외부 위치
적용 대상: Databricks SQL Databricks 런타임 Unity 카탈로그 전용
Unity 카탈로그 및 내장된 Azure Databricks Hive 메타스토어는 관리 테이블의 기본 위치를 사용합니다. Unity 카탈로그는 클라우드 개체 스토리지의 데이터에 권한을 부여하는 몇 가지 새로운 보안 개체를 도입했습니다.
-
클라우드 스토리지 공급자의 장기 자격 증명을 추상화하는 데 사용되는 Unity 카탈로그 개체입니다.
-
클라우드 개체 스토리지 URI를 스토리지 자격 증명연결하는 데 사용되는 Unity 카탈로그 개체입니다.
외부 위치
외부 위치는 스토리지 경로와 해당 경로에 대한 액세스 권한을 부여하는 스토리지 자격 증명을 결합하는 보안 개체입니다.
외부 위치의 작성자는 초기 소유자입니다. 외부 위치의 소유자와 MANAGE
권한이 있는 사용자는 외부 위치의 이름, URI 및 스토리지 자격 증명을 수정할 수 있습니다.
외부 위치를 만든 후, 계정 레벨의 보안 주체(사용자 및 그룹)에게 에 대한 액세스 권한을 부여할 수 있습니다.
외부 위치를 사용할 권한이 있는 사용자 또는 그룹은 스토리지 자격 증명에 직접 액세스하지 않고도 위치 경로 내의 모든 스토리지 경로에 액세스할 수 있습니다.
액세스 제어를 더욱 구체화하려면 외부 테이블GRANT 사용하여 외부 위치 내의 개별 파일에 대한 액세스를 캡슐화할 수 있습니다.
외부 위치 이름은 정규화되지 않았으며 메타스토어 내에서 고유해야 합니다.
외부 위치의 스토리지 경로는 다른 외부 위치의 스토리지 경로 또는 명시적 스토리지 자격 증명을 사용하여 외부 테이블의 스토리지 경로 내에 포함할 수 없습니다.
Warning
스키마(데이터베이스)가 작업 영역 수준 Hive 메타스토어에 등록된 경우 CASCADE
옵션을 사용하여 해당 스키마를 삭제하면 테이블 형식(관리형 또는 외부)에 관계없이 해당 스키마 위치의 모든 파일이 재귀적으로 삭제됩니다.
스키마가 Unity 카탈로그 메타스토어에 등록되면 Unity 카탈로그 관리 테이블 파일이 재귀적으로 삭제됩니다. 그러나
따라서 실수로 인한 데이터 손실을 방지하기 위해 Hive 메타스토어의 스키마를 기존 데이터가 있는 위치에 등록해서는 안 됩니다. Hive 메타스토어 스키마 또는 Unity 카탈로그 관리 테이블을 포함하는 위치에 새 외부 테이블을 만들 수도 없습니다.
관계의 그래픽 표현
다음 다이어그램은 다음 간의 관계를 설명합니다.
- 스토리지 자격 증명
- 외부 위치:
- 외부 테이블
- 스토리지 경로
- IAM 엔터티
- Azure 서비스 계정
예제
-- Grant `finance` user permission to create external location on `my_azure_storage_cred` storage credential, and then create an external location on the specific path to which `my_azure_storage_cred` has access
> GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL `my_azure_storage_cred` TO `finance`
> CREATE EXTERNAL LOCATION `finance_loc` URL 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance'
WITH (CREDENTIAL `my_azure_storage_cred`)
COMMENT 'finance';
-- Grant read, write, and create table access to the finance location to `finance` user
> GRANT READ FILES, WRITE FILES, CREATE EXTERNAL TABLE ON EXTERNAL LOCATION `finance_loc` TO `finance`;
-- `finance` can read from any storage path under abfss://depts/finance but nowhere else
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/finance` WITH (CREDENTIAL my_azure_storage_cred);
100
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/hr/employees` WITH (CREDENTIAL my_azure_storage_cred);
Error
-- `finance` can create an external table over specific object within the `finance_loc` location
> CREATE TABLE main.default.sec_filings LOCATION 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance/sec_filings';
-- Cannot list files under an external table with a user that doesn't have SELECT permission on it
> LIST 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance/sec_filings'
Error
> LIST 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance/sec_filings/_delta_log'
Error