Compartilhar via

Qual é o ANY FILE protegível?

  • Artigo

Privilégios no ANY FILE protegível concedem à entidade de segurança acesso direto ao sistema de arquivos e dados no armazenamento de objetos de nuvem, independentemente de quaisquer ACLs de tabela do Hive definidas em objetos de banco de dados, como esquemas ou tabelas.

Privilégios para ANY FILE

Você pode conceder privilégios de MODIFY ou SELECT no ANY FILE protegível a qualquer entidade de serviço, usuário ou grupo usando ACLs (listas de controle de acesso de tabela) herdadas do Hive. Todos os administradores do workspace têm privilégios MODIFY em ANY FILE por padrão. Qualquer usuário com privilégios de MODIFY pode conceder ou revogar privilégios em ANY FILE.

Você deve ter privilégios no ANY FILE protegível ao usar fontes de dados personalizadas ou drivers JDBC não incluídos na Federação Lakehouse. Confira O que é Federação do Lakehouse?.

Privilégios no ANY FILE protegível não podem substituir privilégios do Catálogo do Unity e não concedem ou expandem privilégios em objetos de dados regidos pelo Catálogo do Unity. Alguns drivers e bibliotecas instaladas personalizadas podem comprometer o isolamento do usuário armazenando dados de todos os usuários em um diretório temporário comum.

Os privilégios no ANY FILE protegível se aplicam somente quando você usa os SQL warehouses ou clusters com o modo de acesso compartilhado.

ANY FILE respeita os padrões de acesso herdados para dados no armazenamento de objetos de nuvem, incluindo montagens e credenciais de armazenamento definidas no nível de computação. Consulte Configurar o acesso ao armazenamento de objetos de nuvem para o Azure Databricks.

Como ANY FILE interage com o Catálogo do Unity?

Ao usar clusters compartilhados habilitados para o Catálogo do Unity ou SQL warehouses, os privilégios no ANY FILE protegíveis são avaliados ao acessar caminhos de armazenamento ou fontes de dados que não são regidos pelo Catálogo do Unity. Os privilégios no ANY FILE protegível são avaliados após todos os privilégios relacionados ao Catálogo do Unity e servem como um fallback para caminhos de armazenamento e bibliotecas de conectores não gerenciados com o Catálogo do Unity.

O Databricks recomenda usar a Lakehouse Federation para configurar o acesso somente leitura a fontes de dados externas com suporte. A Federação Lakehouse nunca requer privilégios no ANY FILE protegível. Confira O que é Federação do Lakehouse?.

Os volumes e tabelas do Catálogo do Unity fornecem governança completa para dados tabulares e não sintabulares e não exigem privilégios no ANY FILE protegível.

O acesso a quaisquer dados regidos pelo Catálogo do Unity usando URIs não pode usar privilégios no ANY FILE protegível. Consulte Conectar-se ao armazenamento de objetos e serviços na nuvem usando o Catálogo do Unity.

Você deve ter privilégios SELECT no ANY FILE protegível para ler usando os seguintes padrões em clusters compartilhados habilitados para Catálogo do Unity:

  • Armazenamento de objetos de nuvem usando URIs.
  • Dados armazenados na raiz do DBFS ou usando montagens DBFS.
  • Fontes de dados usando bibliotecas ou drivers personalizados.
  • Drivers JDBC não configurados com a Federação Lakehouse.
  • Fontes de dados externas que não são governadas pelo Catálogo do Unity.
  • Fontes de dados de streaming, exceto tabelas e volumes regidos pelo Catálogo do Unity e fluxos que usam nomes de tabela registrados no metastore do Hive.

Preocupações com privilégios protegíveis ANY FILE

Privilégios no ANY FILE protegível essencialmente ignoram ACLs de tabela herdadas do Hive definidas em objetos de banco de dados. Use a discrição ao conceder privilégios no ANY FILE protegível, se você não tiver migrado totalmente todas as tabelas para o Catálogo do Unity e ainda contar com ACLs de tabela herdadas do Hive para gerenciar o acesso aos dados.

Privilégios concedidos no ANY FILE protegível nunca ignoram a governança de dados do Catálogo do Unity. No entanto, os usuários que têm privilégios no ANY FILE protegível expandiram a capacidade de configurar e acessar fontes de dados não regidas pelo Catálogo do Unity.

Limitações para ANY FILE

ANY FILE é um protegível herdado que não é relatado no esquema de informações.