Prinzipal
Gilt für: Databricks SQL Databricks Runtime
Ein Prinzipal ist ein Benutzer, Dienstprinzipal oder eine Gruppe, der bzw. die im Metastore bekannt ist. Prinzipale können Berechtigungen erhalten und Besitzer sicherungsfähiger Objekte sein.
Syntax
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
Parameter
<user>@<domain-name>
Ein einzelner Benutzer. Sie müssen den Bezeichner aufgrund des @-Zeichens in Graviszeichen (`) setzen.
<sp-application-id>
Ein Dienstprinzipal, der durch seinen
applicationId
-Wert angegeben wird. Sie müssen den Bezeichner aufgrund der Bindestriche in der ID in Graviszeichen (`) setzen.group_name
Ein Bezeichner, der eine Gruppe von Benutzern oder Gruppen angibt.
users
Die Stammgruppe, zu der alle Benutzer im Arbeitsbereich gehören. Sie können im Unity-Katalog
users
keine Berechtigungen für sicherungsfähige Objekte gewähren, da es sich um eine lokale Arbeitsbereichsgruppe handelt.account users
Die Stammgruppe, zu der alle Benutzer im Konto gehören. Sie müssen den Bezeichner aufgrund des leeren Zeichens (`) setzen.
Arbeitsbereichslokale Gruppen und Kontogruppen
Azure Databricks verfügt über das Konzept von Kontogruppen und arbeitsbereichslokalen Gruppen mit speziellen Verhaltensweisen:
- Kontogruppen Kontogruppen können von Kontoadministratoren und Arbeitsbereichsadministratoren von Arbeitsbereichen des Identitätsverbunds erstellt werden. Sie können Zugriff auf Arbeitsbereiche im Identitätsverbund und Berechtigungen für sicherheitsrelevante Objekte im Unity Catalog erhalten.
- Arbeitsbereichslokale Gruppen können nur von Arbeitsbereichsadministratoren erstellt werden. Diese Gruppen werden auf der Seite „Verwaltundseinstellungen“ des Arbeitsbereichs und auf der Registerkarte „Arbeitsbereichsberechtigungen“ in der Kontokonsole als arbeitsbereichslokal gekennzeichnet. Arbeitsbereichlokale Gruppen können nicht zusätzlichen Arbeitsbereichen zugewiesen oder mit Privilegien für sicherbare Objekte im Unity Catalog ausgestattet werden. Die Systemgruppen
users
undadmins
sind arbeitsbereichslokale Gruppen.
Beispiele
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;
Verwandte Themen
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für