Principal

  • Artikel

Van toepassing op:check marked yes Databricks SQL check marked yes Databricks Runtime

Een principal is een gebruiker, service-principal of groep die bekend is bij de metastore. Principals kunnen bevoegdheden krijgen en kunnen eigenaar zijn van beveiligbare objecten.

Syntaxis

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Parameters

  • <user>@<domain-name>

    Een afzonderlijke gebruiker. U moet de id aanhalingstekens met rugtekens (') als gevolg van het @-teken.

  • <sp-application-id>

    Een service-principal, opgegeven door de applicationId waarde. U moet de id citeren met back-ticks (') vanwege de streepjes in de id.

  • group_name

    Een id die een groep gebruikers of groepen opgeeft.

  • users

    De hoofdgroep waartoe alle gebruikers in de werkruimte behoren. U kunt geen bevoegdheden verlenen users voor beveiligbare objecten in de Unity-catalogus, omdat het een lokale groep met werkruimten is.

  • account users

    De hoofdgroep waartoe alle gebruikers in het account behoren. U moet de id aanhalingstekens aanhalen met back-ticks (') vanwege het lege teken.

Werkruimte-lokale en accountgroepen

Azure Databricks heeft het concept van accountgroepen en werkruimte-lokale groepen, met speciaal gedrag:

  • Accountgroepen Accountgroepen kunnen worden gemaakt door accountbeheerders en werkruimtebeheerders van identiteitsfedereerde werkruimten. Ze kunnen toegang krijgen tot identiteitsfedereerde werkruimten en bevoegdheden voor beveiligbare objecten in de Unity-catalogus.
  • Werkruimte-lokale groepen kunnen alleen worden gemaakt door werkruimtebeheerders. Deze groepen worden geïdentificeerd als werkruimte-lokaal op de pagina met werkruimtebeheerdersinstellingen en op het tabblad Machtigingen voor werkruimte in de accountconsole. Werkruimte-lokale groepen kunnen niet worden toegewezen aan extra werkruimten of machtigingen worden verleend voor beveiligbare objecten in de Unity-catalogus. De systeemgroepen users en admins zijn een werkruimte-lokale groepen.

Voorbeelden

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;