Condividi tramite

Server principale

  • Articolo

Si applica a: segno di spunta sì Databricks SQL segno di spunta sì Databricks Runtime

Un'entità di sicurezza è un utente, un'entità servizio o un gruppo noto al metastore. Alle entità di sicurezza possono essere concessi privilegi e possono possedere oggetti a protezione diretta.

Sintassi

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Qualsiasi nome di oggetto che include caratteri speciali, ad esempio trattini o lineette (-), deve essere racchiuso da apici inversi (` `). I nomi degli oggetti con trattini bassi (_) non richiedono apici inversi. Vedere Nomi.

Parametri

  • <user>@<domain-name>

    Un utente singolo. È necessario eseguire l'escape dell'identificatore con apici inversi (`) a causa del carattere @ nel nome utente.

  • <sp-application-id>

    Entità servizio, specificata dal relativo valore applicationId. È necessario eseguire l'escape dell'identificatore con apici inversi (`) a causa dei trattini (-) nell'ID.

  • group_name

    Identificatore che specifica un gruppo di utenti o gruppi. È necessario eseguire l’escape dell'identificatore con apici inversi (`) se il nome del gruppo utilizza caratteri speciali, come i trattini (-).

  • utenti

    Il gruppo radice a cui appartengono tutti gli utenti dell'area di lavoro. Non è possibile concedere users privilegi su oggetti a protezione diretta in Unity Catalog perché si tratta di un gruppo locale dell'area di lavoro.

  • account users

    Il gruppo radice a cui appartengono tutti gli utenti dell'account. È necessario eseguire l'escape dell'identificatore con apici inversi (`) a causa dello spazio.

Gruppi di account e gruppi locali di area di lavoro

Azure Databricks ha il concetto di gruppi di account e gruppi locali di area di lavoro, con comportamenti speciali:

  • Gruppi di account I gruppi di account possono essere creati dagli amministratori dell'account e dagli amministratori dell'area di lavoro di aree di lavoro con federazione delle identità. È possibile concedere l'accesso alle aree di lavoro federate con identità e ai privilegi per gli oggetti a protezione diretta in Unity Catalog.
  • I gruppi locali di area di lavoro possono essere creati solo dagli amministratori dell'area di lavoro. Questi gruppi vengono identificati come locali di area di lavoro nella pagina delle impostazioni di amministrazione dell'area di lavoro e nella scheda Autorizzazioni dell'area di lavoro nella console dell'account. Non è possibile assegnare gruppi locali dell'area di lavoro ad aree di lavoro aggiuntive o concedere privilegi a oggetti a protezione diretta in Unity Catalog. I gruppi di sistema users e admins sono gruppi locali dell'area di lavoro.

Esempi

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;