セキュリティ保護可能な ANY FILE とは

  • [アーティクル]

セキュリティ保護可能な ANY FILE の権限は、スキーマやテーブルなどのデータベース オブジェクトに設定された Hive テーブル ACL に関係なく、クラウド オブジェクト ストレージのファイルシステムとデータへの直接アクセスを許可します。

ANY FILE の権限

セキュリティ保護可能な ANY FILEMODIFY または SELECT 権限を、従来の Hive テーブルのアクセス制御リスト (ACL) を使用して、任意のサービス プリンシパル、ユーザー、またはグループに付与できます。 すべてのワークスペース管理者には、既定で ANY FILE に対する MODIFY 権限があります。 MODIFY 権限を持つすべてのユーザーは、ANY FILE の権限を付与または取り消すことができます。

Lakehouse フェデレーションに含まれていないカスタム データ ソースまたは JDBC ドライバーを使用する場合、セキュリティ保護可能な ANY FILE の権限が必要です。 「Lakehouse フェデレーションとは」をご覧ください。

セキュリティ保護可能な ANY FILE の権限は、Unity Catalog 権限をオーバーライドできず、Unity Catalog によって管理されるデータ オブジェクトに権限を付与または拡張しません。 ドライバーやカスタムインストールされているライブラリの中には、すべてのユーザーのデータを共通の一時ディレクトリに保存することで、ユーザの分離を侵害するものがあります。

セキュリティ保護可能な ANY FILE の権限は、共有アクセス モードで SQL ウェアハウスまたはクラスターを使用する場合にのみ適用されます。

ANY FILE では、コンピューティング レベルで定義されたマウントやストレージ資格情報など、クラウド オブジェクト ストレージのデータに対する従来のアクセス パターンが尊重されます。 Azure Databricks のクラウド オブジェクト ストレージへのアクセスの構成に関するページを参照してください。

ANY FILE と Unity Catalog を相互作用させる方法

Unity Catalog 対応の共有クラスターまたは SQL ウェアハウスを使用する場合、Unity Catalog によって "管理されていない" ストレージ パスまたはデータ ソースにアクセスするときに、セキュリティ保護可能な ANY FILE の権限が評価されます。 セキュリティ保護可能な ANY FILE の権限は、Unity Catalog 関連のすべての権限の後に評価され、Unity Catalog で管理されていないストレージ パスおよびコネクタ ライブラリのフォールバックとして機能します。

Databricks では、サポートされている外部データ ソースへの読み取り専用アクセスを構成するために、Lakehouse フェデレーションを使用することをおすすめします。 Lakehouse フェデレーションでは、セキュリティ保護可能な ANY FILE の権限は必要ありません。 「Lakehouse フェデレーションとは」をご覧ください。

Unity Catalog のボリュームとテーブルでは、表形式データと表形式以外のデータの完全なガバナンスが提供され、セキュリティ保護可能な ANY FILE の権限は必要ありません。

URI を使用して Unity Catalog で管理されるデータへのアクセスでは、セキュリティ保護可能な ANY FILE の権限を使用できません。 「Unity Catalog を使用したクラウド オブジェクト ストレージへの接続」を参照してください。

Unity Catalog 対応の共有クラスターで次のパターンを使用して読み取るために、セキュリティ保護可能な ANY FILESELECT 権限が必要です。

  • URI を使用したクラウド オブジェクト ストレージ。
  • DBFS ルートの格納データ、または DBFS マウントを使用した格納データ。
  • カスタム ライブラリやドライバーを使用したデータ ソース。
  • Lakehouse フェデレーションで構成されていない JDBC ドライバー。
  • Unity Catalog によって管理されていない外部データ ソース。
  • Unity Catalog によって管理されるテーブルとボリューム、および Hive メタストアに登録されたテーブル名を使用するストリームを除く、ストリーミング データ ソース。

セキュリティ保護可能な ANY FILE の権限に関する懸念事項

セキュリティ保護可能な ANY FILE の権限は本質的に、データベース オブジェクトに設定された従来の Hive テーブル ACL をバイパスします。 すべてのテーブルを Unity Catalog に完全に移行しておらず、データへのアクセスの管理を従来の Hive テーブル ACL に引き続き依存している場合は、セキュリティ保護可能な ANY FILE の権限を慎重に付与してください。

セキュリティ保護可能な ANY FILE に付与された権限は、Unity Catalog データ ガバナンスをバイパスすることはありません。 ただし、セキュリティ保護可能な ANY FILE の権限を持つユーザーには、Unity Catalog によって管理されていないデータ ソースを構成してアクセスする拡張機能があります。

ANY FILE の制限事項

ANY FILE は、情報スキーマに報告されていないセキュリティ保護可能な従来の権限です。