Objekt zabezpečení

  • Článek

Platí pro:check marked yes Databricks SQL check marked yes Databricks Runtime

Instanční objekt je uživatel, instanční objekt nebo skupina známé metastorem. Objekty zabezpečení můžou mít udělená oprávnění a mohou vlastnit zabezpečitelné objekty.

Syntaxe

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Parametry

  • <user>@<domain-name>

    Jednotlivý uživatel. Identifikátor musíte uvozovat pomocí zpětných značek (') kvůli znaku @.

  • <sp-application-id>

    Instanční objekt určený jeho applicationId hodnotou. Identifikátor je nutné uvozovat pomocí zpětných značek (') kvůli pomlčkovým znakům v ID.

  • group_name

    Identifikátor určující skupinu uživatelů nebo skupin.

  • users

    Kořenová skupina, do které patří všichni uživatelé v pracovním prostoru. Nemůžete udělit users oprávnění k zabezpečitelným objektům v katalogu Unity, protože se jedná o místní skupinu pracovního prostoru.

  • account users

    Kořenová skupina, do které patří všichni uživatelé v účtu. Identifikátor musíte uvozovat pomocí zpětných značek (') z důvodu prázdného znaku.

Místní pracovní prostor a skupiny účtů

Azure Databricks má koncept skupin účtů a místních skupin pracovních prostorů se speciálním chováním:

  • Skupiny účtů Skupiny účtů můžou vytvářet správci účtů a správci pracovních prostorů federovaných identit. Můžou mít udělený přístup k pracovním prostorům federovaným identitám a oprávněním k zabezpečitelným objektům v katalogu Unity.
  • Místní skupiny pracovního prostoru můžou vytvářet jenom správci pracovního prostoru. Tyto skupiny jsou identifikovány jako místní pracovní prostor na stránce nastavení pracovního prostoru a na kartě Oprávnění pracovního prostoru v konzole účtu. Místní skupiny pracovního prostoru nelze přiřadit k dalším pracovním prostorům ani udělit oprávnění k zabezpečitelným objektům v katalogu Unity. Systémové skupiny users a admins jsou místní skupinami pracovního prostoru.

Příklady

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;