主體

  • 發行項

適用于: check marked yes Databricks SQL check marked yes Databricks Runtime

主體是中繼存放區已知的使用者、服務主體或群組。 主體可以授與 許可權 ,而且可以擁有 安全性實體物件

語法

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

參數

  • <user>@<domain-name>

    個別使用者。 由於 @ 字元,您必須以反向刻度 (') 加上識別碼的引號。

  • <sp-application-id>

    服務主體,由其 applicationId 值指定。 由於識別碼中的虛線字元,您必須加上反刻度 (') 的識別碼。

  • group_name

    指定使用者或群組群組的識別碼

  • users

    工作區中所有使用者所屬的根群組。 您無法將許可權授 users 與 Unity 目錄中的安全性實體物件,因為它是 工作區本機群組

  • account users

    帳戶中所有使用者所屬的根群組。 由於空白字元,您必須加上反刻度 (') 的識別碼。

工作區本機和帳戶群組

Azure Databricks 具有帳戶群組 工作區本機群組 的概念 ,具有特殊行為:

  • 帳戶群組 帳戶群組 可由身分識別同盟工作區的帳戶管理員和工作區管理員建立。 它們可以授與身分識別同盟工作區的存取權,以及 Unity 目錄中安全性實體物件的許可權。
  • 工作區本機群組 只能由工作區系統管理員建立。 這些群組會在工作區系統管理員設定頁面和帳戶主控台的 [工作區許可權] 索引標籤上識別為 工作區本機 。 無法將工作區本機群組指派給其他工作區,或將許可權授與 Unity 目錄中的安全性實體物件。 系統群組 usersadmins 是工作區本機群組。

範例

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;