Freigeben über

Anwenden von Tags auf sicherungsfähige Unity Catalog-Objekte

Auf dieser Seite wird gezeigt, wie Tags auf sicherungsfähige Objekte im Unity-Katalog angewendet werden.

Tags sind Attribute mit Schlüsseln und optionalen Werten, die Sie zum Organisieren und Kategorisieren von sicherungsfähigen Objekten in Unity Catalog anwenden können. Die Verwendung von Tags vereinfacht auch die Suche und Ermittlung von Tabellen und Ansichten mithilfe der Arbeitsbereichssuchfunktion.

Warnung

Tagdaten werden als Nur-Text gespeichert und können global repliziert werden. Verwenden Sie keine Tagnamen, Werte oder Deskriptoren, die die Sicherheit Ihrer Ressourcen gefährden könnten. Verwenden Sie beispielsweise keine Tagnamen, Werte oder Deskriptoren, die persönliche oder vertrauliche Informationen enthalten.

Unterstützte sicherungsfähige Objekte

Sicherungsfähiges Objekttagging wird derzeit für Kataloge, Schemas, Tabellen, Tabellenspalten, Volumes, Sichten, registrierte Modelle und Modellversionen unterstützt. Weitere Informationen zu sicherungsfähigen Objekten finden Sie unter Sicherungsfähige Objekte in Unity Catalog.

Sie können auch Tags auf Dashboards und Genie-Räume anwenden. Siehe Verwenden von Dashboardtags und Hinzufügen von Tags.

Implizite Tagvererbung in ABAC-Richtlinien

Beim Auswerten von Attributbasierten Zugriffssteuerungsrichtlinien (ABAC) gelten Tags, die auf einer Ebene des Unity Catalog-Objektmodells angewendet werden, automatisch auf alle darunter liegenden Objekte. Wenn Sie beispielsweise einen Katalog taggen, erben alle Schemata und Tabellen implizit das Tag. Tags werden jedoch nicht auf Spaltenebene vererbt.

Die implizite Tagvererbung erfolgt nur bei der Auswertung von ABAC-Richtlinien. Die Tagvererbung gilt im Allgemeinen nicht.

Governed Tags

Von Bedeutung

Dieses Feature befindet sich in der Public Preview.

Gesteuerte Tags sind Tags auf Kontoebene mit erzwungenen Regeln für Konsistenz und Kontrolle. Mithilfe von gesteuerten Tags definieren Sie die zulässigen Schlüssel und Werte und steuern, welche Benutzer und Gruppen sie Objekten zuweisen können. Dadurch wird sichergestellt, dass Tags konsistent angewendet werden und den Organisatorischen Standards entsprechen und die zentrale Kontrolle über Klassifizierung, Compliance und Vorgänge erhalten.

Geregelte Tags:

  • Kann nur von Benutzern oder Gruppen mit den entsprechenden Berechtigungen zugewiesen oder geändert werden.

  • Muss werte verwenden, die in der zugehörigen Tagrichtlinie definiert sind.

  • Werden auf der Benutzeroberfläche mit einem Sperrsymbol gekennzeichnet.

    Liste der geregelten Tags.

Wenn ein geregeltes Tag gelöscht wird, werden die zugeordneten Tags nicht geregelt. Die Tags bleiben auf Objekten, aber jeder kann sie zuweisen oder ändern, ohne dass Berechtigungen erforderlich sind. Benutzer mit den richtigen Berechtigungen können weiterhin Tags erstellen und zuweisen, die nicht geregelt sind.

Weitere Informationen finden Sie unter "Governed tags".

Systemtags

Systemtags sind ein spezieller Typ von geregelten Tags , die von Azure Databricks vordefiniert sind. Systemtags weisen einige unterschiedliche Merkmale auf:

  • Systemtagdefinitionen (Schlüssel und Werte) sind von Azure Databricks vordefiniert.

  • Benutzer können keine Systemtagschlüssel oder -werte ändern oder löschen.

  • Benutzer können steuern, wer Systemtags über geregelte Tagberechtigungseinstellungen zuweisen oder aufheben darf.

  • Neben dem Tag wird ein Schraubenschlüssel-Symbol angezeigt.

    Liste der Systemtags.

Systemtags sind so konzipiert, dass sie standardisierte Tags unterstützen, insbesondere für Anwendungsfälle wie Datenklassifizierung, Eigentum oder Lebenszyklusnachverfolgung über Organisationen hinweg. Mithilfe vordefinierter, geregelter Tagdefinitionen können Systemtags Konsistenz erzwingen, ohne dass Benutzer Tagstrukturen manuell definieren oder verwalten müssen.

Anforderungen

Um Tags zu sicherungsfähigen Unity Catalog-Objekten hinzuzufügen, müssen Sie Besitzer des Objekt sein oder über alle folgenden Berechtigungen verfügen:

  • APPLY TAG für das Objekt
  • USE SCHEMA im übergeordneten Schema des Objekts
  • USE CATALOG im Elternkatalog des Objekts

Zum Hinzufügen eines geregelten Tags zu Sicherungsobjekten im Unity-Katalog müssen Sie auch über die ZUWEISEN-Berechtigung für das geregelte Tag verfügen. Siehe "Verwalten von Berechtigungen für geregelte Tags".

Zwänge

In der folgenden Liste sind Tageinschränkungen aufgeführt:

  • Bei Tagschlüsseln wird die Groß-/Kleinschreibung beachtet. Beispielsweise sind Sales und sales zwei unterschiedliche Tags.

  • Sie können einem einzelnen sicherungsfähigen Objekt (Tabelle oder Spalte) maximal 50 Tags zuweisen.

  • Eine Tabelle kann höchstens 1.000 Spaltentags insgesamt über alle Spalten hinweg aufweisen.

  • Die maximale Länge eines Tag-Schlüssels beträgt 255 Zeichen.

  • Die maximale Länge eines Tagwerts beträgt 1.000 Zeichen.

  • Die folgenden Zeichen sind in Tagschlüsseln nicht zulässig:

    . , - = / :

  • Nachfolgende und führende Leerzeichen sind in Tagschlüsseln oder -werten nicht zulässig.

  • Die Kategoriensuche mithilfe der Arbeitsbereichssuche wird nur für Tabellen und Ansichten unterstützt.

  • Für die Tagsuche ist ein exakter Ausdrucksabgleich erforderlich.

Hinzufügen und Aktualisieren von Tags

Für registrierte Modelle müssen Sie den Katalog-Explorer oder die MLflow-ClientAPI verwenden. Siehe Verwenden von Tags für Modelle.

Katalog-Explorer

  1. Klicken Sie auf das Symbol Katalog in der Randleiste.

  2. Wählen Sie ein sicherungsfähiges Objekt aus.

  3. Fügen Sie auf der Seite " Objektübersicht " unter "Tags" ein Tag hinzu, oder aktualisieren Sie folgendes:

    • Wenn keine Tags vorhanden sind, klicken Sie auf die Schaltfläche Tags hinzufügen.
    • Wenn keine Tags vorhanden sind, klicken Sie auf das Symbol Symbol „Bearbeiten“Tags hinzufügen/bearbeiten.

  4. Wählen Sie einen vorhandenen Tag-Schlüssel und -Wert aus, oder geben Sie einen Namen eines neuen Tags ein.

    • Tags, die gesteuert werden, befinden sich in der Kopfzeile des Governed Section und weisen einSperrsymbol auf.
    • Tagschlüssel sind Pflicht. Ob ein Tagwert erforderlich ist, hängt vom Tagschlüssel ab.

SQL

Verwenden Sie in Databricks Runtime 16.1 und höherSET TAG und UNSET TAG, um Tags für sicherungsfähige Objekte zu verwalten. Beispiel:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Siehe SET TAG und UNSET-TAG.

Verwenden Sie in Databricks Runtime 13.3 und höher den ALTER <object> SQL-Befehl mit SET TAGS oder UNSET TAGS um Tags für sicherungsfähige Objekte zu verwalten. Beispiel:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Eine Liste der verfügbaren DDL-Befehle (Data Definition Language) und deren Syntax finden Sie unter DDL-Anweisungen.

Entfernen einer Spalte mit verwalteten Tags

Wenn Sie eine Spalte ablegen, der mindestens eine geordnete Tags zugewiesen ist, schlägt der Ablagevorgang fehl. Um eine markierte Spalte zu löschen, müssen Sie zunächst alle verwalteten Tags daraus entfernen. Folgen Sie dieser Sequenz, um potenzielle Datenlecks zu verhindern.

  1. Tag entfernen

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Entfernen Sie die Spalte:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Um die Daten der Spalte endgültig zu löschen, führen Sie die Schritte im Expliziten Aktualisieren des Schemas aus, um Spalten abzulegen. Andernfalls kann die Zeitreise die Daten verfügbar machen.

Hinweis

Im Gegensatz zu anderen Unity-Katalog-Tabellen werden Spaltentags in Fremdtabellen automatisch entfernt, wenn eine Spalte in der Fremdtabelle an der fremden Datenquelle entfernt wird, und diese Metadatenänderung wird im Unity-Katalog widergespiegelt.

Verwenden von Tags zum Suchen nach Tabellen und Ansichten

Verwenden Sie die Suchleiste des Azure Databricks-Arbeitsbereichs, um mithilfe von Tagschlüsseln und Tagwerten nach Tabellen und Ansichten zu suchen. Sie können keine Tags verwenden, um nach anderen markierten Objekten wie Tabellenspalten, Katalogen, Schemas oder Volumes zu suchen.

In den Suchergebnissen und Ansichten werden nur Tabellen angezeigt, zu deren Anzeige Sie berechtigt sind. Dies bedeutet, dass Sie mindestens über die Berechtigungen für das BROWSE Objekt (oder im übergeordneten Katalog und Schema des Objekts) verfügen müssen, um das Objekt in suchergebnissen zurückzugeben.

Ausführliche Informationen finden Sie unter Verwenden von Tags zum Suchen nach Tabellen und Ansichten.

Abrufen von Taginformationen aus Informationsschematabellen

Jeder Katalog, der in Unity Catalog erstellt wird, enthält ein INFORMATION_SCHEMA. Dieses Schema enthält Tabellen, die die Objekte beschreiben, die dem Katalog des Schemas bekannt sind. Sie müssen über die entsprechenden Berechtigungen verfügen, um die Schemainformationen anzeigen zu können.

Fragen Sie Folgendes ab, um Taginformationen abzurufen:

Weitere Informationen finden Sie unter Informationsschema.

  • Last updated on