다음을 통해 공유

주 서버

  • 아티클

적용 대상:예로 표시된 확인 Databricks SQL 예로 표시된 확인 Databricks Runtime

보안 주체는 메타스토어에 알려진 사용자, 서비스 주체 또는 그룹입니다. 서비스 주체는 권한을 부여받을 수 있으며 보안 개체를 소유할 수 있습니다.

구문

{ `<user>@<domain-name>` |
  `<sp-application-id>` |
  group_name |
  users |
  `account users` }

하이픈 또는 대시(-)와 같은 특수 문자를 포함하는 개체 이름은 백틱(` `)으로 묶어야 합니다. 밑줄(_)을 포함하는 개체 이름에는 백틱이 필요하지 않습니다. 이름을 참조하세요.

Parameters

  • <user>@<domain-name>

    개별 사용자입니다. 사용자 이름의 @ 문자 때문에 백틱(')을 사용하여 identifier 이스케이프해야 합니다.

  • <sp-application-id>

    해당 applicationId 값으로 지정된 서비스 주체입니다. ID의 대시(-) 문자 때문에 백틱(')을 사용하여 identifier 이스케이프해야 합니다.

  • group_name

    사용자 또는 그룹 그룹을 지정하는 identifier. 그룹 이름에 대시(-)와 같은 특수 문자를 사용하는 경우, identifier를 백틱(`)으로 이스케이프해야 합니다.

  • users

    작업 영역의 모든 사용자가 속한 루트 그룹입니다. Unity Catalog의 보안 개체에 권한을 grantusers할 수 없습니다. 이는 작업 영역-로컬 그룹이기 때문입니다.

  • account users

    계정의 모든 사용자가 속한 루트 그룹입니다. 공백 문자 때문에 백틱(')을 사용하여 identifier 이스케이프해야 합니다.

작업 영역 로컬 및 계정 그룹

Azure Databricks에는 특수한 동작과 계정 그룹작업 영역-로컬 그룹이라는 개념이 있습니다.

  • 계정 그룹 계정 그룹은 ID 페더레이션 작업 영역의 계정 관리자 및 작업 영역 관리자가 만들 수 있습니다. Unity Catalog에서 신원 연합 워크스페이스와 보안 개체에 대한 권한을 부여받을 수 있습니다.
  • 작업 영역 로컬 그룹은 작업 영역 관리자만 만들 수 있습니다. 이러한 그룹은 계정 콘솔의 작업 영역 권한 탭 및 작업 영역 관리 설정 페이지에서 workspace-local로 식별됩니다. 작업 영역-로컬 그룹을 추가 작업 영역에 할당하거나 Unity Catalog보안 개체에 대한 권한을 부여할 수 없습니다. 시스템 그룹 usersadmins은 workspace-local 그룹입니다.

예제

-- Granting a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Granting a privilege to the service principal fab9e00e-ca35-11ec-9d64-0242ac120002
> GRANT SELECT ON TABLE t TO `fab9e00e-ca35-11ec-9d64-0242ac120002`;

-- Revoking a privilege from the general public group.
> REVOKE SELECT ON TABLE t FROM `account users`;

-- Transferring ownership of an object to `some-group`
> ALTER SCHEMA some_schema OWNER TO `some-group`;