Partager via

Principal

  • Article

S’applique à : case marquée oui Databricks SQL case marquée oui Databricks Runtime

Un principal est un utilisateur, un principal de service ou un groupe connu du metastore. Des principaux peuvent bénéficier de privilèges et posséder des objets sécurisables.

Syntaxe

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Tout nom d’objet qui inclut des caractères spéciaux, tels que des traits d’union ou tirets (-), doit être entouré d’accents graves (` `). Les noms d’objets avec traits de soulignement (_) ne nécessitent pas d’accents graves. Voir Noms.

Paramètres

  • <user>@<domain-name>

    Utilisateur individuel. Vous devez échapper l’identificateur avec des accents graves (`) en raison du caractère @ dans le nom d’utilisateur.

  • <sp-application-id>

    Principal de service, spécifié par sa valeur applicationId. Vous devez échapper l’identificateur avec des accents graves (`) en raison des caractères de tiret (-) dans l’ID.

  • group_name

    Un identificateur qui spécifie un groupe d’utilisateurs ou de groupes. Vous devez échapper l’identificateur avec des apostrophes inversées (`) si le nom du groupe utilise des caractères spéciaux, comme des tirets (-).

  • users

    Groupe racine auquel appartiennent tous les utilisateurs de l’espace de travail. Vous ne pouvez pas accorder de privilèges users aux objets sécurisables dans Unity Catalog, car il s’agit d’un groupe local d’espace de travail.

  • account users

    Groupe racine auquel appartiennent tous les utilisateurs du compte. Vous devez échapper l’identificateur avec des accents graves (`) en raison du caractère espace vide.

Groupes locaux de l’espace de travail et de comptes

Azure Databricks a le concept de groupes de comptes et de groupes locaux d’espace de travail, avec des comportements spéciaux :

  • Groupes de comptes Les groupes de comptes peuvent être créés par des administrateurs de compte et les administrateurs d’espace de travail des espaces de travail fédérés par identité. Ils peuvent avoir accès à des espaces de travail fédérés par identité et des privilèges aux objets sécurisables dans Unity Catalog.
  • Les groupes locaux d’espace de travail peuvent être créés uniquement par les administrateurs d’espace de travail. Ces groupes sont identifiés comme locaux dans l’espace de travail sur la page des paramètres d’administration de l’espace de travail et sous l’onglet Autorisations de l’espace de travail dans la console du compte. Les groupes locaux d’espace de travail ne peuvent pas être affectés à des espaces de travail supplémentaires ou se voir accorder des privilèges aux objets sécurisables dans Unity Catalog. Les groupes système users et admins sont des groupes locaux d’espace de travail.

Exemples

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;