¿Qué es el ANY FILE protegible?

  • Artículo

Los privilegios del ANY FILE protegible conceden a la entidad de seguridad autorizada acceso directo al sistema de archivos y a los datos del almacenamiento de objetos en la nube, independientemente de las ACL de tabla de Hive establecidas en objetos de base de datos como esquemas o tablas.

Privilegios para ANY FILE

Puede conceder privilegios MODIFY o SELECT en el ANY FILE protegible a cualquier entidad de servicio, usuario o grupo mediante listas de control de acceso (ACL) de tabla de Hive heredadas. Todos los administradores del área de trabajo tienen privilegios MODIFY en ANY FILE de forma predeterminada. Cualquier usuario con privilegios MODIFY puede conceder o revocar privilegios en ANY FILE.

Debe tener privilegios en el ANY FILE protegible cuando se usan orígenes de datos personalizados o controladores JDBC no incluidos en la federación de Lakehouse. Consulte Qué es la Federación Lakehouse.

Los privilegios del ANY FILE protegible no pueden invalidar los privilegios de Unity Catalog y no conceden ni expanden privilegios en objetos de datos regidos por Unity Catalog. Algunos controladores y bibliotecas instaladas personalizadas podrían poner en peligro el aislamiento del usuario mediante el almacenamiento de datos de todos los usuarios en un directorio temporal común.

Los privilegios del ANY FILE protegible solo se aplican cuando se usan almacenes o clústeres de SQL con el modo de acceso compartido.

ANY FILE respeta los patrones de acceso heredados para los datos del almacenamiento de objetos en la nube, incluidas las credenciales de montaje y almacenamiento definidas en el nivel de proceso. Consulte Configuración del acceso al almacenamiento de objetos en la nube de Azure Databricks.

¿Cómo interactúa ANY FILE con Unity Catalog?

Al usar clústeres compartidos habilitados para Unity Catalog o almacenes de SQL, los privilegios en el ANY FILE protegible se evalúan al acceder a las rutas de acceso de almacenamiento o a los orígenes de datos que no se rigen por Unity Catalog. Los privilegios del ANY FILE protegible se evalúan después de todos los privilegios relacionados con Unity Catalog y sirven como reserva para las rutas de acceso de almacenamiento y las bibliotecas de conectores que no se administran con Unity Catalog.

Databricks recomienda usar la federación de Lakehouse para configurar el acceso de solo lectura a orígenes de datos externos admitidos. La federación de Lakehouse nunca requiere privilegios en el ANY FILE protegible. Consulte Qué es la Federación Lakehouse.

Los volúmenes y tablas de Unity Catalog proporcionan una gobernanza completa para los datos tabulares y no tabulares y no requieren privilegios en el ANY FILE protegible.

El acceso a los datos regidos por Unity Catalog mediante URI no puede usar privilegios en el ANY FILE protegible. ConsulteConexión al almacenamiento de objetos en la nube mediante Unity Catalog.

Debe tener privilegios SELECT en el ANY FILE protegible para leer con los siguientes patrones en clústeres compartidos habilitados para Unity Catalog:

  • Almacenamiento de objetos en la nube mediante URI.
  • Datos almacenados en la raíz de DBFS o mediante montajes DBFS.
  • Orígenes de datos mediante bibliotecas o controladores personalizados.
  • Controladores JDBC no configurados con La federación de Lakehouse.
  • Orígenes de datos externos que no se rigen por Unity Catalog.
  • Orígenes de datos de streaming, excepto tablas y volúmenes regidos por Unity Catalog y secuencias que usan nombres de tabla registrados en el metastore de Hive.

Preocupaciones sobre los privilegios de ANY FILE protegibles

Los privilegios en el ANY FILE protegible básicamente omiten las ACL heredadas de la tabla de Hive establecidas en objetos de base de datos. Vaya con precaución al conceder privilegios en el ANY FILE protegible, si no ha migrado completamente todas las tablas a Unity Catalog y todavía confía en las ACL heredadas de la tabla de Hive para administrar el acceso a los datos.

Los privilegios concedidos en el ANY FILE protegible nunca omiten la gobernanza de datos de Unity Catalog. Sin embargo, los usuarios que tienen privilegios en el ANY FILE protegible han ampliado la capacidad de configurar y acceder a orígenes de datos no regidos por Unity Catalog.

Limitaciones para ANY FILE

ANY FILE es un elemento protegible heredado que no se notifica en el esquema de información.