Bagikan melalui


Utama

Berlaku untuk:centang ditandai ya Databricks SQL centang ditandai ya Databricks Runtime

Prinsipal adalah pengguna, perwakilan layanan, atau grup yang dikenal dengan metastore. Prinsipal dapat diberikan hak istimewa dan dapat memiliki objek yang dapat diamankan.

Sintaks

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Nama objek apa pun yang menyertakan karakter khusus, seperti tanda hubung atau tanda hubung (-), harus dikelilingi oleh backtick (` `). Nama objek dengan underscore (_) tidak memerlukan tanda kutip terbalik. Lihat Nama.

Parameter

  • <user>@<domain-name>

    Pengguna individu. Anda harus menghindari pengidentifikasi dengan tanda centang belakang (') karena karakter @ di nama pengguna.

  • <sp-application-id>

    Perwakilan layanan, ditentukan oleh nilai applicationId. Anda harus menghindari pengidentifikasi dengan tanda centang belakang (') karena karakter tanda hubung (-) dalam ID.

  • group_name

    Pengidentifikasi yang menentukan kelompok pengguna atau grup. Anda harus menghindari pengidentifikasi dengan tanda centang belakang (') jika nama grup menggunakan karakter khusus, seperti tanda hubung (-).

  • Pengguna

    Grup akar tempat semua pengguna di ruang kerja berada. Anda tidak dapat memberikan hak istimewa users pada objek yang dapat diamankan di Katalog Unity karena merupakan grup lokal ruang kerja .

  • account users

    Grup akar tempat semua pengguna di akun berada. Anda harus menghindari pengidentifikasi dengan tanda centang belakang (') karena karakter spasi kosong.

Grup ruang kerja-lokal dan akun

Azure Databricks memiliki konsep grup akun dan grup ruang kerja-lokal, dengan perilaku khusus:

  • Grup akun Grup akun dapat dibuat oleh admin akun dan admin ruang kerja ruang kerja federasi identitas. Mereka dapat diberi akses ke ruang kerja yang terfederasi oleh identitas dan hak istimewa untuk objek yang dapat diamankan di Katalog Unity.
  • Grup ruang kerja-lokal hanya dapat dibuat oleh admin ruang kerja. Grup ini diidentifikasi sebagai workspace-local di halaman pengaturan admin ruang kerja dan pada tab Izin ruang kerja di konsol akun. Grup yang bersifat lokal untuk ruang kerja tidak dapat ditetapkan ke ruang kerja tambahan atau diizinkan hak akses ke objek yang bisa diamankan di Katalog Unity. Grup users sistem dan admins merupakan grup ruang kerja-lokal.

Contoh

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;