Co to jest ANY FILE
zabezpieczane?
Uprawnienia w zabezpieczanym przyznaniu uprawnionego podmiotu ANY FILE
zabezpieczeń bezpośredniego dostępu do systemu plików i danych w magazynie obiektów w chmurze, niezależnie od list ACL tabel programu Hive ustawionych na obiekty bazy danych, takie jak schematy lub tabele.
Uprawnienia dla ANY FILE
Można przyznać MODIFY
lub SELECT
przyznać uprawnienia zabezpieczane ANY FILE
dowolnej jednostce usługi, użytkownikowi lub grupie przy użyciu starszych list kontroli dostępu do tabel programu Hive (ACL). Wszyscy administratorzy obszaru roboczego mają MODIFY
domyślnie uprawnienia ANY FILE
. Każdy użytkownik z uprawnieniami MODIFY
może przyznać lub odwołać uprawnienia w programie ANY FILE
.
W przypadku używania niestandardowych źródeł danych lub sterowników JDBC nieuwzględnianych w federacji lakehouse musisz mieć uprawnienia ANY FILE
do zabezpieczania. Zobacz Co to jest Federacja Lakehouse?.
Uprawnienia zabezpieczane ANY FILE
nie mogą zastąpić uprawnień wykazu aparatu Unity i nie udzielają ani nie rozszerzają uprawnień do obiektów danych podlegających wykazowi aparatu Unity. Niektóre sterowniki i niestandardowe biblioteki mogą naruszać izolację użytkowników, przechowując dane wszystkich użytkowników w jednym typowym katalogu tymczasowym.
Uprawnienia do ANY FILE
zabezpieczania mają zastosowanie tylko wtedy, gdy używasz magazynów SQL lub klastrów z trybem dostępu współdzielonego.
ANY FILE
uwzględnia starsze wzorce dostępu dla danych w magazynie obiektów w chmurze, w tym instalacji i poświadczeń magazynu zdefiniowanych na poziomie obliczeniowym. Zobacz Konfigurowanie dostępu do magazynu obiektów w chmurze dla usługi Azure Databricks.
ANY FILE
Jak współdziała z wykazem aparatu Unity?
W przypadku korzystania z klastrów udostępnionych z obsługą wykazu aparatu Unity lub magazynów SQL uprawnienia ANY FILE
do zabezpieczania są oceniane podczas uzyskiwania dostępu do ścieżek magazynu lub źródeł danych, które nie podlegają wykazowi aparatu Unity. Uprawnienia do ANY FILE
zabezpieczania są oceniane po wszystkich uprawnieniach związanych z wykazem aparatu Unity i pełnią rolę rezerwowego dla ścieżek magazynu i bibliotek łączników, które nie są zarządzane za pomocą wykazu aparatu Unity.
Usługa Databricks zaleca używanie federacji lakehouse do konfigurowania dostępu tylko do odczytu do obsługiwanych zewnętrznych źródeł danych. Federacja Lakehouse nigdy nie wymaga uprawnień do ANY FILE
zabezpieczania. Zobacz Co to jest Federacja Lakehouse?.
Woluminy i tabele wykazu aparatu Unity zapewniają pełny nadzór dla danych tabelarycznych i nietabularnych i nie wymagają uprawnień ANY FILE
do zabezpieczania.
Dostęp do jakichkolwiek danych podlegających wykazowi aparatu Unity przy użyciu identyfikatorów URI nie może używać uprawnień ANY FILE
w zabezpieczaniu. Zobacz Łączenie z magazynem obiektów w chmurze i usługami przy użyciu wykazu aparatu Unity.
Aby odczytywać przy użyciu następujących wzorców w klastrach udostępnionych z włączoną obsługą wykazu aparatu Unity, musisz mieć SELECT
uprawnienia ANY FILE
do odczytu:
- Magazyn obiektów w chmurze przy użyciu identyfikatorów URI.
- Dane przechowywane w katalogu głównym systemu plików DBFS lub przy użyciu instalacji systemu plików DBFS.
- Źródła danych korzystające z bibliotek niestandardowych lub sterowników.
- Sterowniki JDBC nie zostały skonfigurowane z federacją lakehouse.
- Zewnętrzne źródła danych, które nie podlegają wykazowi aparatu Unity.
- Przesyłanie strumieniowe źródeł danych, z wyjątkiem tabel i woluminów zarządzanych przez wykaz aparatu Unity i strumieni, które używają nazw tabel zarejestrowanych w magazynie metadanych Hive.
Obawy dotyczące ANY FILE
zabezpieczanych uprawnień
Uprawnienia do ANY FILE
zabezpieczania zasadniczo pomijają starsze listy ACL tabeli Programu Hive ustawione na obiektach bazy danych. Użyj uznania podczas udzielania uprawnień ANY FILE
do zabezpieczania, jeśli nie zostały w pełni zmigrowane wszystkie tabele do wykazu aparatu Unity i nadal polegasz na starszych listach ACL tabeli Programu Hive na potrzeby zarządzania dostępem do danych.
Uprawnienia przyznane w ANY FILE
zabezpieczanym systemie nigdy nie pomijają ładu w usłudze Unity Catalog. Jednak użytkownicy, którzy mają uprawnienia do ANY FILE
zabezpieczania, mają rozszerzoną możliwość konfigurowania i uzyskiwania dostępu do źródeł danych, które nie podlegają katalogowi aparatu Unity.
Ograniczenia dotyczące ANY FILE
ANY FILE
to starsza wersja zabezpieczana, która nie jest zgłaszana w schemacie informacji.