Поделиться через

Что такое защищаемый ANY FILE объект?

  • Статья

Привилегии для защищаемого ANY FILE предоставляют главному пользователю право на непосредственный доступ к файловой системе и данным в облачном хранилище объектов, независимо от всех списков управления доступом к таблицам Hive, заданных для объектов базы данных, таких как схемы или таблицы.

Привилегии для ANY FILE

Вы можете предоставить MODIFY или SELECT привилегии на защищаемый объект ANY FILE любой службе-принципалу, пользователю или группе с помощью устаревших списков управления доступом к таблицам Hive (ACL). Все администраторы MODIFY рабочей области имеют ANY FILE права доступа по умолчанию. Любой пользователь с правами MODIFY может предоставлять или отменять привилегии на ANY FILE.

При использовании пользовательских источников данных или драйверов JDBC, не включенных ANY FILE в Федерацию Lakehouse, необходимо иметь права на защищаемый объект. См. статью "Что такое Федерация Lakehouse?".

Привилегии на объект безопасности ANY FILE не могут переопределять привилегии Unity Catalog и не предоставляют или расширяют привилегии на объекты данных, находящихся под управлением Unity Catalog. Некоторые драйверы и пользовательские библиотеки могут компрометации изоляции пользователей путем хранения данных всех пользователей в одном общем временном каталоге.

Привилегии ANY FILE защищаемого объекта применяются только при использовании хранилищ SQL или кластеров с режимом общего доступа.

ANY FILE учитывает устаревшие шаблоны доступа для данных в облачном хранилище объектов, включая подключения и учетные данные хранения, определенные на уровне вычислений. Сведения о настройке доступа к облачному хранилищу объектов для Azure Databricks.

Как ANY FILE взаимодействует с каталогом Unity?

При использовании общих кластеров или хранилищ SQL с поддержкой каталога Unity привилегии в защищаемом ANY FILE оцениваются при доступе к путям хранилища или источникам данных, которые не регулируются каталогом Unity. Привилегии для объекта безопасности ANY FILE оцениваются после всех привилегий, связанных с Unity Catalog, и служат резервной мерой для путей к хранилищам и библиотек соединителей, не управляемых с помощью Unity Catalog.

Databricks рекомендует использовать Федерацию Lakehouse для настройки доступа только для чтения к поддерживаемым внешним источникам данных. Федерация Lakehouse никогда не требует привилегий ANY FILE для защищаемого объекта. См. статью "Что такое Федерация Lakehouse?".

Тома и таблицы каталога Unity обеспечивают полное управление и контроль табличными и нетабулярными данными и не требуют привилегий для защищаемого объекта ANY FILE.

Доступ к любым данным, управляемым каталогом Unity с помощью URI, не может использовать привилегии для объекта защиты ANY FILE. См. Подключение к облачному хранилищу объектов и службам с использованием каталога Unity.

Для чтения с помощью следующих шаблонов в общих кластерах с поддержкой каталога Unity необходимо иметь прав SELECT на элементе безопасности ANY FILE.

  • Облачное хранилище объектов с помощью URI.
  • Данные, хранящиеся в корневом каталоге DBFS или с помощью подключений DBFS.
  • Источники данных с помощью пользовательских библиотек или драйверов.
  • Драйверы JDBC не настроены в Федерации Lakehouse.
  • Внешние источники данных, которые не управляются каталогом Unity.
  • Потоковая передача источников данных, за исключением таблиц и томов, управляемых Unity Catalog, и потоков, которые используют имена таблиц, зарегистрированные в хранилище метаданных Hive.

Проблемы с ANY FILE защищаемыми привилегиями

Привилегии для объекта ANY FILE, по сути, обходят устаревшие списки управления доступом к таблицам Hive, установленные для объектов базы данных. Принимайте взвешенные решения при предоставлении привилегий на объект безопасности ANY FILE, если вы не полностью перенесли все таблицы в каталог Unity Catalog и всё ещё полагаетесь на устаревшие списки управления доступом к данным в Hive для управления доступом к данным.

Привилегии, предоставляемые защищаемому объекту ANY FILE, никогда не обходят управление данными в каталоге Unity. Однако пользователи, имеющие привилегии на защищаемое ANY FILE, имеют расширенные возможности для настройки и доступа к источникам данных, не управляемым каталогом Unity.

Ограничения для ANY FILE

ANY FILE является устаревшим защищаемым объектом, который не сообщается в схеме информации.