メインコンテンツまでスキップ

ANY FILE セキュリティ保護対象とは何ですか?

ANY FILEのセキュリティ保護可能な権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウドオブジェクトストレージ内のファイル システムとデータへの直接アクセスを資格のあるプリンシパルに付与します。

の特典 ANY FILE

セキュリティ保護可能な ANY FILE に対する MODIFY または SELECT の権限は、従来の Hive テーブルアクセスコントロール リスト (ACL) を使用して、任意のサービスプリンシパル、ユーザー、またはグループに付与できます。 すべてのワークスペース管理者は、デフォルトでANY FILEに対するMODIFY権限を持っています。MODIFY権限を持つユーザーは、ANY FILEに対する権限を付与または取り消すことができます。

レイクハウスフェデレーションに含まれていないカスタム データソースまたは JDBC ドライバーを使用する場合は、セキュリティ保護可能なANY FILEに対する特権が必要です。 「レイクハウスフェデレーションとは」を参照してください。

ANY FILEセキュリティ保護可能なリソースに対する特権は、Unity Catalog の特権をオーバーライドすることはできず、Unity Catalog によって管理されるデータ オブジェクトに対する特権を付与または拡張することもできません。一部のドライバーとカスタム インストール ライブラリでは、すべてのユーザーのデータを 1 つの共通の一時ディレクトリに格納することで、ユーザーの分離が損なわれる可能性があります。

ANY FILEセキュリティ保護可能なリソースに対する特権は、標準アクセス モード (以前の共有アクセス モード) で SQLウェアハウスまたはクラスターを使用する場合にのみ適用されます。

ANY FILE Cloud Object Storage 内のデータに対する従来のアクセスパターン (コンピュートレベルで定義されたマウントやストレージ資格情報など) を尊重します。 「Databricks のクラウド オブジェクト ストレージへのアクセスを構成する」を参照してください

ANY FILE は Unity Catalog とどのようにやり取りしますか?

Unity Catalog対応の Standard クラスターまたはSQL ウェアハウスを使用する場合、 によって管理されていない ストレージANY FILE パスまたはデータソースにアクセスするときに、 セキュリティ保護可能なリソースに対する特権が評価されます。Unity CatalogANY FILEセキュリティ保護可能なリソースに対する特権は、すべての Unity Catalog 関連の特権の後に評価され、Unity Catalog で管理されていないストレージ パスとコネクタ ライブラリのフォールバックとして機能します。

Databricks 、サポートされている外部データソースへの読み取り専用アクセスを設定するために、レイクハウスフェデレーションを使用することをお勧めします。 レイクハウスフェデレーションは、 ANY FILE セキュリティ保護可能な権限を必要としません。 「レイクハウスフェデレーションとは」を参照してください。

Unity Catalog のボリュームとテーブルは、表形式データと非表形式データの完全なガバナンスを提供し、 ANY FILE セキュリティ保護可能なデータに対する特権は必要ありません。

URI を使用して Unity Catalog によって管理されるデータへのアクセスは、セキュリティ保護可能な ANY FILE に対する特権を使用できません。 「Unity Catalog を使用してクラウド オブジェクト ストレージとサービスに接続する」を参照してください。

Unity Catalog 対応の標準クラスターで次のパターンを使用して読み取るには、セキュリティ保護可能な ANY FILE に対するSELECT特権が必要です。

  • URI を使用したクラウドオブジェクトストレージ。
  • DBFSルートまたはDBFSマウントを使用して保存されたデータ。
  • カスタムライブラリまたはドライバーを使用するデータソース。
  • JDBC ドライバーはレイクハウスフェデレーションで構成されていません。
  • Unity Catalogによって管理されていない外部データソース .
  • ストリーミングデータソース。ただし、Unity Catalog に登録されたテーブル名を使用する、 およびストリームによって管理されるテーブルとボリュームを除きます。Hive metastore

ANY FILEセキュリティ保護可能な特権に関する懸念

ANY FILEセキュリティ保護可能な権限は、基本的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。セキュリティ保護可能な ANY FILE に対する権限を付与する場合、すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理にレガシ Hive テーブル ACL に依存している場合は、慎重に行ってください。

ANY FILEセキュリティ保護可能なリソースに対して付与された特権は、 Unity Catalog データガバナンスをバイパスすることはありません。 ただし、ANY FILEセキュリティ保護可能なリソースに対する権限を持つユーザーは、 Unity Catalogによって管理されていないデータソースを構成してアクセスする機能が拡張されています。

の制限事項 ANY FILE

ANY FILE は、情報スキーマで報告されない従来のセキュリティ保護可能なリソースです。

最終更新