我正在使用Azure DataBricks处理来自Azure存储帐户的数据。我将它们直接安装在Databricks文件系统中,正如这里所写:在Databricks文件系统中安装存储帐户。因此,数据可以通过以下路径访问:/mnt/storage_account/container/path_to_file
我安装了两个存储帐户。第一个是标准存储帐户,它被用作表的源,用户不应该能够访问那里的文件。第二个是ADLS存储帐户,用户在其中配置了访问策略,使用ADLS Passthrough可以读取和写入专用于他们的容器。
我发现限制对DBFS的访问的唯一方法是使用ANY FILE对象。但一旦我运行GRANT SELECT ON ANY FILE TO <user>@<domain-name>,用户就可以读取整个文件系统,并且可以读取敏感数据。使用DENY SELECT ON ANY FILE,用户无法写入和读取任何存储帐户,包括ADLS帐户,因此ADLS Passthrough无法工作。
有没有办法限制对/mnt/storage_account_1/container/...的访问,同时仍然可以访问/mnt/storage_account_2/container...?
您可以尝试通过以下链接之一在存储帐户1上设置访问控制https://learn.microsoft.com/en-us/azure/storage/common/storage-auth?toc=/azure/storage/blobs/toc.json