プリンシパル
適用対象: Databricks SQL Databricks Runtime
プリンシパルは、メタストアで認識されるユーザー、サービス プリンシパルまたはグループです。 プリンシパルはアクセス許可を付与され、セキュリティ保護可能なオブジェクトを所有できます。
構文
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
パラメーター
<user>@<domain-name>
個々のユーザー。 @ 文字があるため、識別子をバックティック (`) で囲む必要があります。
<sp-application-id>
サービス プリンシパル。その
applicationId
値で指定されます。 ID にダッシュ文字が含まれているため、識別子をバックティック (`) で囲む必要があります。group_name
ユーザーまたはグループのグループを指定する識別子。
users
ワークスペース内のすべてのユーザーが属しているルート グループ。
users
はワークスペース ローカル グループであるため、それに Unity Catalog 内のセキュリティ保護可能なオブジェクトに対する特権を付与することはできません。account users
アカウント内のすべてのユーザーが属しているルート グループ。 空白文字が含まれているため、識別子をバックティック (`) で囲む必要があります。
ワークスペースローカル グループとアカウント グループ
Azure Databricks には、"アカウント グループ" と "ワークスペース ローカル グループ" の概念と、次のような特殊な動作があります。
- アカウント グループ アカウント グループは、ID フェデレーション ワークスペースのアカウント管理者とワークスペース管理者が作成できます。 これらの管理者は、ID フェデレーション ワークスペースへのアクセス権と、Unity カタログ内のセキュリティ保護可能なオブジェクトへの権限を付与できます。
- ワークスペース ローカル グループは、ワークスペース管理者のみが作成できます。 これらのグループは、ワークスペース管理者設定ページと、アカウント コンソールのワークスペースの [アクセス許可] タブで、"ワークスペース ローカル" として識別されます。 ワークスペースローカル グループを追加のワークスペースに割り当てたり、Unity カタログ内のセキュリティ保護可能なオブジェクトに権限を付与したりすることはできません。 システム グループ
users
とadmins
は、ワークスペースローカル グループです。
例
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;
関連項目
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示