Sdílet prostřednictvím

Aplikace značek na zabezpečitelné objekty v katalogu Unity

Tato stránka ukazuje, jak použít značky na zabezpečitelné objekty Katalogu Unity.

Značky jsou atributy, které zahrnují klíče a volitelné hodnoty, které můžete použít k uspořádání a kategorizaci zabezpečitelných objektů v katalogu Unity. Použití značek také zjednodušuje vyhledávání a zjišťování tabulek a zobrazení pomocí funkcí hledání v pracovním prostoru.

Výstraha

Data značek se ukládají jako prostý text a můžou se replikovat globálně. Nepoužívejte názvy značek, hodnoty nebo popisovače, které by mohly ohrozit zabezpečení vašich prostředků. Nepoužívejte například názvy značek, hodnoty nebo popisovače, které obsahují osobní nebo citlivé informace.

Podporované zabezpečitelné objekty

Označování zabezpečitelných objektů se v současné době podporuje v katalogech, schématech, tabulkách, sloupcích tabulek, svazcích, zobrazeních, registrovaných modelech a verzích modelů. Další informace o zabezpečitelných objektech naleznete v tématu Zabezpečitelné objekty v Katalogu Unity.

Značky můžete použít také u řídicích panelů a prostředí Genie. Viz Použití značek řídicího panelu a Přidání značek.

Implicitní dědičnost štítků v zásadách ABAC

Při vyhodnocování zásad řízení přístupu na základě atributů (ABAC) se značky použité na jedné úrovni objektového modelu Katalogu Unity automaticky vztahují na všechny objekty pod ním. Pokud například označíte katalog, všechna jeho schémata a tabulky implicitně zdědí značku. Značky se ale nepřenášejí na úroveň sloupce.

Implicitní dědičnost značek nastává pouze při vyhodnocování zásad ABAC. Dědičnost značek se obecně nevztahuje.

Řízené značky

Důležité

Tato funkce je ve verzi Public Preview. Registraci verze Preview můžete potvrdit na stránce Previews . Podívejte se na Správa náhledů Azure Databricks.

Řízené značky jsou značky na úrovni účtu s vynucenými pravidly pro konzistenci a kontrolu. Pomocí řídicích značek definujete povolené klíče a hodnoty a určujete, kteří uživatelé a skupiny je můžou přiřadit k objektům. Tím zajistíte, že značky se použijí konzistentně a odpovídají standardům organizace a poskytují centralizovanou kontrolu nad klasifikací, dodržováním předpisů a provozem.

Řízené značky:

  • Uživatelé nebo skupiny s příslušnými oprávněními je možné přiřadit nebo upravit.

  • Musí používat hodnoty definované v přidružených zásadách značek.

  • Jsou označené v uživatelském rozhraní ikonou zámku..

    Seznam řízených značek

Pokud dojde k odstranění řízené značky, přidružené značky se stanou nespravovanými. Značky zůstanou u objektů, ale kdokoli je může přiřadit nebo upravit bez vyžadování oprávnění. Uživatelé se správnými oprávněními mohou pokračovat ve vytváření a přiřazování značek, které nejsou řízeny.

Další informace naleznete v tématu Řízené značky.

Systémové značky

Systémové značky jsou speciálním typem řízené značky , které jsou předdefinované službou Azure Databricks. Systémové značky mají několik odlišných charakteristik:

  • Definice systémových značek (klíče a hodnoty) jsou předdefinované službou Azure Databricks.

  • Uživatelé nemůžou upravovat ani odstraňovat klíče nebo hodnoty systémových značek.

  • Uživatelé můžou určit, kdo může přiřadit nebo zrušit přiřazení systémových značek prostřednictvím nastavení oprávnění pro řízené značky.

  • Vedle značky se zobrazí ikona klíče .

    Seznam systémových značek

Systémové značky jsou navržené tak, aby podporovaly standardizované označování napříč organizacemi, zejména pro případy použití, jako je klasifikace dat, vlastnictví nebo sledování životního cyklu. Pomocí předdefinovaných definic značek pomáhají systémové značky vynucovat konzistenci, aniž by uživatelé museli ručně definovat nebo spravovat struktury značek.

Požadavky

Pokud chcete přidat značky do zabezpečitelných objektů katalogu Unity, musíte objekt vlastnit nebo mít všechna následující oprávnění:

  • APPLY TAG na objektu
  • USE SCHEMA na nadřazeném schématu objektu
  • USE CATALOG v nadřazeném katalogu objektu

Pokud chcete přidat řízenou značku do zabezpečitelných objektů katalogu Unity, musíte mít také oprávnění ASSIGN k řízené značce. Viz Správa oprávnění pro spravované značky.

Omezení

Následuje seznam omezení štítků:

  • U klíčů značek se rozlišují malá a velká písmena. Například Sales a sales jsou dvě odlišné značky.

  • K jednomu zabezpečitelnému objektu (tabulce nebo sloupci) můžete přiřadit maximálně 50 značek.

  • Tabulka může mít celkem maximálně 1 000 značek sloupců ve všech svých sloupcích.

  • Maximální délka klíče značky je 255 znaků.

  • Maximální délka hodnoty značky je 1 000 znaků.

  • V klíčích značek nejsou povolené následující znaky:

    . , - = / :

  • Koncové a úvodní mezery nejsou v klíčích nebo hodnotách značek povolené.

  • Vyhledávání značek pomocí uživatelského rozhraní vyhledávání pracovního prostoru je podporováno pro všechny objekty katalogu Unity s výjimkou funkcí.

  • Hledání značek vyžaduje přesnou shodu termínů.

  • V jednom ALTER TABLE příkazu nelze přiřadit značky k více sloupcům. Značky musíte přiřadit ke každému sloupci zvlášť. To se liší od COMMENT klauzule, která podporuje více sloupců v jednom příkazu.

Přidání a aktualizace značek

Pro registrované modely musíte použít Průzkumníka katalogu nebo rozhraní CLIENTAPI MLflow. Viz Použití značek u modelů.

Průzkumník katalogu

  1. Klikněte na ikonu Data.Katalog na bočním panelu

  2. Vyberte zabezpečitelný objekt.

  3. Na stránce Přehled objektu v části Značky přidejte nebo aktualizujte značku:

    • Pokud nejsou žádné značky, klikněte na tlačítko Přidat značky .
    • Pokud existují značky, klikněte na Ikona Upravitikonu Přidat nebo upravit značky .

  4. Vyberte existující klíč značky a hodnotu nebo zadejte název nové značky.

    • Značky, které jsou řízeny, jsou v záhlaví oddílu Řízení a majíikonu zámku ikona Zamknout..
    • Klíče značek jsou povinné. Zda je hodnota značky požadována, závisí na klíči značky.

SQL

V Databricks Runtime 16.1 a novějších používejte SET TAG a UNSET TAG spravujte značky u zabezpečitelných objektů. Například:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Viz SET TAG a UNSET TAG.

Ve službě Databricks Runtime 13.3 a novější použijte příkaz SQL s ALTER <object> nebo s SET TAGS ke správě značek u zabezpečitelných objektů. Například:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Seznam dostupných příkazů DDL (Data Definition Language) a jejich syntaxe najdete v části DDL statements.

Vyřazení sloupce s řízenými značkami

Když odstraníte sloupec, který má přiřazenou jednu nebo více řízených značek, operace odstranění selže. Pokud chcete odstranit označený sloupec, musíte z něj nejdřív odebrat všechny spravované značky. Pokud chcete zabránit potenciálnímu úniku dat, postupujte podle této sekvence.

  1. Zahoďte značku:

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Odstraňte sloupec:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Pokud chcete trvale odstranit data sloupce, postupujte podle kroků v části Explicitní aktualizace schématu a odstraňte sloupce. Jinak může cestování časem zveřejnit data.

Poznámka:

Na rozdíl od jiných tabulek katalogu Unity se značky sloupců u cizích tabulek automaticky zahodí, když se sloupec cizí tabulky zahodí na cizí zdroj dat a tato změna metadat se projeví v katalogu Unity.

Použití značek k hledání objektů katalogu Unity

Na panelu hledání v pracovním prostoru Azure Databricks můžete použít klíče značek a hodnoty značek k vyhledání většiny objektů katalogu Unity, včetně katalogů, schémat, tabulek, zobrazení a svazků. Vyhledávání tagů není podporováno pro funkce a sloupce tabulky.

Ve výsledcích hledání se zobrazí jenom objekty, které máte oprávnění k zobrazení. To znamená, že musíte mít alespoň BROWSE oprávnění k objektu (nebo k nadřazenému katalogu a schématu objektu), aby se objekt mohl vrátit ve výsledcích hledání.

Podrobnosti najdete v tématu Použití značek k hledání tabulek a zobrazení.

Načtení informací o značce z tabulek v informačním schématu

Každý katalog vytvořený v Unity Catalogu zahrnuje INFORMATION_SCHEMA. Toto schéma zahrnuje tabulky, které popisují objekty známé v katalogu schématu. Abyste mohli zobrazit informace o schématu, musíte mít příslušná oprávnění.

Pokud chcete načíst informace o značkách, zadejte následující dotaz:

Další informace naleznete v tématu Informační schéma.

  • Last updated on