Поделиться через

Субъект

  • Статья

Область применения: флажок Databricks SQL флажок Databricks Runtime

Субъект — это пользователь, субъект-служба или группа, которые известны хранилищу метаданных. Субъекты могут быть предоставлены привилегии и могут принадлежать защищаемым объектам.

Синтаксис

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Любое имя объекта, включающее специальные символы, такие как дефисы или дефисы (-), должны быть окружены обратными знаками (` `). Имена объектов с символами подчеркивания (_) не требуют обратных символов. См . имена.

Параметры

  • <user>@<domain-name>

    Отдельный пользователь. Идентификатор необходимо экранировать с обратными галками (') из-за символа @в имени пользователя.

  • <sp-application-id>

    Субъект-служба, заданный значением applicationId. Идентификатор необходимо экранировать с обратными галочками (') из-за символов тире (-) в идентификаторе.

  • group_name

    Идентификатор, указывающий группу пользователей или групп. Идентификатор должен экранироваться с обратными галочками ('), если имя группы использует специальные символы, такие как дефисы (-).

  • Пользователей

    Корневая группа, к которой принадлежат все пользователи в рабочей области. Невозможно предоставить users привилегии для защищаемых объектов в каталоге Unity, так как это локальная группа рабочей области.

  • account users

    Корневая группа, к которой принадлежат все пользователи в учетной записи. Идентификатор должен экранироваться с обратными галками (') из-за пустого пробела.

Группы локальных рабочих областей и учетных записей

Azure Databricks имеет концепцию групп учетных записей и локальных групп рабочей области с особым поведением:

  • Группы учетных записей групп учетных записей могут создаваться администраторами учетных записей и администраторами рабочих областей, федеративных удостоверений. Они могут быть предоставлены доступ к федеративным удостоверениям рабочим областям и привилегиям для защищаемых объектов в каталоге Unity.
  • Локальные группы рабочей области могут создавать только администраторы рабочей области. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области и на вкладке "Разрешения рабочей области" в консоли учетной записи. Локальные группы рабочей области нельзя назначать дополнительным рабочим областям или предоставлять права защищаемым объектам в каталоге Unity. Системные группы и admins являются локальными группами users рабочей области.

Примеры

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;