主體

適用於： Databricks SQL Databricks Runtime

主體是中繼存放區已知的使用者、服務主體或群組。 主體是可授與權限的對象，而且可以擁有安全物件。

語法

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

任何包含特殊字元的物件名稱，例如連字元或破折號 (-)，都必須以反引號 (` `) 括住。 有底線的物件名稱 (_) 不需要反引號。 請參閱名稱。

參數

• <user>@<domain-name>

  個別使用者。 由於使用者名稱有 @ 字元，因此您必須以反引號 (') 逸出識別碼。

• <sp-application-id>

  applicationId 值指定的服務主體。 您必須以反引號 (') 逸出識別碼，因為識別碼有虛線 (-) 字元。

• group_name

  指定使用者群組或群組的標識碼。 如果群組名稱使用特殊字元，例如破折號 (-)，則必須使用反引號 (') 逸出識別碼。

• 使用者

  工作區所有使用者所屬的根群組。 您無法在 Unity Catalog 授與 users 安全物件的權限，因為它是工作區本機組。

• account users

  帳戶所有使用者所屬的根群組。 由於有空的空白字元，因此您必須使用反引號 (') 逸出識別碼。

工作區本機和帳戶群組

Azure Databricks 有帳戶群組和工作區本機組的概念，特殊行為如下：

• 帳戶群組帳戶群組可由識別身分同盟工作區的帳戶管理員和工作區管理員建立。 識別身分同盟工作區的存取權，以及 Unity Catalog 中安全物件的權限，都可以授予他們。
• 工作區本機群組只能由工作區管理員建立。 這些群組在工作區管理員設定頁面和帳戶控制台的 [工作區權限] 索引標籤顯示為 [工作區本機]。 工作區本機群組無法指派給其他工作區，也並非授與 Unity Catalog 中安全物件權限的對象。 系統群組 users 和 admins 是工作區本機群組。

範例

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;

相關

• ALTER GROUP
• CREATE GROUP
• GRANT
• REVOKE