Partilhar via


Principal

Aplica-se a: Marque Sim Databricks SQL Marque Sim Databricks Runtime

Uma entidade de segurança é um usuário, entidade de serviço ou grupo conhecido pelo metastore. Os principais podem receber privilégios e possuir objetos protegíveis.

Sintaxe

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Qualquer nome de objeto que inclua caracteres especiais, como hífenes ou traços (-), deve ser cercado por backticks (` `). Os nomes de objetos com sublinhados (_) não exigem backticks. Consulte Nomes.

Parâmetros

  • <user>@<domain-name>

    Um utilizador individual. Você deve escapar do identificador com back-ticks (') por causa do caractere @ no nome de usuário.

  • <sp-application-id>

    Uma entidade de serviço, especificada pelo seu applicationId valor. Você deve escapar do identificador com ticks de volta (') por causa dos caracteres de traço (-) no ID.

  • group_name

    Um identificador que especifica um grupo de usuários ou grupos. Você deve escapar do identificador com ticks inversos (') se o nome do grupo usar caracteres especiais, como traços (-).

  • utilizadores

    O grupo raiz ao qual todos os usuários no espaço de trabalho pertencem. Não é possível conceder users privilégios em objetos protegíveis no Unity Catalog porque é um grupo local de espaço de trabalho.

  • account users

    O grupo raiz ao qual todos os usuários da conta pertencem. Você deve escapar do identificador com ticks de volta (') por causa do caractere de espaço em branco.

Espaço de trabalho local e grupos de contas

O Azure Databricks tem o conceito de grupos de contas e grupos locais de espaço de trabalho, com comportamentos especiais:

  • Grupos de contas Os grupos de contas podem ser criados por administradores de contas e administradores de espaços de trabalho federados por identidade. Eles podem receber acesso a espaços de trabalho federados por identidade e privilégios a objetos protegíveis no Catálogo Unity.
  • Os grupos locais do espaço de trabalho só podem ser criados por administradores do espaço de trabalho. Esses grupos são identificados como locais do espaço de trabalho na página de configurações de administração do espaço de trabalho e na guia Permissões do espaço de trabalho no console da conta. Os grupos locais de espaço de trabalho não podem ser atribuídos a espaços de trabalho adicionais ou privilégios concedidos a objetos protegíveis no Catálogo Unity. O sistema agrupa users e admins é um espaço de trabalho - grupos locais.

Exemplos

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;