보안 개체란 ANY FILE ?

  • 아티클

보안 개체에 대한 ANY FILE 권한은 스키마 또는 테이블과 같은 데이터베이스 개체에 설정된 Hive 테이블 ACL에 관계없이 클라우드 개체 스토리지의 파일 시스템 및 데이터에 대한 권한 있는 주체 직접 액세스 권한을 부여합니다.

에 대한 권한 ANY FILE

레거시 Hive ACL(테이블 액세스 제어 목록)을 사용하여 모든 서비스 주체, 사용자 또는 그룹에 보안 개체에 대한 권한을 부여하거나 SELECT 권한을 ANY FILE 부여 MODIFY 할 수 있습니다. 모든 작업 영역 관리자는 기본적으로 권한을 갖 MODIFY 습니다 ANY FILE . 권한이 있는 MODIFY 모든 사용자는 에 대한 ANY FILE권한을 부여하거나 취소할 수 있습니다.

사용자 지정 데이터 원본 또는 Lakehouse 페더레이션에 포함되지 않은 JDBC 드라이버를 사용하는 경우 보안 개체에 대한 ANY FILE 권한이 있어야 합니다. 레이크하우스 페더레이션이란?

보안 개체에 ANY FILE 대한 권한은 Unity 카탈로그 권한을 재정의할 수 없으며 Unity 카탈로그가 관리하는 데이터 개체에 대한 권한을 부여하거나 확장할 수 없습니다. 일부 드라이버 및 사용자 지정 설치 라이브러리는 모든 사용자의 데이터를 하나의 공통 임시 디렉터리에 저장하여 사용자 격리를 손상시킬 수 있습니다.

보안 개체에 ANY FILE 대한 권한은 공유 액세스 모드가 있는 SQL 웨어하우스 또는 클러스터를 사용하는 경우에만 적용됩니다.

ANY FILE 는 컴퓨팅 수준에서 정의된 탑재 및 스토리지 자격 증명을 포함하여 클라우드 개체 스토리지의 데이터에 대한 레거시 액세스 패턴을 준수합니다. Azure Databricks에 대한 클라우드 개체 스토리지에 대한 액세스 구성을 참조 하세요.

ANY FILE Unity 카탈로그와 상호 작용하는 방법

Unity 카탈로그 사용 공유 클러스터 또는 SQL 웨어하우스를 사용하는 경우 Unity 카탈로그에서 제어하지 않는 스토리지 경로 또는 데이터 원본에 액세스할 때 보안 개체에 대한 ANY FILE 권한이 평가됩니다. 보안 개체에 ANY FILE 대한 권한은 모든 Unity 카탈로그 관련 권한 후에 평가되며 Unity 카탈로그로 관리되지 않는 스토리지 경로 및 커넥터 라이브러리에 대한 대체 역할을 합니다.

Databricks는 지원되는 외부 데이터 원본에 대한 읽기 전용 액세스를 구성하기 위해 Lakehouse Federation을 사용하는 것이 좋습니다. 레이크하우스 페더레이션은 보안 개체에 대한 ANY FILE 권한이 필요하지 않습니다. 레이크하우스 페더레이션이란?

Unity 카탈로그 볼륨 및 테이블은 테이블 형식 및 비타블 데이터에 대한 전체 거버넌스를 제공하며 보안 개체에 대한 ANY FILE 권한이 필요하지 않습니다.

URI를 사용하여 Unity 카탈로그가 관리하는 모든 데이터에 대한 액세스는 보안 개체에 대한 ANY FILE 권한을 사용할 수 없습니다. Unity 카탈로그를 사용하여 클라우드 개체 스토리지에 대한 커넥트 참조하세요.

Unity 카탈로그 사용 공유 클러스터에서 ANY FILE 다음 패턴을 사용하여 읽을 수 있는 보안 개체에 대한 권한이 있어야 합니다SELECT.

  • URI를 사용하는 클라우드 개체 스토리지입니다.
  • DBFS 루트 또는 DBFS 탑재를 사용하여 저장된 데이터입니다.
  • 사용자 지정 라이브러리 또는 드라이버를 사용하는 데이터 원본입니다.
  • 레이크하우스 페더레이션으로 구성되지 않은 JDBC 드라이버입니다.
  • Unity 카탈로그에서 관리되지 않는 외부 데이터 원본입니다.
  • Unity 카탈로그가 관리하는 테이블 및 볼륨을 제외한 스트리밍 데이터 원본 및 Hive 메타스토어에 등록된 테이블 이름을 사용하는 스트림.

보안 가능한 권한에 대한 ANY FILE 우려 사항

보안 개체에 ANY FILE 대한 권한은 기본적으로 데이터베이스 개체에 설정된 레거시 Hive 테이블 ACL을 무시합니다. 모든 테이블을 Unity 카탈로그로 ANY FILE 완전히 마이그레이션하지 않았고 여전히 레거시 Hive 테이블 ACL을 사용하여 데이터에 대한 액세스를 관리하는 경우 보안 개체에 대한 권한을 부여할 때 재량권을 사용합니다.

보안 개체에 ANY FILE 부여된 권한은 Unity 카탈로그 데이터 거버넌스를 무시하지 않습니다. 그러나 보안 개체에 대한 ANY FILE 권한이 있는 사용자는 Unity 카탈로그가 제어하지 않는 데이터 원본을 구성하고 액세스하는 기능이 확장되었습니다.

에 대한 제한 사항 ANY FILE

ANY FILE 는 정보 스키마에 보고되지 않는 레거시 보안 개체입니다.