Dela via

Vad är skyddsbart ANY FILE ?

  • Artikel

Behörigheter på den säkerhetsbara ANY FILE ger den berättigade huvudmannen direkt åtkomst till filsystemet och data i molnobjektlagring, oavsett några Hive-tabell-ACL:er som ställts in på databasobjekt som scheman eller tabeller.

Behörigheter för ANY FILE

Du kan bevilja MODIFY eller SELECT behörighet på det skyddbara objektet ANY FILE till alla tjänstehuvud, användare eller grupper med hjälp av gamla åtkomstkontrollistor för Hive-tabeller (ACL). Alla arbetsyteadministratörer har MODIFY behörighet som ANY FILE standard. Alla användare med MODIFY behörigheter kan bevilja eller återkalla privilegier på ANY FILE.

Du måste ha behörighet att skydda när ANY FILE du använder anpassade datakällor eller JDBC-drivrutiner som inte ingår i Lakehouse Federation. Se Vad är Lakehouse Federation?.

Behörigheter på ANY FILE som kan säkras kan inte åsidosätta Unity Catalog-behörigheter och beviljar eller utökar inte behörigheter för dataobjekt som regleras av Unity Catalog. Vissa drivrutiner och anpassade installerade bibliotek kan äventyra användarisoleringen genom att lagra data för alla användare i en gemensam temp-katalog.

Behörigheter för skyddsbara ANY FILE gäller endast när du använder SQL-lager eller kluster med läget för delad åtkomst.

ANY FILE respekterar äldre åtkomstmönster för data i molnobjektlagring, inklusive monteringar och autentiseringsuppgifter för lagring som definierats på beräkningsnivå. Se Konfigurera åtkomst till molnobjektlagring för Azure Databricks.

Hur interagerar ANY FILE med Unity Catalog?

När du använder Unity Catalog-aktiverade delade kluster eller SQL-lager utvärderas behörigheter för ANY FILE säkerhetsobjektet när du kommer åt lagringssökvägar eller datakällor som inte styrs av Unity Catalog. Behörigheter på den skyddsbara resursen ANY FILE utvärderas efter alla behörigheter relaterade till Unity Catalog och fungerar som en reserv för lagringssökvägar och anslutningsbibliotek som inte hanteras med Unity Catalog.

Databricks rekommenderar att du använder Lakehouse Federation för att konfigurera skrivskyddad åtkomst till externa datakällor som stöds. Lakehouse Federation kräver aldrig privilegier för det ANY FILE säkra. Se Vad är Lakehouse Federation?.

Unity Catalog-volymer och -tabeller ger fullständig styrning för tabelldata och icke-tabelldata och kräver inga behörigheter för skyddsobjektet ANY FILE.

Åtkomst till data som styrs av Unity Catalog med hjälp av URI:er kan inte använda behörigheter för ANY FILE som kan skyddas. Se Anslut till molnobjektslagring och tjänster med Unity Catalog.

Du måste ha SELECT-behörigheter på ANY FILE-säkerheten för att läsa med hjälp av följande mönster i delade kluster som har Unity Catalog aktiverat.

  • Molnobjektlagring med URI:er.
  • Data som lagras i DBFS-roten eller med DBFS-monteringar.
  • Datakällor som använder anpassade bibliotek eller drivrutiner.
  • JDBC-drivrutiner har inte konfigurerats med Lakehouse Federation.
  • Externa datakällor som inte styrs av Unity Catalog.
  • Strömmande datakällor, förutom tabeller och volymer som styrs av Unity Catalog och strömmar som använder tabellnamn som är registrerade i Hive-metaarkivet.

Problem med ANY FILE skyddsbara privilegier

Privilegier på ANY FILE som kan säkras kringgå i princip äldre Hive-tabell-ACL:er som angetts för databasobjekt. Använd varsamhet när du beviljar behörigheter på ANY FILE-säkerhetsobjektet, om du inte fullt ut har migrerat alla tabeller till Unity Catalog och du fortfarande använder äldre Hive-tabell-ACL:er för att hantera åtkomst till data.

Privilegier som tilldelas för säkerhetsobjektet ANY FILE kringgår aldrig Unity Catalogs datastyrning. Användare som har behörighet att skydda ANY FILE har dock utökad möjlighet att konfigurera och komma åt datakällor som inte styrs av Unity Catalog.

Begränsningar för ANY FILE

ANY FILE är ett äldre skyddsobjekt som inte rapporteras i informationsschemat.