セキュリティ保護可能な ANY FILE
とは
セキュリティ保護可能な ANY FILE
の権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウド オブジェクト ストレージのファイルシステムとデータへの直接アクセスを許可します。
ANY FILE
の権限
セキュリティ保護可能な ANY FILE
の MODIFY
または SELECT
権限を、従来の Hive テーブルのアクセス制御リスト (ACL) を使用して、任意のサービス プリンシパル、ユーザー、またはグループに付与できます。 すべてのワークスペース管理者には、既定で ANY FILE
に対する MODIFY
権限があります。 MODIFY
権限を持つすべてのユーザーは、ANY FILE
の権限を付与または取り消すことができます。
Lakehouse フェデレーションに含まれていないカスタム データ ソースまたは JDBC ドライバーを使用する場合、セキュリティ保護可能な ANY FILE
の権限が必要です。 「Lakehouse フェデレーションとは」をご覧ください。
セキュリティ保護可能な ANY FILE
の権限は、Unity Catalog 権限をオーバーライドできず、Unity Catalog によって管理されるデータ オブジェクトに権限を付与または拡張しません。 ドライバーやカスタムインストールされているライブラリの中には、すべてのユーザーのデータを共通の一時ディレクトリに保存することで、ユーザの分離を侵害するものがあります。
セキュリティ保護可能な ANY FILE
の権限は、共有アクセス モードで SQL ウェアハウスまたはクラスターを使用する場合にのみ適用されます。
ANY FILE
では、コンピューティング レベルで定義されたマウントやストレージ資格情報など、クラウド オブジェクト ストレージのデータに対する従来のアクセス パターンが尊重されます。 Azure Databricks のクラウド オブジェクト ストレージへのアクセスの構成に関するページを参照してください。
ANY FILE
と Unity Catalog を相互作用させる方法
Unity Catalog 対応の共有クラスターまたは SQL ウェアハウスを使用する場合、Unity Catalog によって "管理されていない" ストレージ パスまたはデータ ソースにアクセスするときに、セキュリティ保護可能な ANY FILE
の権限が評価されます。 セキュリティ保護可能な ANY FILE
の権限は、Unity Catalog 関連のすべての権限の後に評価され、Unity Catalog で管理されていないストレージ パスおよびコネクタ ライブラリのフォールバックとして機能します。
Databricks では、サポートされている外部データ ソースへの読み取り専用アクセスを構成するために、Lakehouse フェデレーションを使用することをおすすめします。 Lakehouse フェデレーションでは、セキュリティ保護可能な ANY FILE
の権限は必要ありません。 「Lakehouse フェデレーションとは」をご覧ください。
Unity Catalog のボリュームとテーブルでは、表形式データと表形式以外のデータの完全なガバナンスが提供され、セキュリティ保護可能な ANY FILE
の権限は必要ありません。
URI を使用して Unity Catalog で管理されるデータへのアクセスでは、セキュリティ保護可能な ANY FILE
の権限を使用できません。 Unity カタログを使用したクラウド オブジェクト ストレージとサービスへの接続を参照してください。
Unity Catalog 対応の共有クラスターで次のパターンを使用して読み取るために、セキュリティ保護可能な ANY FILE
の SELECT
権限が必要です。
- URI を使用したクラウド オブジェクト ストレージ。
- DBFS ルートの格納データ、または DBFS マウントを使用した格納データ。
- カスタム ライブラリやドライバーを使用したデータ ソース。
- Lakehouse フェデレーションで構成されていない JDBC ドライバー。
- Unity Catalog によって管理されていない外部データ ソース。
- Unity Catalog によって管理されるテーブルとボリューム、および Hive メタストアに登録されたテーブル名を使用するストリームを除く、ストリーミング データ ソース。
セキュリティ保護可能な ANY FILE
の権限に関する懸念事項
セキュリティ保護可能な ANY FILE
の権限は本質的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。 すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理を従来の Hive テーブル ACL に引き続き依存している場合は、セキュリティ保護可能な ANY FILE
の権限を慎重に付与してください。
セキュリティ保護可能な ANY FILE
に付与された権限は、Unity Catalog データ ガバナンスをバイパスすることはありません。 ただし、セキュリティ保護可能な ANY FILE
の権限を持つユーザーには、Unity Catalog によって管理されていないデータ ソースを構成してアクセスする拡張機能があります。
ANY FILE
の制限事項
ANY FILE
は、情報スキーマに報告されていないセキュリティ保護可能な従来の権限です。