Principal

  • Article

S’applique à :check marked yes Databricks SQL check marked yes Databricks Runtime

Un principal est un utilisateur, un principal de service ou un groupe connu du metastore. Des principaux peuvent bénéficier de privilèges et posséder des objets sécurisables.

Syntaxe

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Paramètres

  • <user>@<domain-name>

    Utilisateur individuel. Vous devez citer l'identifiant avec des guillemets (`) en raison du caractère @.

  • <sp-application-id>

    Principal de service, spécifié par sa valeur applicationId. Vous devez citer l’identificateur avec des accents graves (`) en raison des caractères de tiret dans l’ID.

  • group_name

    Identificateur spécifiant un groupe d’utilisateurs ou de groupes.

  • users

    Groupe racine auquel appartiennent tous les utilisateurs de l’espace de travail. Vous ne pouvez pas accorder de privilèges users aux objets sécurisables dans Unity Catalog, car il s’agit d’un groupe local d’espace de travail.

  • account users

    Groupe racine auquel appartiennent tous les utilisateurs du compte. Vous devez citer l’identificateur avec des accents graves (`) en raison du caractère vide.

Groupes locaux de l’espace de travail et de comptes

Azure Databricks a le concept de groupes de comptes et de groupes locaux d’espace de travail, avec des comportements spéciaux :

  • Groupes de comptes Les groupes de comptes peuvent être créés par des administrateurs de compte et les administrateurs d’espace de travail des espaces de travail fédérés par identité. Ils peuvent avoir accès à des espaces de travail fédérés par identité et des privilèges aux objets sécurisables dans Unity Catalog.
  • Les groupes locaux d’espace de travail peuvent être créés uniquement par les administrateurs d’espace de travail. Ces groupes sont identifiés comme locaux dans l’espace de travail sur la page des paramètres d’administration de l’espace de travail et sous l’onglet Autorisations de l’espace de travail dans la console du compte. Les groupes locaux d’espace de travail ne peuvent pas être affectés à des espaces de travail supplémentaires ou se voir accorder des privilèges aux objets sécurisables dans Unity Catalog. Les groupes système users et admins sont des groupes locaux d’espace de travail.

Exemples

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;