Что такое защищаемый ANY FILE
объект?
Привилегии для ANY FILE
защищаемого предоставления защищенному субъекту прямого доступа к файловой системе и данным в облачном хранилище объектов независимо от всех списков ACL таблицы Hive, установленных для объектов базы данных, таких как схемы или таблицы.
Привилегии для ANY FILE
Вы можете предоставить MODIFY
или SELECT
привилегии для ANY FILE
защищаемого субъекта-службы, пользователя или группы с помощью устаревших списков управления доступом к таблицам Hive (ACL). Все администраторы ANY FILE
рабочей области имеют MODIFY
права доступа по умолчанию. Любой пользователь с MODIFY
привилегиями может предоставлять или отменять привилегии ANY FILE
.
При использовании пользовательских источников данных или драйверов JDBC, не включенных ANY FILE
в Федерацию Lakehouse, необходимо иметь права на защищаемый объект. См. статью "Что такое Федерация Lakehouse?".
Привилегии ANY FILE
для защищаемого объекта не могут переопределить привилегии каталога Unity и не предоставлять или расширять привилегии для объектов данных, управляемых каталогом Unity. Некоторые драйверы и пользовательские библиотеки могут компрометации изоляции пользователей путем хранения данных всех пользователей в одном общем временном каталоге.
Привилегии ANY FILE
защищаемого объекта применяются только при использовании хранилищ SQL или кластеров с режимом общего доступа.
ANY FILE
учитывает устаревшие шаблоны доступа для данных в облачном хранилище объектов, включая подключения и учетные данные хранения, определенные на уровне вычислений. Сведения о настройке доступа к облачному хранилищу объектов для Azure Databricks.
ANY FILE
Как взаимодействует с каталогом Unity?
При использовании общих кластеров или хранилищ SQL с поддержкой каталога Unity привилегии ANY FILE
для защищаемого объекта оцениваются при доступе к путям хранилища или источникам данных, которые не управляются каталогом Unity. Привилегии ANY FILE
защищаемого объекта оцениваются после всех привилегий, связанных с каталогом Unity, и служат резервным вариантом для путей хранения и библиотек соединителей, не управляемых каталогом Unity.
Databricks рекомендует использовать Федерацию Lakehouse для настройки доступа только для чтения к поддерживаемым внешним источникам данных. Федерация Lakehouse никогда не требует привилегий ANY FILE
для защищаемого объекта. См. статью "Что такое Федерация Lakehouse?".
Томы и таблицы каталога Unity обеспечивают полное управление табличными и нетабулярными данными и не требуют привилегий ANY FILE
для защищаемого объекта.
Доступ к любым данным, управляемым каталогом Unity с помощью URI, не может использовать привилегии для защищаемого ANY FILE
объекта. См. статью "Подключение к облачному хранилищу объектов" с помощью каталога Unity.
Для чтения с помощью следующих шаблонов в общих кластерах с поддержкой каталога Unity необходимо иметь SELECT
привилегии ANY FILE
:
- Облачное хранилище объектов с помощью URI.
- Данные, хранящиеся в корневом каталоге DBFS или с помощью подключений DBFS.
- Источники данных с помощью пользовательских библиотек или драйверов.
- Драйверы JDBC не настроены в Федерации Lakehouse.
- Внешние источники данных, которые не управляются каталогом Unity.
- Потоковая передача источников данных, за исключением таблиц и томов, управляемых каталогом Unity и потоками, которые используют имена таблиц, зарегистрированные в хранилище метаданных Hive.
Проблемы с ANY FILE
защищаемыми привилегиями
Привилегии защищаемого ANY FILE
объекта управления доступом по сути обходят устаревшие списки ACL таблицы Hive, заданные для объектов базы данных. Используйте дискреционные действия при предоставлении привилегий защищаемому объекту, если вы не полностью перенесены ANY FILE
все таблицы в каталог Unity, и вы по-прежнему используете устаревшие списки управления доступом к данным.
Привилегии, предоставленные защищаемому объекту ANY FILE
, никогда не обходя управление данными каталога Unity. Однако пользователи, имеющие привилегии для ANY FILE
защищаемого объекта, расширили возможность настройки и доступа к источникам данных, не управляемым каталогом Unity.
Ограничения для ANY FILE
ANY FILE
является устаревшим защищаемым объектом, который не сообщается в схеме сведений.