O que é o ANY FILE securable?

Os privilégios no ANY FILE securable concedem ao titular acesso direto ao sistema de arquivos e aos dados no armazenamento de objetos cloud, independentemente de quaisquer ACLs de tabela Hive definidas em objetos de banco de dados, como esquemas ou tabelas.

Privilégios para ANY FILE

O senhor pode conceder privilégios MODIFY ou SELECT no ANY FILE securable a qualquer entidade de serviço, usuário ou grupo usando listas (ACLs) de controle de acesso da tabela Hive herdadas. Todos os administradores de workspace têm MODIFY privilégios em ANY FILE por default. Qualquer usuário com privilégios MODIFY pode conceder ou revogar privilégios em ANY FILE.

O senhor deve ter privilégios na segurança ANY FILE ao usar fontes de dados personalizadas ou drivers JDBC não incluídos na lakehouse Federation. Veja o que é Lakehouse Federation?

Os privilégios no securizável ANY FILE não podem substituir os privilégios do Unity Catalog e não concedem ou expandem privilégios em objetos de dados controlados pelo Unity Catalog. Alguns drivers e bibliotecas instaladas de forma personalizada podem comprometer o isolamento do usuário ao armazenar dados de todos os usuários em um diretório temporário comum.

Os privilégios no securable ANY FILE se aplicam somente quando o senhor usa o SQL warehouse ou clusters com o modo de acesso compartilhado.

ANY FILE respeita os padrões de acesso herdados para dados no armazenamento de objetos cloud, incluindo montagens e credenciais de armazenamento definidas no nível compute. Consulte Configurar o acesso ao armazenamento de objetos cloud para Databricks.

Como ANY FILE interage com o Unity Catalog?

Ao usar Unity Catalog-enabled shared clusters ou SQL warehouse, os privilégios no ANY FILE securable são avaliados ao acessar caminhos de armazenamento ou fontes de dados que não são regidos por Unity Catalog. Os privilégios no ANY FILE securable são avaliados depois de todos os privilégios relacionados a Unity Cataloge servem como um fallback para caminhos de armazenamento e conector biblioteca não gerenciar com Unity Catalog.

Databricks recomenda o uso da Lakehouse Federation para configurar o acesso somente leitura a fontes de dados externas compatíveis. lakehouse Federation nunca requer privilégios no ANY FILE securable. Veja o que é Lakehouse Federation?

Os volumes e tabelas do Unity Catalog oferecem governança total para dados tabulares e não tabulares e não exigem privilégios no securizável ANY FILE.

O acesso a qualquer dado controlado pelo Unity Catalog usando URIs não pode usar privilégios no securizável ANY FILE. Consulte Conectar-se ao armazenamento de objetos cloud usando Unity Catalog.

O senhor deve ter privilégios SELECT no ANY FILE securable para ler usando os seguintes padrões em clusters compartilhados habilitados para o Unity Catalog:

  • cloud armazenamento de objetos usando URIs.

  • Dados armazenados no site DBFS root ou usando montagens DBFS.

  • fonte de dados usando biblioteca ou drivers personalizados.

  • JDBC drivers não configurados com lakehouse Federation.

  • Fontes externas de dados que não são regidas pelo site Unity Catalog.

  • transmissão fonte de dados, exceto tabelas e volumes regidos pelo Unity Catalog e transmissão que utilizam nomes de tabelas registrados no Hive metastore.

Preocupações sobre ANY FILE privilégios seguros

Os privilégios no ANY FILE securable ignoram essencialmente as ACLs da tabela Hive legada definidas nos objetos do banco de dados. Use de discrição ao conceder privilégios no ANY FILE securable, caso não tenha migrado totalmente todas as tabelas para o Unity Catalog e ainda dependa de ACLs de tabelas Hive herdadas para gerenciar o acesso aos dados.

Os privilégios concedidos no ANY FILE securable nunca ignoram a governança de dados do Unity Catalog. No entanto, os usuários que têm privilégios no ANY FILE securable têm capacidade expandida para configurar e acessar fontes de dados não regidas por Unity Catalog.

Limitações para ANY FILE

ANY FILE é um securable legado que não é relatado no esquema de informações.