Condividi tramite

Applicare tag a oggetti proteggibili di Unity Catalog

Questa pagina illustra come applicare tag a oggetti a protezione diretta di Unity Catalog.

I tag sono attributi che includono chiavi e valori facoltativi che è possibile usare per organizzare e categorizzare oggetti protetti nel Unity Catalog. L'uso dei tag semplifica anche la ricerca e l'individuazione di tabelle e viste usando la funzionalità di ricerca dell'area di lavoro.

Avvertimento

I dati dei tag vengono archiviati come testo normale e possono essere replicati a livello globale. Non usare nomi, valori o descrittori di tag che potrebbero compromettere la sicurezza delle risorse. Ad esempio, non usare nomi di tag, valori o descrittori che contengono informazioni personali o riservate.

Oggetti a protezione diretta supportati

L'assegnazione di tag agli oggetti proteggibili è attualmente supportata nei cataloghi, negli schemi, nelle tabelle, nelle colonne di tabella, nei volumi, nelle viste, nei modelli registrati e nelle versioni del modello. Per ulteriori informazioni sugli oggetti proteggibili, vedere Oggetti proteggibili in Unity Catalog.

È anche possibile applicare tag ai dashboard e agli spazi Genie. Vedere Usare i tag del dashboard e Aggiungere tag.

Ereditarietà implicita dei tag nei criteri ABAC

Quando si valutano criteri di controllo degli accessi in base all'attributo , i tag applicati a un livello del modello a oggetti del catalogo Unity si applicano automaticamente a tutti gli oggetti sottostanti. Ad esempio, se si contrassegna un catalogo, tutti i relativi schemi e tabelle ereditano in modo implicito il tag. Tuttavia, i tag non ereditano a livello di colonna.

L'ereditarietà implicita dei tag si verifica solo durante la valutazione dei criteri di controllo accessi basati sugli attributi (ABAC). L'ereditarietà dei tag non si applica in genere.

Tag regolamentati

Importante

Questa funzionalità è in Anteprima Pubblica.

I tag regolati sono tag a livello di account con regole applicate per coerenza e controllo. Usando i tag regolati, si definiscono le chiavi e i valori consentiti e si controllano quali utenti e gruppi possono assegnarli agli oggetti. In questo modo i tag vengono applicati in modo coerente e conforme agli standard dell'organizzazione, offrendo un controllo centralizzato sulla classificazione, la conformità e le operazioni.

Tag regolati:

  • Può essere assegnato o modificato solo da utenti o gruppi con le autorizzazioni appropriate.

  • Deve usare i valori definiti nei criteri di tag associati.

  • Sono contrassegnati nell'interfaccia utente con un'icona di blocco Blocco.

    Elenco di tag regolamentati.

Se viene eliminato un tag regolamentato, i tag associati diventano non gestiti. I tag rimangono sugli oggetti, ma chiunque può assegnarli o modificarli senza richiedere autorizzazioni. Gli utenti con privilegi appropriati possono continuare a creare e assegnare tag non regolamentati.

Per altre informazioni, vedere Tag regolamentati.

Tag di sistema

I tag di sistema sono un tipo speciale di tag regolamentato predefinito da Azure Databricks. I tag di sistema hanno alcune caratteristiche distinte:

  • Le definizioni dei tag di sistema (chiavi e valori) sono predefinite da Azure Databricks.

  • Gli utenti non possono modificare o eliminare chiavi o valori di tag di sistema.

  • Gli utenti possono controllare chi può assegnare o annullare l'assegnazione dei tag di sistema tramite le impostazioni di autorizzazione per i tag regolamentati.

  • Accanto al tag viene visualizzata un'icona wrench Wrench.

    Elenco dei tag di sistema.

I tag di sistema sono progettati per supportare l'assegnazione di tag standardizzati in tutte le organizzazioni, in particolare per casi d'uso come la classificazione dei dati, la proprietà o il rilevamento del ciclo di vita. Usando definizioni di tag regolate predefinite, i tag di sistema consentono di applicare la coerenza senza richiedere agli utenti di definire o gestire manualmente le strutture dei tag.

Requisiti

Per aggiungere tag a oggetti a protezione diretta di Unity Catalog, è necessario possedere l'oggetto o disporre di tutti i privilegi seguenti:

  • APPLY TAG sull'oggetto
  • USE SCHEMA nello schema padre dell'oggetto
  • USE CATALOG nel catalogo principale dell'oggetto

Per aggiungere un tag regolamentato agli oggetti a protezione diretta di Unity Catalog, è necessario disporre anche dell'autorizzazione ASSIGN per il tag regolamentato. Vedere Gestire le autorizzazioni per i tag regolamentati.

Vincoli

Di seguito è riportato un elenco di vincoli di tag:

  • Le chiavi tag fanno distinzione tra maiuscole e minuscole. Ad esempio, Sales e sales sono due tag distinti.

  • È possibile assegnare un massimo di 50 tag a un singolo oggetto a protezione diretta (tabella o colonna).

  • Una tabella può avere al massimo 1.000 tag di colonna in totale in tutte le colonne.

  • La lunghezza massima di una chiave tag è di 255 caratteri.

  • La lunghezza massima di un valore di tag è di 1.000 caratteri.

  • I caratteri seguenti non sono consentiti nelle chiavi dei tag:

    . , - = / :

  • Gli spazi finali e iniziali non sono consentiti nelle chiavi o nei valori dei tag.

  • La ricerca di tag tramite l'interfaccia utente di ricerca dell'area di lavoro è supportata solo per tabelle e viste.

  • La ricerca di tag richiede la corrispondenza esatta dei termini.

Aggiungere e aggiornare i tag

Per i modelli registrati, è necessario usare Esplora cataloghi o MLflow ClientAPI. Vedere Usare i tag nei modelli.

Esploratore di cataloghi

  1. Fare clic sull'icona Dati.Catalogo nella barra laterale.

  2. Selezionare un oggetto proteggibile.

  3. Nella pagina Panoramica dell'oggetto, in Tag aggiungere o aggiornare un tag:

    • Se non sono presenti tag, fare clic sul pulsante Aggiungi tag.
    • Se sono presenti tag, fare clic sull'icona Icona ModificaAggiungi/Modifica tag.

  4. Selezionare un tag esistente Chiave e Valore oppure immettere un nome di un nuovo tag.

    • I tag regolati si trovano nell'intestazione della sezione Regolamentata e hannoun'icona di blocco Icona di blocco.
    • Le chiavi dei tag sono obbligatorie. L'eventuale richiesta di un valore di tag dipende dalla chiave del tag.

SQL

In Databricks Runtime 16.1 e versioni successive usare SET TAG e UNSET TAG per gestire i tag in oggetti a protezione diretta. Per esempio:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Vedere SET TAG e UNSET TAG.

In Databricks Runtime 13.3 e versioni successive usare il ALTER <object> comando SQL con SET TAGS o UNSET TAGS per gestire i tag sugli oggetti proteggibili. Per esempio:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Per un elenco dei comandi DDL (Data Definition Language) disponibili e la loro sintassi, consultare le istruzioni indicate in .

Eliminare una colonna con tag regolamentati

Quando si rilascia una colonna con uno o più tag regolamentati assegnati, l'operazione di rilascio ha esito negativo. Per eliminare una colonna con tag, è prima necessario rimuovere tutti i tag regolati da esso. Seguire questa sequenza per evitare potenziali perdite di dati.

  1. Eliminare il tag:

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Eliminare la colonna:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Per eliminare definitivamente i dati della colonna, seguire la procedura descritta in Aggiornare in modo esplicito lo schema per eliminare le colonne. In caso contrario, il viaggio nel tempo potrebbe esporre i dati.

Nota

A differenza di altre tabelle del catalogo Unity, i tag di colonna nelle tabelle esterne vengono eliminati automaticamente quando viene eliminata una colonna di tabella esterna nell'origine dati esterna e tale modifica dei metadati viene riflessa in Unity Catalog.

Usare i tag per cercare tabelle e viste

Usare la barra di ricerca dell'area di lavoro di Azure Databricks per cercare tabelle e visualizzazioni usando chiavi di tag e valori di tag. Non è possibile utilizzare tag per cercare altri oggetti contrassegnati, ad esempio colonne di tabella, cataloghi, schemi o volumi.

Nei risultati della ricerca vengono visualizzate solo le tabelle e le viste per cui si dispone dell'autorizzazione. Ciò significa che è necessario disporre almeno del BROWSE privilegio per l'oggetto (o per il catalogo e lo schema padre dell'oggetto) per restituire l'oggetto nei risultati della ricerca.

Per informazioni dettagliate, vedere Usare i tag per cercare tabelle e viste.

Recuperare informazioni sui tag dalle tabelle dello schema delle informazioni

Ogni catalogo creato in Unity Catalog include un INFORMATION_SCHEMA. Questo schema include tabelle che descrivono gli oggetti noti al catalogo dello schema. Per visualizzare le informazioni sullo schema, è necessario disporre dei privilegi appropriati.

Eseguire una query seguente per recuperare le informazioni sui tag:

Per altre informazioni, vedere Schema delle informazioni.

  • Last updated on