メインコンテンツまでスキップ
最終更新

セキュリティ保護可能な ANY FILE とは

ANY FILEのセキュリティ保護可能な権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウドオブジェクトストレージ内のファイル システムとデータへの直接アクセスを資格のあるプリンシパルに付与します。

注記

ANY FILE セキュラブルは、レガシー Hive metastore テーブルアクセスコントロール モデルの一部です。Databricksは、Hive metastoreで管理されているテーブルをUnity Catalog metastoreにアップグレードすることを推奨します。Unity Catalog は、アカウント内の複数のワークスペースにわたるデータアクセスを一元的に管理および監査するための場所を提供することで、データのセキュリティとガバナンスを簡素化します。

権限: ANY FILE

レガシー Hive テーブルアクセスコントロールリスト (ACL) を使用して、ANY FILEのセキュリティ保護可能なオブジェクトに対して、MODIFYまたはSELECTの権限を任意のサービスプリンシパル、ユーザー、またはグループに付与できます。すべてのワークスペース管理者には、ANY FILE に対する MODIFY 特権がデフォルトで付与されます。MODIFYの権限を持つユーザーは、ANY FILEに対する権限を付与または取り消すことができます。

レイクハウスフェデレーションに含まれていないカスタム データソースまたは JDBC ドライバーを使用する場合は、保護可能な ANY FILE に対する権限が必要です。外部データベースおよびカタログに接続するを参照してください。

ANY FILEセキュリティ保護可能なオブジェクトに対する権限は、Unity Catalogの権限を上書きすることはできず、Unity Catalogによって管理されるデータオブジェクトに対する権限を付与または拡張することもありません。一部のドライバーやカスタムインストールされたライブラリは、すべてのユーザーのデータを共通の一時ディレクトリに保存することで、ユーザーの分離が損なわれる可能性があります。

ANY FILEセキュリティ保護可能なリソースに対する特権は、標準アクセス モード (以前の共有アクセス モード) で SQLウェアハウスまたはクラスターを使用する場合にのみ適用されます。

ANY FILE クラウドオブジェクトストレージ内のデータに対する従来のアクセスパターン (コンピュートレベルで定義されたマウントやストレージ資格情報など) を尊重します。「Databricks のクラウドオブジェクトストレージへのアクセスを従来のパターンを使用して構成する」を参照してください。

ANY FILEはUnity Catalogとどのように連携するのか

Unity Catalog対応の Standard クラスターまたはSQL ウェアハウスを使用する場合、Unity Catalog によって 管理されていない ストレージANY FILE パスまたはデータソースにアクセスするときに、 セキュリティ保護可能なリソースに対する特権が評価されます。ANY FILEセキュリティ保護可能なリソースに対する特権は、すべての Unity Catalog 関連の特権の後に評価され、Unity Catalog で管理されていないストレージ パスとコネクタ ライブラリのフォールバックとして機能します。

Databricks、サポートされている外部データソースへの読み取り専用アクセスを構成するために、レイクハウスフェデレーションを使用することをお勧めします。レイクハウスフェデレーションは、ANY FILE保護可能なものに対する権限を必要としません。外部データベースおよびカタログに接続するを参照してください。

Unity Catalog ボリュームとテーブルは、表形式および非表形式のデータに対して完全なガバナンスを提供し、ANY FILE のセキュリティ保護可能なオブジェクトに対する特権を必要としません。

URI を使用して Unity Catalog によって管理されるデータにアクセスする場合、ANY FILE セキュリティ保護可能なものに対する権限を使用することはできません。「Unity Catalog を使用してクラウド オブジェクト ストレージに接続する」を参照してください。

Unity Catalog 対応の標準クラスターで次のパターンを使用して読み取るには、セキュリティ保護可能な ANY FILE に対するSELECT特権が必要です。

  • URI を使用したクラウドオブジェクトストレージ。
  • DBFSルートまたはDBFSマウントを使用して格納されているデータ。
  • カスタムライブラリまたはドライバを使用するデータソース。
  • レイクハウスフェデレーションでJDBCドライバーが設定されていません。
  • Unity Catalog によって管理されていない外部データソース。
  • ストリーミングデータソース。ただし、Hive metastore に登録されたテーブル名を使用するストリーム、 およびUnity Catalogによって管理されるテーブルとボリュームを除きます。

セキュリティ保護可能な特権ANY FILEに関する懸念

ANY FILEのセキュリティ保護対象に対する権限は、データベースオブジェクトに設定されたレガシーHiveテーブルACLを実質的にバイパスします。すべてのテーブルを Unity Catalog に完全に移行しておらず、データのアクセス管理にレガシーな Hive テーブル ACL に引き続き依存している場合は、ANY FILEのセキュリティ保護可能なオブジェクトに対する権限を付与する際に慎重に判断してください。

ANY FILE セキュリティ保護可能なオブジェクトで付与された権限は Unity Catalog データガバナンスをバイパスすることはありません。ただし、 ANY FILEセキュリティ保護可能なオブジェクトに対する権限を持つユーザーは、Unity Catalog によって管理されていないデータ ソースを構成したりアクセスしたりする機能が拡張されています。

制限事項: ANY FILE

ANY FILE は情報スキーマに報告されない従来のセキュリティ保護可能なオブジェクトです。

このページの見出し