主體
適用于: Databricks SQL Databricks Runtime
主體是中繼存放區已知的使用者、服務主體或群組。 主體可以授與 許可權 ,而且可以擁有 安全性實體物件 。
語法
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
參數
<user>@<domain-name>
個別使用者。 由於 @ 字元,您必須以反向刻度 (') 加上識別碼的引號。
<sp-application-id>
服務主體,由其
applicationId
值指定。 由於識別碼中的虛線字元,您必須加上反刻度 (') 的識別碼。group_name
users
工作區中所有使用者所屬的根群組。 您無法將許可權授
users
與 Unity 目錄中的安全性實體物件,因為它是 工作區本機群組 。account users
帳戶中所有使用者所屬的根群組。 由於空白字元,您必須加上反刻度 (') 的識別碼。
工作區本機和帳戶群組
Azure Databricks 具有帳戶群組 和 工作區本機群組 的概念 ,具有特殊行為:
- 帳戶群組 帳戶群組 可由身分識別同盟工作區的帳戶管理員和工作區管理員建立。 它們可以授與身分識別同盟工作區的存取權,以及 Unity 目錄中安全性實體物件的許可權。
- 工作區本機群組 只能由工作區系統管理員建立。 這些群組會在工作區系統管理員設定頁面和帳戶主控台的 [工作區許可權] 索引標籤上識別為 工作區本機 。 無法將工作區本機群組指派給其他工作區,或將許可權授與 Unity 目錄中的安全性實體物件。 系統群組
users
和admins
是工作區本機群組。
範例
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;