Principal
Van toepassing op: Databricks SQL Databricks Runtime
Een principal is een gebruiker, service-principal of groep die bekend is bij de metastore. Principals kunnen bevoegdheden krijgen en kunnen eigenaar zijn van beveiligbare objecten.
Syntaxis
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
Parameters
<user>@<domain-name>
Een afzonderlijke gebruiker. U moet de id aanhalingstekens met rugtekens (') als gevolg van het @-teken.
<sp-application-id>
Een service-principal, opgegeven door de
applicationId
waarde. U moet de id citeren met back-ticks (') vanwege de streepjes in de id.group_name
Een id die een groep gebruikers of groepen opgeeft.
users
De hoofdgroep waartoe alle gebruikers in de werkruimte behoren. U kunt geen bevoegdheden verlenen
users
voor beveiligbare objecten in de Unity-catalogus, omdat het een lokale groep met werkruimten is.account users
De hoofdgroep waartoe alle gebruikers in het account behoren. U moet de id aanhalingstekens aanhalen met back-ticks (') vanwege het lege teken.
Werkruimte-lokale en accountgroepen
Azure Databricks heeft het concept van accountgroepen en werkruimte-lokale groepen, met speciaal gedrag:
- Accountgroepen Accountgroepen kunnen worden gemaakt door accountbeheerders en werkruimtebeheerders van identiteitsfedereerde werkruimten. Ze kunnen toegang krijgen tot identiteitsfedereerde werkruimten en bevoegdheden voor beveiligbare objecten in de Unity-catalogus.
- Werkruimte-lokale groepen kunnen alleen worden gemaakt door werkruimtebeheerders. Deze groepen worden geïdentificeerd als werkruimte-lokaal op de pagina met werkruimtebeheerdersinstellingen en op het tabblad Machtigingen voor werkruimte in de accountconsole. Werkruimte-lokale groepen kunnen niet worden toegewezen aan extra werkruimten of machtigingen worden verleend voor beveiligbare objecten in de Unity-catalogus. De systeemgroepen
users
enadmins
zijn een werkruimte-lokale groepen.
Voorbeelden
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;