Entità di sicurezza

  • Articolo

Si applica a:check marked yes Databricks SQL check marked yes Databricks Runtime

Un'entità è un utente, un'entità servizio o un gruppo noto al metastore. Alle entità possono essere concessi privilegi e possono essere proprietari di oggetti a protezione diretta.

Sintassi

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Parametri

  • <user>@<domain-name>

    Un singolo utente. È necessario citare l'identificatore con segni di graduazione indietro (') a causa del carattere @ .

  • <sp-application-id>

    Entità servizio, specificata dal relativo applicationId valore. È necessario citare l'identificatore con segni di graduazione indietro (') a causa dei caratteri trattini nell'ID.

  • group_name

    Identificatore che specifica un gruppo di utenti o gruppi.

  • users

    Gruppo radice a cui appartengono tutti gli utenti dell'area di lavoro. Non è possibile concedere users privilegi a oggetti a protezione diretta nel catalogo unity perché si tratta di un gruppo locale dell'area di lavoro.

  • account users

    Gruppo radice a cui appartengono tutti gli utenti dell'account. È necessario citare l'identificatore con segni di graduazione indietro (') a causa del carattere vuoto.

Gruppi di account e locali dell'area di lavoro

Azure Databricks ha il concetto di gruppi di account e gruppi locali dell'area di lavoro, con comportamenti speciali:

  • I gruppi di account I gruppi di account possono essere creati dagli amministratori dell'account e dagli amministratori dell'area di lavoro delle aree di lavoro federate con identità. È possibile concedere l'accesso alle aree di lavoro federate con identità e ai privilegi per gli oggetti a protezione diretta nel catalogo unity.
  • I gruppi locali dell'area di lavoro possono essere creati solo dagli amministratori dell'area di lavoro. Questi gruppi vengono identificati come area di lavoro locale nella pagina delle impostazioni di amministrazione dell'area di lavoro e nella scheda Autorizzazioni dell'area di lavoro nella console dell'account. Non è possibile assegnare gruppi locali dell'area di lavoro ad aree di lavoro aggiuntive o concedere privilegi a oggetti a protezione diretta nel catalogo unity. I gruppi users di sistema e admins sono gruppi locali dell'area di lavoro.

Esempi

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;