セキュリティ保護可能な ANY FILE
は何ですか?
ANY FILE
のセキュリティ保護可能な権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウドオブジェクトストレージ内のファイル システムとデータへの直接アクセスを資格のあるプリンシパルに付与します。
ANY FILE
の特権
従来のHiveテーブル アクセス コントロール リスト (ACL) を使用して、セキュリティ保護可能な ANY FILE
に対する MODIFY
または SELECT
権限をサービスプリンシパル、ユーザー、またはグループに付与できます。 デフォルトでは、すべてのワークスペース管理者は、 ANY FILE
に対するMODIFY
権限を持っています。 MODIFY
権限を持つユーザーは、ANY FILE
に対する権限を付与または取り消すことができます。
レイクハウスフェデレーションに含まれていないカスタム データソースまたはJDBCドライバーを使用する場合は、保護可能な ANY FILE
に対する権限が必要です。 レイクハウスフェデレーションとは何ですか?を参照してください。 。
ANY FILE
セキュリティ保護可能な権限は Unity Catalog の権限をオーバーライドできず、Unity Catalog によって管理されるデータ オブジェクトに対する権限を付与または拡張することはできません。 一部のドライバーとカスタム インストールされたライブラリは、すべてのユーザーのデータを 1 つの共通の一時ディレクトリに保存することにより、ユーザーの分離を損なう可能性があります。
ANY FILE
セキュリティ保護可能な権限は、共有アクセス モードで SQL ウェアハウスまたはクラスターを使用する場合にのみ適用されます。
ANY FILE
コンピュート レベルで定義されたマウントやストレージ資格情報など、クラウドオブジェクトストレージ内のデータに対する従来のアクセス パターンを尊重します。 「Databricks のクラウドオブジェクトストレージへのアクセスを構成する」を参照してください。
ANY FILE
はUnity Catalogとどのようにやり取りしますか?
Unity Catalogが有効な共有クラスターまたは SQL ウェアハウスを使用する場合、 によって 管理されない ストレージANY FILE
パスまたはデータ ソースにアクセスするときに、セキュリティ保護可能な Unity Catalogに対する権限が評価されます。ANY FILE
セキュリティ保護可能な権限は、Unity Catalog 関連のすべての権限の後に評価され、Unity Catalog で管理されていないストレージ パスおよびコネクタ ライブラリのフォールバックとして機能します。
Databricks 、サポートされている外部データ ソースへの読み取り専用アクセスを構成するためにレイクハウスフェデレーションを使用することをお勧めします。 レイクハウスフェデレーションは、 ANY FILE
保護可能なものに対する権限を必要としません。 レイクハウスフェデレーションとは何ですか?を参照してください。 。
Unity Catalogボリュームとテーブルは、表形式および非表形式のデータに対して完全なガバナンスを提供し、セキュリティ保護可能な ANY FILE
に対する権限を必要としません。
URI を使用して Unity Catalog によって管理されるデータへのアクセスは、セキュリティ保護可能な ANY FILE
に対する特権を使用できません。 「Unity Catalog を使用してクラウド オブジェクト ストレージとサービスに接続する」を参照してください。
Unity Catalog 対応の共有クラスターで次のパターンを使用して読み取るには、 ANY FILE
セキュリティ保護可能オブジェクトに対するSELECT
権限が必要です。
URI を使用したクラウドオブジェクトストレージ。
データは DBFS ルートに保存されるか、 DBFSマウントを使用して保存されます。
カスタム ライブラリまたはドライバーを使用したデータソース。
JDBCドライバーが Lakehousefedelation で構成されていません。
Unity Catalogによって管理されない外部データソース。
ストリーミングデータソース。ただし、Unity Catalog に登録されたテーブル名を使用する、 およびストリームによって管理されるテーブルとボリュームを除きます。Hive metastore
セキュリティ保護可能な特権ANY FILE
に関する懸念
ANY FILE
保護可能な権限は基本的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。 すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理に従来の Hive テーブル ACL に依存している場合は、セキュリティ保護可能なANY FILE
に対する権限を付与する際には慎重に行ってください。
ANY FILE
セキュリティ保護可能なものに付与された権限は、 Unity Catalogガバナンスをバイパスすることはありません。 ただし、セキュリティ保護可能な ANY FILE
に対する権限を持つユーザーは、 Unity Catalogによって管理されないデータ ソースを構成およびアクセスするための拡張された機能を持ちます。