次の方法で共有

プリンシパル

  • [アーティクル]

適用対象: 「はい」のチェック マーク Databricks SQL 「はい」のチェック マーク Databricks Runtime

プリンシパルは、メタストアで認識されるユーザー、サービス プリンシパルまたはグループです。 プリンシパルは、権限を付与され、セキュリティ設定が可能なオブジェクトを所有できます。

構文

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

ハイフンやダッシュ (-) などの特殊文字を含むオブジェクト名は、バックティック (` `) で囲む必要があります。 アンダースコア (_) を含むオブジェクト名にはバッククォートは必要ありません。 「名前」を参照してください。

パラメーター

  • <user>@<domain-name>

    個々のユーザー。 ユーザー名 に @ 文字が含まれているため、識別子をバックティック (`) でエスケープする必要があります。

  • <sp-application-id>

    サービス プリンシパル。その applicationId 値で指定されます。 ID にダッシュ (-) 文字が含まれているため、識別子をバックティック (`) でエスケープする必要があります。

  • group_name

    ユーザーまたはグループのグループを指定する識別子。 グループ名でダッシュ (-) などの特殊文字を使用する場合は、識別子をバックティック (') でエスケープする必要があります。

  • users

    ワークスペース内のすべてのユーザーが属しているルート グループ。 usersワークスペース ローカル グループであるため、 に Unity Catalog 内のセキュリティ設定が可能なオブジェクトに対する権限を付与することはできません。

  • account users

    アカウント内のすべてのユーザーが属しているルート グループ。 空白文字が含まれているため、識別子をバックティック (`) でエスケープする必要があります。

ワークスペースローカル グループとアカウント グループ

Azure Databricks には、"アカウント グループ" と "ワークスペース ローカル グループ" の概念と、次のような特殊な動作があります。

  • アカウント グループ アカウント グループは、ID フェデレーション ワークスペースのアカウント管理者とワークスペース管理者が作成できます。 これらの管理者は、ID フェデレーション ワークスペースへのアクセス権と、Unity カタログ内のセキュリティ保護可能なオブジェクトへの権限を付与できます。
  • ワークスペース ローカル グループは、ワークスペース管理者のみが作成できます。 これらのグループは、ワークスペース管理者設定ページと、アカウント コンソールのワークスペースの [アクセス許可] タブで、"ワークスペース ローカル" として識別されます。 ワークスペースローカル グループを追加のワークスペースに割り当てたり、Unity カタログ内のセキュリティ保護可能なオブジェクトに権限を付与したりすることはできません。 システム グループ usersadmins は、ワークスペースローカル グループです。

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;