Udostępnij za pośrednictwem

Główne

  • Artykuł

Dotyczy:zaznacz pole wyboru oznaczone jako tak Databricks SQL zaznacz pole wyboru oznaczone jako tak Databricks Runtime

Jednostka jest użytkownikiem, jednostką usługi lub grupą znaną z magazynu metadanych. Podmioty zabezpieczeń mogą mieć przyznane uprawnienia i mogą posiadać zabezpieczane obiekty.

Składnia

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

Każda nazwa obiektu, która zawiera znaki specjalne, takie jak łączniki lub kreski (-), muszą być otoczone znakiem wstecznym (` `). Nazwy obiektów ze podkreśleniami (_) nie wymagają backticksów. Zobacz Nazwy.

Parameters

  • <user>@<domain-name>

    Użytkownik indywidualny. Musisz wrócić do identifier z znacznikami wstecznymi (') ze względu na znak @ w nazwie użytkownika.

  • <sp-application-id>

    Jednostka usługi określona przez jej applicationId wartość. Musisz uciec od identifier za pomocą znaków odwrotnych (`) ze względu na myślniki (-) w identyfikatorze.

  • group_name

    identifier, który określa grupę użytkowników lub grup. identifier należy poprzedzić znakiem odwrotnego akcentu (`), jeśli nazwa grupy zawiera znaki specjalne, takie jak myślniki (-).

  • Użytkowników

    Grupa główna, do której należą wszyscy użytkownicy w obszarze roboczym. Nie można grantusers uprawnień do obiektów zabezpieczalnych w Unity Catalog, ponieważ jest to grupa lokalna obszaru roboczego .

  • account users

    Grupa główna, do której należą wszyscy użytkownicy na koncie. Musisz uciec od identifier z znacznikami wstecznymi (') ze względu na pusty znak spacji.

Grupy obszarów roboczych i kont

Usługa Azure Databricks ma pojęcie grup kont i grup lokalnych obszaru roboczego ze specjalnymi zachowaniami:

  • Grupy kont Grupy kont można tworzyć przez administratorów kont i administratorów obszaru roboczego obszarów roboczych federacyjnych tożsamości. Można im przyznać dostęp do obszarów roboczych z federacją tożsamości oraz uprawnienia do zabezpieczanych obiektów w środowisku Unity Catalog.
  • Grupy lokalne obszaru roboczego można tworzyć tylko przez administratorów obszaru roboczego. Te grupy są identyfikowane jako obszar roboczy lokalny na stronie ustawień administratora obszaru roboczego i na karcie Uprawnienia obszaru roboczego w konsoli konta. Nie można przypisać grup lokalnych obszaru roboczego do dodatkowych obszarów roboczych ani przyznać uprawnień do zabezpieczanych obiektów w Unity Catalog. Grupy systemowe users i admins są grupami lokalnymi obszaru roboczego.

Przykłady

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;