Principal

  • Artículo

Se aplica a:check marked yes Databricks SQL check marked yes Databricks Runtime

Una entidad de seguridad es un usuario, una entidad de servicio o un grupo conocido del metastore. A las entidades de seguridad se les puede conceder privilegios y pueden ser propietarias de objetos protegibles.

Sintaxis

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Parámetros

  • <user>@<domain-name>

    Usuario individual. Debe citar el identificador con acentos invertidos (`) debido al carácter @.

  • <sp-application-id>

    Una entidad de servicio, especificada por su valor applicationId. Debe citar el identificador con acentos invertidos (`) debido a los caracteres de guion en el identificador.

  • group_name

    Identificador que especifica un grupo de usuarios o grupos.

  • users

    Grupo raíz al que pertenecen todos los usuarios del área de trabajo. No puede otorgar privilegios users a objetos protegibles en el Catálogo Unity porque es un grupo local del área de trabajo.

  • account users

    Grupo raíz al que pertenecen todos los usuarios de la cuenta. Debe entrecomillar el identificador con tildes (`) debido al carácter de espacio en blanco.

Grupos locales y de cuentas del área de trabajo

Azure Databricks tiene el concepto de grupos de cuenta y grupos de área de trabajo local, con comportamientos especiales:

  • Grupos de cuentas Los administradores de cuentas y los administradores del área de trabajo de las áreas de trabajo federadas con identidad pueden crear grupos de cuentas. Se les puede conceder acceso a áreas de trabajo federadas de identidad y privilegios para proteger objetos en el catálogo de Unity.
  • Los administradores de área de trabajo solo pueden crear grupos de área de trabajo local. Estos grupos se identifican como locales del área de trabajo en la página de configuración del administrador del área de trabajo y en la pestaña Permisos del área de trabajo de la consola de cuentas. Los grupos locales del área de trabajo no se pueden asignar a áreas de trabajo adicionales ni conceder privilegios a objetos protegibles en el catálogo de Unity. Los grupos de sistema users y admins son grupos locales del área de trabajo.

Ejemplos

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;