Principal
Se aplica a: Databricks SQL Databricks Runtime
Una entidad de seguridad es un usuario, una entidad de servicio o un grupo conocido del metastore. A las entidades principales se les puede conceder privilegios y pueden ser propietarias de objetos protegibles.
Sintaxis
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
Cualquier nombre de objeto que incluya caracteres especiales, como guiones (-
), debe estar rodeado de acentos inversos (` `
). Los nombres de objeto con caracteres de subrayado (_
) no requieren acentos versos. Vea Nombres.
Parámetros
<user>@<domain-name>
Usuario individual. Debe citar el identificador con acentos invertidos (`) debido al caracter @ en el nombre de usuario.
<sp-application-id>
Una entidad de servicio, especificada por su valor
applicationId
. Debe citar el identificador con acentos invertidos (`) debido a los caracteres de guion (-) en el identificador.group_name
Un identificador que especifica un grupo de usuarios o grupos. Debe entrecomillar el identificador con acentos invertidos (') si el nombre del grupo usa caracteres especiales, como guiones (-).
users
Grupo raíz al que pertenecen todos los usuarios del área de trabajo. No puede otorgar privilegios
users
a objetos protegibles en el catálogo de Unity porque es un grupo local del área de trabajo.account users
Grupo raíz al que pertenecen todos los usuarios de la cuenta. Debe entrecomillar el identificador con acentos invertidos (`) debido al carácter de espacio en blanco.
Grupos locales y de cuentas del área de trabajo
Azure Databricks tiene el concepto de grupos de cuenta y grupos de área de trabajo local, con comportamientos especiales:
- Grupos de cuentas Los administradores de cuentas y los administradores del área de trabajo de las áreas de trabajo federadas con identidad pueden crear grupos de cuentas. Se les puede conceder acceso a áreas de trabajo federadas de identidad y privilegios para proteger objetos en el catálogo de Unity.
- Los administradores de área de trabajo solo pueden crear grupos de área de trabajo local. Estos grupos se identifican como locales del área de trabajo en la página de configuración del administrador del área de trabajo y en la pestaña Permisos del área de trabajo de la consola de cuentas. Los grupos locales del área de trabajo no se pueden asignar a áreas de trabajo adicionales ni conceder privilegios a objetos protegibles en el catálogo de Unity. Los grupos de sistema
users
yadmins
son grupos locales del área de trabajo.
Ejemplos
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;