Субъект

  • Статья

Область применения:check marked yes Databricks SQL check marked yes Databricks Runtime

Субъект — это пользователь, субъект-служба или группа, которые известны хранилищу метаданных. Субъекты могут получать предоставленные разрешения и быть владельцами защищаемых объектов.

Синтаксис

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Параметры

  • <user>@<domain-name>

    Отдельный пользователь. В идентификаторе есть символ @, поэтому его необходимо заключить в обратные кавычки (`).

  • <sp-application-id>

    Субъект-служба, заданный значением applicationId. Необходимо процитировать идентификатор с обратными галочками (') из-за символов дефиса в идентификаторе.

  • group_name

    Идентификатор, который определяет группу пользователей или групп.

  • users

    Корневая группа, к которой принадлежат все пользователи в рабочей области. Вы не можете предоставить users привилегии защищаемым объектам в каталоге Unity, так как это локальная группа рабочей области.

  • account users

    Корневая группа, к которой принадлежат все пользователи в учетной записи. Необходимо процитировать идентификатор с обратными галками (') из-за пустого символа.

Группы локальных рабочих областей и учетных записей

Azure Databricks имеет концепцию групп учетных записей и локальных групп рабочей области с особым поведением:

  • Группы учетных записей групп учетных записей могут создаваться администраторами учетных записей и администраторами рабочих областей, федеративных удостоверений. Они могут быть предоставлены доступ к федеративным удостоверениям рабочим областям и привилегиям для защищаемых объектов в каталоге Unity.
  • Локальные группы рабочей области могут создавать только администраторы рабочей области. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области и на вкладке "Разрешения рабочей области" в консоли учетной записи. Локальные группы рабочей области нельзя назначать дополнительным рабочим областям или предоставлять права защищаемым объектам в каталоге Unity. Системные группы и admins являются локальными группами users рабочей области.

Примеры

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some_group`
> ALTER SCHEMA some_schema OWNER TO some_group;