Condividi tramite

Che cos'è l'entità ANY FILE a protezione diretta?

  • Articolo

I privilegi per l'entità a protezione diretta concedono all'entità ANY FILE di sicurezza l'accesso diretto al file system e ai dati nell'archiviazione di oggetti cloud, indipendentemente dagli ACL di tabella Hive impostati su oggetti di database come schemi o tabelle.

Privilegi per ANY FILE

È possibile concedere MODIFY o SELECT privilegi per l'entità servizio, l'utente o il ANY FILE gruppo usando elenchi di controllo di accesso alla tabella Hive legacy. Per impostazione predefinita, tutti gli amministratori dell'area di lavoro dispongono MODIFY di privilegi.ANY FILE Qualsiasi utente con MODIFY privilegi può concedere o revocare privilegi su ANY FILE.

È necessario disporre dei privilegi per l'entità ANY FILE a protezione diretta quando si usano origini dati personalizzate o driver JDBC non inclusi in Lakehouse Federation. Vedere Che cos'è Lakehouse Federation?.

I privilegi per l'entità a protezione diretta non possono eseguire l'override ANY FILE dei privilegi di Unity Catalog e non concedere o espandere privilegi sugli oggetti dati regolati da Unity Catalog. Alcuni driver e librerie installate personalizzate potrebbero compromettere l'isolamento dell'utente archiviando i dati di tutti gli utenti in una directory temporanea comune.

I privilegi per l'entità ANY FILE a protezione diretta si applicano solo quando si usano sql warehouse o cluster con modalità di accesso condiviso.

ANY FILE rispetta i modelli di accesso legacy per i dati nell'archiviazione di oggetti cloud, inclusi i montaggi e le credenziali di archiviazione definiti a livello di calcolo. Vedere Configurare l'accesso all'archiviazione di oggetti cloud per Azure Databricks.

ANY FILE Come interagisce con Unity Catalog?

Quando si usano cluster condivisi abilitati per Unity catalog o SQL Warehouse, i privilegi per l'entità ANY FILE a protezione diretta vengono valutati quando si accede ai percorsi di archiviazione o alle origini dati non regolate dal catalogo unity. I privilegi per l'entità ANY FILE a protezione diretta vengono valutati dopo tutti i privilegi correlati al catalogo di Unity e fungono da fallback per i percorsi di archiviazione e le librerie dei connettori non gestiti con Il catalogo unity.

Databricks consiglia di usare Lakehouse Federation per configurare l'accesso in sola lettura alle origini dati esterne supportate. Lakehouse Federation non richiede mai privilegi per l'entità ANY FILE a protezione diretta. Vedere Che cos'è Lakehouse Federation?.

I volumi e le tabelle del catalogo Unity offrono una governance completa per i dati tabulari e non tabulari e non richiedono privilegi per l'entità ANY FILE a protezione diretta.

L'accesso a tutti i dati regolati dal catalogo unity tramite URI non può usare privilegi per l'entità ANY FILE a protezione diretta. Vedere Connettersi all'archiviazione di oggetti cloud e ai servizi usando il catalogo unity.

È necessario disporre SELECT dei privilegi per l'entità ANY FILE a protezione diretta per leggere usando i modelli seguenti nei cluster condivisi abilitati per Unity catalog:

  • Archiviazione di oggetti cloud con URI.
  • Dati archiviati nella radice DBFS o tramite montaggi DBFS.
  • Origini dati che usano librerie o driver personalizzati.
  • Driver JDBC non configurati con Lakehouse Federation.
  • Origini dati esterne non regolate da Unity Catalog.
  • Origini dati di streaming, ad eccezione di tabelle e volumi regolati da Unity Catalog e flussi che usano nomi di tabella registrati nel metastore Hive.

Preoccupazioni relative ai ANY FILE privilegi a protezione diretta

I privilegi per l'entità ANY FILE a protezione diretta ignorano essenzialmente gli ACL della tabella Hive legacy impostati sugli oggetti di database. Usare la discrezione quando si concedono privilegi per l'entità ANY FILE a protezione diretta, se non è stata eseguita completamente la migrazione di tutte le tabelle in Unity Catalog e si fa comunque affidamento sugli ACL della tabella Hive legacy per gestire l'accesso ai dati.

I privilegi concessi per l'entità a protezione diretta non ignorano mai la ANY FILE governance dei dati di Unity Catalog. Tuttavia, gli utenti che dispongono di privilegi per l'entità ANY FILE a protezione diretta hanno ampliato la possibilità di configurare e accedere alle origini dati non regolate da Unity Catalog.

Limitazioni per ANY FILE

ANY FILE è un'entità a protezione diretta legacy non segnalata nello schema delle informazioni.