Субъект
Область применения: Databricks SQL Databricks Runtime
Субъект — это пользователь, субъект-служба или группа, которые известны хранилищу метаданных. Субъекты могут получать предоставленные разрешения и быть владельцами защищаемых объектов.
Синтаксис
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
Параметры
<user>@<domain-name>
Отдельный пользователь. В идентификаторе есть символ @, поэтому его необходимо заключить в обратные кавычки (`).
<sp-application-id>
Субъект-служба, заданный значением
applicationId
. Необходимо процитировать идентификатор с обратными галочками (') из-за символов дефиса в идентификаторе.group_name
Идентификатор, который определяет группу пользователей или групп.
users
Корневая группа, к которой принадлежат все пользователи в рабочей области. Вы не можете предоставить
users
привилегии защищаемым объектам в каталоге Unity, так как это локальная группа рабочей области.account users
Корневая группа, к которой принадлежат все пользователи в учетной записи. Необходимо процитировать идентификатор с обратными галками (') из-за пустого символа.
Группы локальных рабочих областей и учетных записей
Azure Databricks имеет концепцию групп учетных записей и локальных групп рабочей области с особым поведением:
- Группы учетных записей групп учетных записей могут создаваться администраторами учетных записей и администраторами рабочих областей, федеративных удостоверений. Они могут быть предоставлены доступ к федеративным удостоверениям рабочим областям и привилегиям для защищаемых объектов в каталоге Unity.
- Локальные группы рабочей области могут создавать только администраторы рабочей области. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области и на вкладке "Разрешения рабочей области" в консоли учетной записи. Локальные группы рабочей области нельзя назначать дополнительным рабочим областям или предоставлять права защищаемым объектам в каталоге Unity. Системные группы и
admins
являются локальными группамиusers
рабочей области.
Примеры
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;