Delen via

Principal

  • Artikel

Van toepassing op:vinkje als ja aan Databricks SQL vinkje als ja aan Databricks Runtime

Een principal is een gebruiker, service-principal of groep die bekend is bij de metastore. Principals kunnen bevoegdheden krijgen en kunnen eigenaar zijn van beveiligbare objecten.

Syntaxis

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Een objectnaam die speciale tekens bevat, zoals afbreekstreepjes of streepjes (-), moet worden omgeven door backticks (` `). Objectnamen met onderstrepingstekens (_) vereisen geen backticks. Zie Namen.

Parameters

  • <user>@<domain-name>

    Een afzonderlijke gebruiker. U moet de identificatie met back-ticks (`) ontsnappen vanwege het @-teken in de gebruikersnaam.

  • <sp-application-id>

    Een service-principal, opgegeven door de applicationId waarde. U moet de id met back-ticks (') escapen vanwege het streepje (-) tekens in de id.

  • group_name

    Een id waarmee een groep gebruikers of groepen wordt opgegeven. U moet de identifier met back-ticks (`) omsluiten wanneer de groepsnaam speciale tekens bevat, zoals streepjes (-).

  • Gebruikers

    De hoofdgroep waartoe alle gebruikers in de werkruimte behoren. U kunt geen users bevoegdheden verlenen voor beveiligbare objecten in Unity Catalog omdat het een werkruimte-lokale groep is.

  • account users

    De hoofdgroep waartoe alle gebruikers in het account behoren. U moet de identificator ontsnappen met back-ticks (`) vanwege het lege spatieteken.

Werkruimte-lokale en accountgroepen

Azure Databricks heeft het concept van accountgroepen en werkruimte-lokale groepen, met speciaal gedrag:

  • Accountgroepen Accountgroepen kunnen worden gemaakt door accountbeheerders en werkruimtebeheerders van identiteitsfedereerde werkruimten. Ze kunnen toegang krijgen tot identiteitsfedereerde werkruimten en bevoegdheden voor beveiligbare objecten in de Unity-catalogus.
  • Werkruimte-lokale groepen kunnen alleen worden gemaakt door werkruimtebeheerders. Deze groepen worden geïdentificeerd als werkruimte-lokaal op de pagina met werkruimtebeheerdersinstellingen en op het tabblad Machtigingen voor werkruimte in de accountconsole. Werkruimte-specifieke groepen kunnen niet worden toegewezen aan extra werkruimten en kunnen geen machtigingen krijgen voor beveiligbare objecten in de Unity-catalogus. De systeemgroepen users en admins zijn een werkruimte-lokale groepen.

Voorbeelden

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;