Was ist das sicherungsfähige Objekt ANY FILE ?

  • Artikel

Die Berechtigungen für das sicherungsfähige Objekt ANY FILE gewähren dem berechtigten Prinzipal direkten Zugriff auf das Dateisystem und die Daten im Cloudobjektspeicher, unabhängig von strukturbasierten Apache Hive-Tabellen-ACLs, die für Datenbankobjekte wie Schemata oder Tabellen festgelegt sind.

Berechtigungen für ANY FILE

Sie können jedem Dienstprinzipal, jedem Benutzer oder jeder Gruppe mithilfe von Legacy-Zugriffssteuerungslisten für Hive-Tabellen (ACCESS Control Lists, ACLs) BerechtigungenMODIFY oder SELECT für das sicherungsfähige Objekt ANY FILE erteilen. Alle Arbeitsbereichsadministratoren verfügen standardmäßig über MODIFY-Berechtigungen für ANY FILE. Jeder Benutzer mit MODIFY Berechtigungen kann Berechtigungen erteilen oder widerrufen für ANY FILE.

Sie müssen über Berechtigungen für das sicherungsfähige Objekt ANY FILE verfügen, wenn Sie benutzerdefinierte Datenquellen oder JDBC Treiber verwenden, die nicht in Lakehouse Federation enthalten sind. Weitere Informationen finden Sie unter Was ist der Lakehouse-Verbund?.

Die Berechtigung für das sicherungsfähige Objekt ANY FILE kann keine Unity Catalog-Berechtigungen außer Kraft setzen und gewährt oder erweitert keine Berechtigungen auf Datenobjekte, die von Unity Catalog verwaltet werden. Einige Treiber und benutzerdefiniert installierte Bibliotheken können die Benutzerisolierung gefährden, indem sie die Daten aller Benutzerkonten in einem gemeinsamen temporären Verzeichnis speichern.

Berechtigungen für das sicherungsfähige Objekt ANY FILE gelten nur, wenn Sie SQL-Warehouses oder Cluster mit gemeinsamem Zugriffsmodus verwenden.

ANY FILE berücksichtigt Legacy-Zugriffsmuster für Daten im Cloudobjektspeicher, einschließlich Bereitstellungen und Speicheranmeldeinformationen, die auf Computeebene definiert sind. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf Cloudobjektspeicher für Azure Databricks.

Wie interagiert ANY FILE mit Unity Catalog?

Wenn Sie freigegebene Cluster oder SQL-Warehouses verwenden, die vom Unity-Katalog aktiviert sind, werden Berechtigungen für das sicherungsfähige Objekt ANY FILE ausgewertet, wenn sie auf Speicherpfade oder Datenquellen zugreifen, die nicht vom Unity-Katalog gesteuert werden. Die Berechtigungen für das sicherungsfähige Objekt ANY FILE werden nach allen Unity Catalog-bezogenen Berechtigungen ausgewertet und dienen als Fallback für Speicherpfade und Connector-Bibliotheken, die nicht mit Unity Catalog verwaltet werden.

Databricks empfiehlt die Verwendung des Lakehouse-Verbunds für die Konfiguration des schreibgeschützten Zugriffs auf unterstützte externe Datenquellen. Lakehouse Federation erfordert niemals Berechtigungen für das sicherungsfähige Objekt ANY FILE. Weitere Informationen finden Sie unter Was ist der Lakehouse-Verbund?.

Unity-Katalogvolumes und -tabellen bieten vollständige Governance für tabellarische und nichttabellenfähige Daten und erfordern keine Berechtigungen für das sicherungsfähige Objekt ANY FILE.

Der Zugriff auf alle Daten, die vom Unity-Katalog gesteuert werden, mit URIs können keine Berechtigungen für das sicherungsfähige Objekt ANY FILE verwenden. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Cloudobjektspeichern mithilfe von Unity Catalog.

Sie müssen über Berechtigungen SELECT auf das sicherungsfähige Objekt ANY FILE verfügen, die für das Lesen mit den folgenden Mustern für freigegebene Cluster mit Unity-Katalog aktiviert sind:

  • Cloudobjektspeicherung mithilfe von URIs.
  • Daten, die im DBFS-Stamm gespeichert sind, oder DBFS-Einbindungen verwenden.
  • Datenquellen, die benutzerdefinierte Bibliotheken oder Treiber benutzen.
  • JDBC-Treiber, die nicht mit dem Lakehouse-Verbund konfiguriert sind.
  • Externe Datenquellen, die nicht von Unity Catalog verwaltet werden.
  • Streaming-Datenquellen, mit Ausnahme von Tabellen und Volumes, die von Unity Catalog verwaltet werden, und Streams, die im Hive-Metastore registrierte Tabellennamen verwenden.

Bedenken hinsichtlich Berechtigungen auf sicherungsfähige Objekte ANY FILE

Berechtigungen für das sicherungsfähige Objekt ANY FILE umgehen im Wesentlichen Legacy-ACLs der Hive-Tabelle, die für Datenbankobjekte festgelegt sind. Wenn Sie nicht alle Tabellen vollständig auf Unity Catalog migriert haben und sich bei der Verwaltung des Datenzugriffs immer noch auf die Legacy-ACLs der Hive-Tabelle verlassen, sollten Sie Berechtigungen auf das sicherungsfähige Objekt ANY FILEmit Bedacht vergeben.

Berechtigungen, die für das sicherungsfähige Objekt ANY FILE gewährt werden, umgehen niemals die Datengovernance des Unity-Katalogs. Benutzerkonten mit Berechtigungen auf das sicherungsfähige Objekt ANY FILE haben jedoch die Möglichkeit, Datenquellen, die nicht von Unity Catalog verwaltet werden, zu konfigurieren und darauf zuzugreifen.

Einschränkungen für ANY FILE

ANY FILE ist ein sicherungsfähige Legacy-Objekt, das nicht im Informationsschema aufgeführt ist.