Objekt zabezpečení
Platí pro: Databricks SQL Databricks Runtime
Instanční objekt je uživatel, instanční objekt nebo skupina známé metastorem. Objekty zabezpečení můžou mít udělená oprávnění a mohou vlastnit zabezpečitelné objekty.
Syntaxe
{ `<user>@<domain-name>` |
`<sp-application-id>` |
group_name |
users |
`account users` }
Parametry
<user>@<domain-name>
Jednotlivý uživatel. Identifikátor musíte uvozovat pomocí zpětných značek (') kvůli znaku @.
<sp-application-id>
Instanční objekt určený jeho
applicationId
hodnotou. Identifikátor je nutné uvozovat pomocí zpětných značek (') kvůli pomlčkovým znakům v ID.group_name
users
Kořenová skupina, do které patří všichni uživatelé v pracovním prostoru. Nemůžete udělit
users
oprávnění k zabezpečitelným objektům v katalogu Unity, protože se jedná o místní skupinu pracovního prostoru.account users
Kořenová skupina, do které patří všichni uživatelé v účtu. Identifikátor musíte uvozovat pomocí zpětných značek (') z důvodu prázdného znaku.
Místní pracovní prostor a skupiny účtů
Azure Databricks má koncept skupin účtů a místních skupin pracovních prostorů se speciálním chováním:
- Skupiny účtů Skupiny účtů můžou vytvářet správci účtů a správci pracovních prostorů federovaných identit. Můžou mít udělený přístup k pracovním prostorům federovaným identitám a oprávněním k zabezpečitelným objektům v katalogu Unity.
- Místní skupiny pracovního prostoru můžou vytvářet jenom správci pracovního prostoru. Tyto skupiny jsou identifikovány jako místní pracovní prostor na stránce nastavení pracovního prostoru a na kartě Oprávnění pracovního prostoru v konzole účtu. Místní skupiny pracovního prostoru nelze přiřadit k dalším pracovním prostorům ani udělit oprávnění k zabezpečitelným objektům v katalogu Unity. Systémové skupiny
users
aadmins
jsou místní skupinami pracovního prostoru.
Příklady
-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;
-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;
-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;