Поделиться через

Что такое защищаемый ANY FILE объект?

  • Статья

Привилегии для ANY FILE защищаемого предоставления защищенному субъекту прямого доступа к файловой системе и данным в облачном хранилище объектов независимо от всех списков ACL таблицы Hive, установленных для объектов базы данных, таких как схемы или таблицы.

Привилегии для ANY FILE

Вы можете предоставить MODIFY или SELECT привилегии для ANY FILE защищаемого субъекта-службы, пользователя или группы с помощью устаревших списков управления доступом к таблицам Hive (ACL). Все администраторы ANY FILE рабочей области имеют MODIFY права доступа по умолчанию. Любой пользователь с MODIFY привилегиями может предоставлять или отменять привилегии ANY FILE.

При использовании пользовательских источников данных или драйверов JDBC, не включенных ANY FILE в Федерацию Lakehouse, необходимо иметь права на защищаемый объект. См. статью "Что такое Федерация Lakehouse?".

Привилегии ANY FILE для защищаемого объекта не могут переопределить привилегии каталога Unity и не предоставлять или расширять привилегии для объектов данных, управляемых каталогом Unity. Некоторые драйверы и пользовательские библиотеки могут компрометации изоляции пользователей путем хранения данных всех пользователей в одном общем временном каталоге.

Привилегии ANY FILE защищаемого объекта применяются только при использовании хранилищ SQL или кластеров с режимом общего доступа.

ANY FILE учитывает устаревшие шаблоны доступа для данных в облачном хранилище объектов, включая подключения и учетные данные хранения, определенные на уровне вычислений. Сведения о настройке доступа к облачному хранилищу объектов для Azure Databricks.

ANY FILE Как взаимодействует с каталогом Unity?

При использовании общих кластеров или хранилищ SQL с поддержкой каталога Unity привилегии ANY FILE для защищаемого объекта оцениваются при доступе к путям хранилища или источникам данных, которые не управляются каталогом Unity. Привилегии ANY FILE защищаемого объекта оцениваются после всех привилегий, связанных с каталогом Unity, и служат резервным вариантом для путей хранения и библиотек соединителей, не управляемых каталогом Unity.

Databricks рекомендует использовать Федерацию Lakehouse для настройки доступа только для чтения к поддерживаемым внешним источникам данных. Федерация Lakehouse никогда не требует привилегий ANY FILE для защищаемого объекта. См. статью "Что такое Федерация Lakehouse?".

Томы и таблицы каталога Unity обеспечивают полное управление табличными и нетабулярными данными и не требуют привилегий ANY FILE для защищаемого объекта.

Доступ к любым данным, управляемым каталогом Unity с помощью URI, не может использовать привилегии для защищаемого ANY FILE объекта. См. статью "Подключение к облачному хранилищу объектов" с помощью каталога Unity.

Для чтения с помощью следующих шаблонов в общих кластерах с поддержкой каталога Unity необходимо иметь SELECT привилегии ANY FILE :

  • Облачное хранилище объектов с помощью URI.
  • Данные, хранящиеся в корневом каталоге DBFS или с помощью подключений DBFS.
  • Источники данных с помощью пользовательских библиотек или драйверов.
  • Драйверы JDBC не настроены в Федерации Lakehouse.
  • Внешние источники данных, которые не управляются каталогом Unity.
  • Потоковая передача источников данных, за исключением таблиц и томов, управляемых каталогом Unity и потоками, которые используют имена таблиц, зарегистрированные в хранилище метаданных Hive.

Проблемы с ANY FILE защищаемыми привилегиями

Привилегии защищаемого ANY FILE объекта управления доступом по сути обходят устаревшие списки ACL таблицы Hive, заданные для объектов базы данных. Используйте дискреционные действия при предоставлении привилегий защищаемому объекту, если вы не полностью перенесены ANY FILE все таблицы в каталог Unity, и вы по-прежнему используете устаревшие списки управления доступом к данным.

Привилегии, предоставленные защищаемому объекту ANY FILE , никогда не обходя управление данными каталога Unity. Однако пользователи, имеющие привилегии для ANY FILE защищаемого объекта, расширили возможность настройки и доступа к источникам данных, не управляемым каталогом Unity.

Ограничения для ANY FILE

ANY FILE является устаревшим защищаемым объектом, который не сообщается в схеме сведений.