Freigeben über


Prinzipal

Gilt für: durch Häkchen mit „Ja“ markiert Databricks SQL durch Häkchen mit „Ja“ markiert Databricks Runtime

Ein Prinzipal ist ein Benutzer, Dienstprinzipal oder eine Gruppe, der bzw. die im Metastore bekannt ist. Prinzipale können Berechtigungen erhalten und Besitzer sicherungsfähiger Objekte sein.

Syntax

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Jeder Objektname, der Sonderzeichen enthält, z. B. Bindestriche oder Gedankenstriche (-), muss von Backticks (` `) umgeben sein. Objektnamen mit Unterstrichen (_) erfordern keine Backticks. Siehe Namen.

Parameter

  • <user>@<domain-name>

    Ein einzelner Benutzer. Wegen des @-Zeichens im Benutzernamen müssen Sie den Bezeichner mit Graviszeichen (`) entschlüsseln.

  • <sp-application-id>

    Ein Dienstprinzipal, der durch seinen applicationId-Wert angegeben wird. Wegen der Gedankenstriche (-) in der Kennung müssen Sie den Bezeichner mit Graviszeichen (`) abschließen.

  • group_name

    Ein Bezeichner, der eine Gruppe von Benutzern oder Gruppen angibt. Wenn der Gruppenname Sonderzeichen wie Bindestriche (-) enthält, müssen Sie den Bezeichner mit Graviszeichen (`) entwerten.

  • users

    Die Stammgruppe, zu der alle Benutzer im Arbeitsbereich gehören. Sie können im Unity-Katalog users keine Berechtigungen für sicherungsfähige Objekte gewähren, da es sich um eine lokale Arbeitsbereichsgruppe handelt.

  • account users

    Die Stammgruppe, zu der alle Benutzer im Konto gehören. Sie müssen den Bezeichner wegen des Leerzeichens mit Graviszeichen (`) entschlüsseln.

Arbeitsbereichslokale Gruppen und Kontogruppen

Azure Databricks verfügt über das Konzept von Kontogruppen und arbeitsbereichslokalen Gruppen mit speziellen Verhaltensweisen:

  • Kontogruppen Kontogruppen können von Kontoadministratoren und Arbeitsbereichsadministratoren von Arbeitsbereichen des Identitätsverbunds erstellt werden. Sie können Zugriff auf Arbeitsbereiche im Identitätsverbund und Berechtigungen für sicherheitsrelevante Objekte im Unity Catalog erhalten.
  • Arbeitsbereichslokale Gruppen können nur von Arbeitsbereichsadministratoren erstellt werden. Diese Gruppen werden auf der Seite „Verwaltundseinstellungen“ des Arbeitsbereichs und auf der Registerkarte „Arbeitsbereichsberechtigungen“ in der Kontokonsole als arbeitsbereichslokal gekennzeichnet. Arbeitsbereichlokale Gruppen können nicht zusätzlichen Arbeitsbereichen zugewiesen oder mit Privilegien für sicherbare Objekte im Unity Catalog ausgestattet werden. Die Systemgruppen users und admins sind arbeitsbereichslokale Gruppen.

Beispiele

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;