Qual é o ANY FILE segurável?
Privilégios no objeto protegível ANY FILE concedem ao principal autorizado acesso direto ao sistema de arquivos e aos dados no armazenamento de objetos em cloud, independentemente de quaisquer ACLs de tabela Hive definidas em objetos de banco de dados como esquemas ou tabelas.
O recurso protegível ANY FILE faz parte do modelo de access control da tabela Hive metastore legado. A Databricks recomenda que o senhor atualize as tabelas gerenciadas pelo Hive metastore para o metastore do Unity Catalog. O Unity Catalog simplifica a segurança e a governança de seus dados, oferecendo um local central para administrar e auditar o acesso a dados em vários workspaces em sua account.
Privilégios para ANY FILE
Você pode conceder o privilégio MODIFY ou SELECT no securable ANY FILE a qualquer entidade de serviço, usuário ou grupo usando listas de controle de acesso (ACLs) da tabela Hive herdadas. Todos os administradores do workspace têm privilégios MODIFY em ANY FILE por default. Qualquer usuário com privilégios MODIFY pode conceder ou revogar privilégios em ANY FILE.
Você deve ter privilégios no recurso protegível ANY FILE ao usar fontes de dados personalizadas ou drivers JDBC não incluídos na Lakehouse Federation. Consulte O que é a Federação Lakehouse?.
Os privilégios no objeto ANY FILE não podem substituir os privilégios do Unity Catalog e não concedem ou expandem privilégios em objetos de dados regidos pelo Unity Catalog. Alguns drivers e bibliotecas instaladas sob encomenda podem comprometer o isolamento do usuário ao armazenar dados de todos os usuários em um diretório temporário comum.
Os privilégios no ANY FILE securable aplicam-se somente quando você usa SQL warehouses ou clusters com modo de acesso padrão (anteriormente modo de acesso compartilhado).
ANY FILE respeita os padrões de acesso legados para dados em armazenamento de objetos na nuvem, incluindo montagens e credenciais de armazenamento definidas no nível de compute. Consulte Configurar o acesso ao armazenamento de objetos na cloud para o Databricks usando padrões legados.
Como ANY FILE interage com o Unity Catalog?
Ao usar clusters padrão habilitados para o Unity Catalog ou SQL warehouses, os privilégios no objeto ANY FILE protegível são avaliados ao acessar caminhos de armazenamento ou fontes de dados que *não são governados* pelo Unity Catalog. Privilégios no objeto protegível ANY FILE são avaliados após todos os privilégios relacionados ao Unity Catalog e servem como um fallback para caminhos de armazenamento e bibliotecas de conector não gerenciados com o Unity Catalog.
A Databricks recomenda a utilização da Lakehouse Federation para configurar acesso somente leitura a fontes de dados externas compatíveis. Lakehouse Federation nunca exige privilégios no ativo seguro ANY FILE. Consulte O que é a Federação Lakehouse?.
Volumes e tabelas do Unity Catalog fornecem governança completa para dados tabulares e não tabulares e não exigem privilégios no objeto protegível ANY FILE.
O acesso a quaisquer dados governados pelo Unity Catalog usando URIs não pode usar privilégios no objeto protegível ANY FILE. Consulte Conectar ao armazenamento de objetos na nuvem usando o Unity Catalog.
É necessário ter SELECT privilégios no objeto protegível ANY FILE para leitura usando os seguintes padrões em clusters padrão habilitados para Unity Catalog:
- Armazenamento de objetos na cloud usando URIs.
- Dados armazenados na DBFS root ou em montagens DBFS.
- Fontes de dados que utilizam bibliotecas ou drivers personalizados.
- Drivers JDBC não configurados com o Lakehouse Federation.
- Fontes de dados externas que não são governadas pelo Unity Catalog.
- Fontes de dados de transmissão, exceto tabelas e volumes governados pelo Unity Catalog e transmissões que usam nomes de tabela registrados no Hive metastore.
Preocupações com ANY FILE privilégios protegíveis
Privilégios no objeto protegível ANY FILE essencialmente ignoram ACLs de tabela Hive legadas definidas em objetos de banco de dados. Use de discrição ao conceder privilégios no ANY FILE protegível, se não tiver migrado todas as tabelas para o Unity Catalog completamente e ainda depender das ACLs de tabela Hive legadas para gerenciar o acesso aos dados.
Os privilégios concedidos no objeto ANY FILE protegido nunca ignoram a governança de dados do Unity Catalog. No entanto, usuários com privilégios no objeto protegível ANY FILE têm capacidade expandida de configurar e acessar fontes de dados não regidas pelo Unity Catalog.
Limitações para ANY FILE
ANY FILE é um objeto de segurança legado que não é relatado no esquema de informações.