Я использую Azure DataBricks для работы с данными из Azure учетных записей хранения. Я монтирую их непосредственно в файловой системе Databricks, как написано здесь: Монтирование учетной записи хранения в файловой системе Databricks . Таким образом, данные доступны по пути: /mnt/storage_account/container/path_to_file
У меня смонтированы две учетные записи хранения. Первый - это стандартная учетная запись хранения, которая используется в качестве источника для таблиц, и пользователи не должны иметь возможность доступа к файлам там. Второй - это учетная запись хранения ADLS, где пользователи настроили политику доступа, а с помощью ADLS Passthrough можно читать и писать в предназначенные для них контейнеры.
Единственное, что я нашел для ограничения доступа к DBFS, - это использование ЛЮБОЙ ФАЙЛ Объект . Но после запуска GRANT SELECT ON ANY FILE TO <user>@<domain-name> пользователь может читать всю файловую систему и может читать конфиденциальные данные. С DENY SELECT ON ANY FILE пользователь не может писать и читать из любой учетной записи хранения, включая ADLS, поэтому ADLS Passtrough не работает.
Есть ли способ ограничить доступ к /mnt/storage_account_1/container/..., пока имеющий доступ к /mnt/storage_account_2/container...?