セキュリティ保護可能な ANY FILE は何ですか?

ANY FILEのセキュリティ保護可能な権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウド オブジェクト ストレージ内のファイル システムとデータへの直接アクセスを資格のあるプリンシパルに付与します。

ANY FILEの特権

従来のHiveテーブル アクセス コントロール リスト (ACL) を使用して、セキュリティ保護可能な ANY FILE に対する MODIFY または SELECT 権限をサービスプリンシパル、ユーザー、またはグループに付与できます。 デフォルトでは、すべてのワークスペース管理者は、 ANY FILEに対するMODIFY権限を持っています。 MODIFY権限を持つユーザーは、ANY FILEに対する権限を付与または取り消すことができます。

レイクハウスフェデレーションに含まれていないカスタム データソースまたはJDBCドライバーを使用する場合は、保護可能な ANY FILE に対する権限が必要です。 「レイクハウスフェデレーションとは」をご覧ください。

ANY FILEセキュリティ保護可能な権限は Unity Catalog の権限をオーバーライドできず、Unity Catalog によって管理されるデータ オブジェクトに対する権限を付与または拡張することはできません。 一部のドライバーとカスタム インストールされたライブラリは、すべてのユーザーのデータを 1 つの共通の一時ディレクトリに保存することにより、ユーザーの分離を損なう可能性があります。

ANY FILEセキュリティ保護可能な権限は、共有アクセス モードで SQL ウェアハウスまたはクラスターを使用する場合にのみ適用されます。

ANY FILE コンピュート レベルで定義されたマウントやストレージ資格情報など、クラウド オブジェクト ストレージ内のデータに対する従来のアクセス パターンを尊重します。 「Databricks のクラウド オブジェクト ストレージへのアクセスを構成する」を参照してください。

ANY FILE はUnity Catalogとどのようにやり取りしますか?

Unity Catalogが有効な共有クラスターまたは SQL ウェアハウスを使用する場合、 によって 管理されない ストレージANY FILE パスまたはデータ ソースにアクセスするときに、セキュリティ保護可能な Unity Catalogに対する権限が評価されます。ANY FILEセキュリティ保護可能な権限は、Unity Catalog 関連のすべての権限の後に評価され、Unity Catalog で管理されていないストレージ パスおよびコネクタ ライブラリのフォールバックとして機能します。

Databricks 、サポートされている外部データ ソースへの読み取り専用アクセスを構成するためにレイクハウスフェデレーションを使用することをお勧めします。 レイクハウスフェデレーションは、 ANY FILE保護可能なものに対する権限を必要としません。 レイクハウスフェデレーションとは何かをご覧ください。

Unity Catalogボリュームとテーブルは、表形式および非表形式のデータに対して完全なガバナンスを提供し、セキュリティ保護可能な ANY FILE に対する権限を必要としません。

URI を使用してUnity Catalogによって管理されるデータにアクセスする場合、ANY FILE セキュリティ保護可能なものに対する権限を使用することはできません。 「Unity Catalog を使用してクラウド オブジェクト ストレージに接続する」を参照してください。

Unity Catalog 対応の共有クラスターで次のパターンを使用して読み取るには、 ANY FILEセキュリティ保護可能オブジェクトに対するSELECT権限が必要です。

  • URI を使用したクラウド オブジェクト ストレージ。

  • データは DBFS ルートに保存されるか、 DBFSマウントを使用して保存されます。

  • カスタム ライブラリまたはドライバーを使用したデータソース。

  • JDBCドライバーが Lakehousefedelation で構成されていません。

  • Unity Catalogによって管理されない外部データソース。

  • ストリーミング データソース。ただし、Unity Catalog に登録されたテーブル名を使用する、 およびストリームによって管理されるテーブルとボリュームを除きます。Hive metastore

セキュリティ保護可能な特権ANY FILEに関する懸念

ANY FILE保護可能な権限は基本的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。 すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理に従来の Hive テーブル ACL に依存している場合は、セキュリティ保護可能なANY FILEに対する権限を付与する際には慎重に行ってください。

ANY FILE セキュリティ保護可能なものに付与された権限は、 Unity Catalogガバナンスをバイパスすることはありません。 ただし、セキュリティ保護可能な ANY FILE に対する権限を持つユーザーは、 Unity Catalogによって管理されないデータ ソースを構成およびアクセスするための拡張された機能を持ちます。

ANY FILEの制限事項

ANY FILE これは、情報スキーマで報告されていない従来のセキュリティ保護可能なものです。