Ruoli Postgres

Importante

Lakebase Provisioned è l'offerta originale di Lakebase che utilizza calcolo provisionato che puoi scalare manualmente. Per le aree supportate, vedere Disponibilità dell'area. Per la versione più recente di Lakebase, con calcolo con scalabilità automatica, scala-a-zero, branching e ripristino istantaneo, vedere Lakebase Autoscaling.

Dal 12 marzo 2026, le nuove istanze di Lakebase vengono create come progetti di scalabilità automatica. Le istanze con provisioning esistenti vengono aggiornate automaticamente alla scalabilità automatica, a partire da giugno 2026. Per informazioni dettagliate, vedere Eseguire l'aggiornamento alla scalabilità automatica di Lakebase.

Questa pagina illustra i ruoli postgres che è possibile usare per gestire l'accesso a un'istanza di database di Azure Databricks Lakebase, inclusi i privilegi, lo scopo e la configurazione.

Ruoli creati in modo preliminare

Dopo aver creato un'istanza del database, Azure Databricks crea automaticamente un ruolo Postgres per l'utente che ha creato l'istanza.

Ruolo Description Privilegi ereditati
<instance_owner_role> Identità di Azure Databricks dell'autore dell'istanza , ad esempio myuser@databricks.com. Questo ruolo può accedere e amministrare l'istanza. Membro di databricks_superuser
databricks_superuser Ruolo amministrativo interno. Usato per configurare e gestire l'accesso nell’ambito dell’istanza. Questo ruolo viene concesso a privilegi generali e non deve essere usato nelle applicazioni automatizzate. Eredita da pg_read_all_data, pg_write_all_data, e pg_monitor.

Funzionalità del ruolo

Ruolo LOGIN CREATEDB CREATEROLE BYPASSRLS Altri privilegi
databricks_superuser NOLOGIN
  • Tutti i privilegi (con concessione) su tutti i database, schemi, tabelle e sequenze
  • EXECUTE su pg_stat_statements_reset()
<instance_owner_role>
  • Proprietario del database predefinito databricks_postgres

Ruoli di sistema creati da Azure Databricks

Oltre ai ruoli di amministratore e databricks_superuser, Azure Databricks crea i ruoli di sistema necessari per i servizi interni. A questi ruoli vengono assegnati i privilegi minimi necessari per la funzionalità. Modificare questi elementi può influire sul comportamento dell'istanza.

Ruolo Scopo
databricks_control_plane Usato dai componenti interni di Databricks per le operazioni di gestione
databricks_monitor Usato dai servizi di raccolta delle metriche interne
databricks_writer_<dbid> Ruolo per database usato per creare e gestire tabelle sincronizzate
databricks_reader_<dbid> Ruolo per database usato per leggere le tabelle registrate nel Catalogo Unity
databricks_gateway Usato per le connessioni interne per i servizi di gestione dei dati gestiti

Per informazioni sul funzionamento di ruoli, privilegi e appartenenze ai ruoli in Postgres, usare le risorse seguenti nella documentazione di Postgres:

Creare i ruoli Postgres per le identità di Azure Databricks

Viene creato automaticamente un ruolo Postgres per l'identità Azure Databricks del proprietario dell'istanza del database. Per consentire ad altre identità di Azure Databricks di accedere, creare ruoli aggiuntivi usando l'interfaccia utente o le query PostgreSQL.

Note

Le azioni di gestione dei ruoli sono regolate dalle autorizzazioni concesse nell'istanza del database. Assicurarsi di disporre del livello di accesso appropriato prima di tentare di gestire i ruoli.

Interfaccia utente

Gli utenti con CAN USE autorizzazione possono visualizzare i ruoli esistenti o aggiungere un ruolo per la propria identità. Gli utenti con CAN MANAGE possono creare ruoli per altre identità Azure Databricks ed eliminare qualsiasi ruolo.

  1. Fare clic sull'icona App.App nell'angolo in alto a destra e selezionare Lakebase Postgres.
  2. Fare clic su Provisioning per aprire la pagina Istanze di cui è stato effettuato il provisioning .
  3. Selezionare l'istanza del database.
  4. Selezionare la pagina Ruoli nella barra laterale dell'app Lakebase.
  5. Fare clic su Aggiungi ruolo.
  6. Dal menu a discesa Entità, seleziona un utente, un gruppo o un'entità servizio.
  7. (Facoltativo) Selezionare Ruoli di sistema per concedere databricks_superuser (accesso in lettura e scrittura a tutti i dati).
  8. (Facoltativo) Selezionare Attributi di sistema per concedere CREATEDB, CREATEROLEo BYPASSRLS.
  9. Fare clic su Aggiungi.

PostgreSQL

Requisiti:

  • È necessario disporre delle autorizzazioni CREATE e CREATE ROLE per il database.
  • È necessario autenticarsi con un'identità di Azure Databricks. Le sessioni autenticate native di Postgres non possono creare ruoli di Azure Databricks.
  • Il token di autenticazione deve essere valido.

Usare la databricks_create_role funzione dall'estensione databricks_auth :

CREATE EXTENSION IF NOT EXISTS databricks_auth;

-- Databricks user
SELECT databricks_create_role('myuser@databricks.com', 'USER');

-- Service principal (use application ID)
SELECT databricks_create_role('8c01cfb1-62c9-4a09-88a8-e195f4b01b08', 'SERVICE_PRINCIPAL');

-- Group
SELECT databricks_create_role('My Group 123', 'GROUP');

I nuovi ruoli hanno privilegi concessi solo a PUBLIC. Usate i comandi Postgres standard GRANT e REVOKE per aggiungere permessi.

Visualizzare i ruoli di identità di Azure Databricks

Interfaccia utente

È possibile visualizzare gli utenti, i gruppi e le entità servizio con un ruolo Postgres corrispondente nella pagina Ruoli .

  1. Fare clic sull'icona App.App nell'angolo in alto a destra e selezionare Lakebase Postgres.
  2. Fare clic su Provisioning per aprire la pagina Istanze di cui è stato effettuato il provisioning .
  3. Selezionare l'istanza del database.
  4. Selezionare la pagina Ruoli nella barra laterale dell'app Lakebase.

PostgreSQL

Usare la funzione databricks_list_roles dall'estensione databricks_auth per elencare tutti i ruoli di identità Azure Databricks, ovvero utenti, entità servizio e gruppi aggiunti per l'autenticazione come ruoli Postgres.

CREATE EXTENSION IF NOT EXISTS databricks_auth;

SELECT * from databricks_list_roles;

Eliminare un ruolo Postgres

Interfaccia utente

  1. Fare clic sull'icona App.App nell'angolo in alto a destra e selezionare Lakebase Postgres.
  2. Fare clic su Provisioning per aprire la pagina Istanze di cui è stato effettuato il provisioning .
  3. Selezionare l'istanza del database.
  4. Selezionare la pagina Ruoli nella barra laterale dell'app Lakebase.
  5. Per il ruolo che si desidera rilasciare, fare clic sull'icona del menu Kebab e fare clic su Rilascia.
  6. (Facoltativo) Attivare Riassegnare gli oggetti di proprietà per riassegnare gli oggetti di proprietà prima dell'eliminazione.
  7. Cliccare Conferma.

PostgreSQL

Eliminare un ruolo di Azure Databricks basato sull'identità come qualsiasi altro ruolo Postgres. Vedere la documentazione di PostgreSQL sull'eliminazione dei ruoli.

  • Last updated on