プリンシパル

  • [アーティクル]

適用対象:check marked yes Databricks SQL check marked yes Databricks Runtime

プリンシパルは、メタストアで認識されるユーザー、サービス プリンシパルまたはグループです。 プリンシパルはアクセス許可を付与され、セキュリティ保護可能なオブジェクトを所有できます。

構文

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

パラメーター

  • <user>@<domain-name>

    個々のユーザー。 @ 文字があるため、識別子をバックティック (`) で囲む必要があります。

  • <sp-application-id>

    サービス プリンシパル。その applicationId 値で指定されます。 ID にダッシュ文字が含まれているため、識別子をバックティック (`) で囲む必要があります。

  • group_name

    ユーザーまたはグループのグループを指定する識別子

  • users

    ワークスペース内のすべてのユーザーが属しているルート グループ。 usersワークスペース ローカル グループであるため、それに Unity Catalog 内のセキュリティ保護可能なオブジェクトに対する特権を付与することはできません。

  • account users

    アカウント内のすべてのユーザーが属しているルート グループ。 空白文字が含まれているため、識別子をバックティック (`) で囲む必要があります。

ワークスペースローカル グループとアカウント グループ

Azure Databricks には、"アカウント グループ" と "ワークスペース ローカル グループ" の概念と、次のような特殊な動作があります。

  • アカウント グループ アカウント グループは、ID フェデレーション ワークスペースのアカウント管理者とワークスペース管理者が作成できます。 これらの管理者は、ID フェデレーション ワークスペースへのアクセス権と、Unity カタログ内のセキュリティ保護可能なオブジェクトへの権限を付与できます。
  • ワークスペース ローカル グループは、ワークスペース管理者のみが作成できます。 これらのグループは、ワークスペース管理者設定ページと、アカウント コンソールのワークスペースの [アクセス許可] タブで、"ワークスペース ローカル" として識別されます。 ワークスペースローカル グループを追加のワークスペースに割り当てたり、Unity カタログ内のセキュリティ保護可能なオブジェクトに権限を付与したりすることはできません。 システム グループ usersadmins は、ワークスペースローカル グループです。

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;