslag met behulp van URI's.
  • Gegevens die zijn opgeslagen in de DBFS-hoofdmap of met behulp van DBFS-koppelingen.
  • Gegevensbronnen met behulp van aangepaste bibliotheken of stuurprogramma's.
  • JDBC-stuurprogramma's die niet zijn geconfigureerd met Lakehouse Federation.
  • Externe gegevensbronnen die niet onder Unity Catalog vallen.
  • Streaminggegevensbronnen, behalve tabellen en volumes die worden beheerd door Unity Catalog en streams die gebruikmaken van tabelnamen die zijn geregistreerd in de Hive-metastore.

Zorgen over ANY FILE beveiligbare bevoegdheden

Bevoegdheden voor het ANY FILE beveiligbare overslaan van verouderde Hive-tabel-ACL's die zijn ingesteld op databaseobjecten. Gebruik discretie wanneer u bevoegdheden verleent voor het ANY FILE beveiligbare, als u niet alle tabellen volledig hebt gemigreerd naar Unity Catalog en u nog steeds vertrouwt op verouderde Hive-tabel-ACL's voor het beheren van de toegang tot gegevens.

Bevoegdheden die zijn verleend voor het ANY FILE beveiligbare, omzeilen nooit Unity Catalog-gegevensbeheer. Gebruikers met bevoegdheden voor het ANY FILE beveiligbare hebben echter de mogelijkheid om gegevensbronnen te configureren en te openen die niet onder Unity Catalog vallen.

Beperkingen voor ANY FILE

ANY FILE is een verouderd beveiligbaar dat niet wordt gerapporteerd in het informatieschema.