Dela via

Vad är skyddsbart ANY FILE ?

  • Artikel

Behörigheter på den ANY FILE skyddsbara ger den berättigade huvudkontot direkt åtkomst till filsystemet och data i molnobjektlagring, oavsett eventuella Hive-tabell-ACL:er som angetts för databasobjekt som scheman eller tabeller.

Behörigheter för ANY FILE

Du kan bevilja MODIFY eller SELECT behörighet för skyddsbara ANY FILE till alla tjänsthuvudnamn, användare eller grupper med hjälp av äldre Hive-tabellåtkomstkontrollistor (ACL: er). Alla arbetsyteadministratörer har MODIFY behörighet som ANY FILE standard. Alla användare med MODIFY behörighet kan bevilja eller återkalla behörigheter för ANY FILE.

Du måste ha behörighet att skydda när ANY FILE du använder anpassade datakällor eller JDBC-drivrutiner som inte ingår i Lakehouse Federation. Se Vad är Lakehouse Federation?.

Behörigheter för skyddsbara ANY FILE kan inte åsidosätta Behörigheter för Unity-katalogen och bevilja eller utöka inte behörigheter för dataobjekt som styrs av Unity Catalog. Vissa drivrutiner och anpassade installerade bibliotek kan äventyra användarisoleringen genom att lagra data för alla användare i en gemensam temp-katalog.

Behörigheter för skyddsbara ANY FILE gäller endast när du använder SQL-lager eller kluster med läget för delad åtkomst.

ANY FILE respekterar äldre åtkomstmönster för data i molnobjektlagring, inklusive monteringar och autentiseringsuppgifter för lagring som definierats på beräkningsnivå. Se Konfigurera åtkomst till molnobjektlagring för Azure Databricks.

Hur interagerar ANY FILE du med Unity Catalog?

När du använder Unity Catalog-aktiverade delade kluster eller SQL-lager utvärderas behörigheter för det ANY FILE skyddbara objektet vid åtkomst till lagringssökvägar eller datakällor som inte styrs av Unity Catalog. Behörigheter på det ANY FILE säkra utvärderas efter alla Unity Catalog-relaterade privilegier och fungerar som en reserv för lagringssökvägar och anslutningsbibliotek som inte hanteras med Unity Catalog.

Databricks rekommenderar att du använder Lakehouse Federation för att konfigurera skrivskyddad åtkomst till externa datakällor som stöds. Lakehouse Federation kräver aldrig privilegier för det ANY FILE säkra. Se Vad är Lakehouse Federation?.

Unity Catalog-volymer och -tabeller ger fullständig styrning för tabelldata och icke-tabelldata och kräver inte behörigheter för det ANY FILE säkra.

Åtkomst till data som styrs av Unity Catalog med hjälp av URI:er kan inte använda behörigheter för det ANY FILE skyddbara objektet. Se Ansluta till molnobjektlagring och -tjänster med hjälp av Unity Catalog.

Du måste ha SELECT behörighet att ANY FILE läsa med hjälp av följande mönster i Unity Catalog-aktiverade delade kluster:

  • Molnobjektlagring med URI:er.
  • Data som lagras i DBFS-roten eller med DBFS-monteringar.
  • Datakällor som använder anpassade bibliotek eller drivrutiner.
  • JDBC-drivrutiner har inte konfigurerats med Lakehouse Federation.
  • Externa datakällor som inte styrs av Unity Catalog.
  • Strömmande datakällor, förutom tabeller och volymer som styrs av Unity Catalog och strömmar som använder tabellnamn som är registrerade i Hive-metaarkivet.

Problem med ANY FILE skyddsbara privilegier

Behörigheter på skyddsbara ANY FILE kringgår i princip äldre Hive-tabell-ACL:er som angetts för databasobjekt. Använd diskretion när du beviljar behörigheter för det ANY FILE säkra, om du inte helt har migrerat alla tabeller till Unity Catalog och du fortfarande förlitar dig på äldre Hive-tabell-ACL:er för att hantera åtkomst till data.

Privilegier som beviljas för skyddsbara ANY FILE kringgår aldrig datastyrning i Unity Catalog. Användare som har behörighet ANY FILE att skydda har dock utökad möjlighet att konfigurera och komma åt datakällor som inte styrs av Unity Catalog.

Begränsningar för ANY FILE

ANY FILE är ett äldre skydd som inte rapporteras i informationsschemat.