Prinzipal

  • Artikel

Gilt für:check marked yes Databricks SQL check marked yes Databricks Runtime

Ein Prinzipal ist ein Benutzer, Dienstprinzipal oder eine Gruppe, der bzw. die im Metastore bekannt ist. Prinzipale können Berechtigungen erhalten und Besitzer sicherungsfähiger Objekte sein.

Syntax

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Parameter

  • <user>@<domain-name>

    Ein einzelner Benutzer. Sie müssen den Bezeichner aufgrund des @-Zeichens in Graviszeichen (`) setzen.

  • <sp-application-id>

    Ein Dienstprinzipal, der durch seinen applicationId-Wert angegeben wird. Sie müssen den Bezeichner aufgrund der Bindestriche in der ID in Graviszeichen (`) setzen.

  • group_name

    Ein Bezeichner, der eine Gruppe von Benutzern oder Gruppen angibt.

  • users

    Die Stammgruppe, zu der alle Benutzer im Arbeitsbereich gehören. Sie können im Unity-Katalog users keine Berechtigungen für sicherungsfähige Objekte gewähren, da es sich um eine lokale Arbeitsbereichsgruppe handelt.

  • account users

    Die Stammgruppe, zu der alle Benutzer im Konto gehören. Sie müssen den Bezeichner aufgrund des leeren Zeichens (`) setzen.

Arbeitsbereichslokale Gruppen und Kontogruppen

Azure Databricks verfügt über das Konzept von Kontogruppen und arbeitsbereichslokalen Gruppen mit speziellen Verhaltensweisen:

  • Kontogruppen Kontogruppen können von Kontoadministratoren und Arbeitsbereichsadministratoren von Arbeitsbereichen des Identitätsverbunds erstellt werden. Sie können Zugriff auf Arbeitsbereiche im Identitätsverbund und Berechtigungen für sicherheitsrelevante Objekte im Unity Catalog erhalten.
  • Arbeitsbereichslokale Gruppen können nur von Arbeitsbereichsadministratoren erstellt werden. Diese Gruppen werden auf der Seite „Verwaltundseinstellungen“ des Arbeitsbereichs und auf der Registerkarte „Arbeitsbereichsberechtigungen“ in der Kontokonsole als arbeitsbereichslokal gekennzeichnet. Arbeitsbereichlokale Gruppen können nicht zusätzlichen Arbeitsbereichen zugewiesen oder mit Privilegien für sicherbare Objekte im Unity Catalog ausgestattet werden. Die Systemgruppen users und admins sind arbeitsbereichslokale Gruppen.

Beispiele

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;