주 서버
적용 대상: Databricks SQL Databricks 런타임
보안 주체는 메타스토어에 알려진 사용자, 서비스 주체 또는 그룹입니다. 서비스 주체는 권한을 부여받을 수 있으며 보안 개체를 소유할 수 있습니다.
구문
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
매개 변수
<user>@<domain-name>
개별 사용자입니다. @ 문자로 인해 식별자를 백틱(`)으로 인용해야 합니다.
<sp-application-id>
해당
applicationId
값으로 지정된 서비스 주체입니다. ID의 대시 문자로 인해 식별자를 백틱(`)으로 인용해야 합니다.group_name
사용자 그룹 또는 그룹을 지정하는 식별자입니다.
users
작업 영역의 모든 사용자가 속한 루트 그룹입니다. Unity 카탈로그는 작업 영역-로컬 그룹이므로 보안 개체에 대한 권한을 부여
users
할 수 없습니다.account users
계정의 모든 사용자가 속한 루트 그룹입니다. 빈 문자 때문에 식별자를 백틱(')으로 인용해야 합니다.
작업 영역 로컬 및 계정 그룹
Azure Databricks에는 특수한 동작과 계정 그룹 및 작업 영역-로컬 그룹이라는 개념이 있습니다.
- 계정 그룹 계정 그룹은 ID 페더레이션 작업 영역의 계정 관리자 및 작업 영역 관리자가 만들 수 있습니다. Unity 카탈로그의 보안 개체에 대한 ID 페더레이션 작업 영역 및 권한에 대한 액세스 권한을 부여할 수 있습니다.
- 작업 영역 로컬 그룹은 작업 영역 관리자만 만들 수 있습니다. 이러한 그룹은 작업 영역 관리자 설정 페이지와 계정 콘솔의 작업 영역 사용 권한 탭에서 작업 영역 로컬로 식별됩니다. 작업 영역-로컬 그룹을 추가 작업 영역에 할당하거나 Unity 카탈로그의 보안 개체에 대한 권한을 부여할 수 없습니다. 시스템 그룹은
users
admins
작업 영역-로컬 그룹입니다.
예제
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;