Unity Catalog のセキュリティ保護可能なオブジェクトにタグを適用する

このページでは、Unity カタログのセキュリティ保護可能なオブジェクトにタグを適用する方法を示します。

タグは、Unity Catalog のセキュリティ保護が可能なオブジェクトの整理とカテゴリー化に使用できるキーと省略可能な値を含む属性です。 また、タグを使用すると、ワークスペース検索機能を使用してテーブルとビューの検索と検出を簡略化できます。

Warnung

タグ データはプレーン テキストとして格納され、グローバルにレプリケートされる場合があります。 リソースのセキュリティを損なう可能性のあるタグ名、値、または記述子は使用しないでください。 たとえば、個人または機密情報を含むタグ名、値、記述子は使用しないでください。

サポートされているセキュリティ保護可能なオブジェクト

セキュリティ設定が可能なオブジェクトのタグ付けは現在、カタログ、スキーマ、テーブル、テーブル列、ボリューム、ビュー、登録済みモデルとモデルバージョンでサポートされています。 セキュリティ保護可能なオブジェクトの詳細については、「Unity Catalog のセキュリティ保護可能なオブジェクト」を参照してください。

ダッシュボードや Genie スペースにタグを適用することもできます。 「ダッシュボード タグの使用」と「タグの追加」を参照してください。

ABAC ポリシーでの暗黙的なタグ継承

属性ベースのアクセス制御 (ABAC) ポリシーを評価する場合、Unity Catalog オブジェクト モデルの 1 つのレベルで適用されたタグは、その下にあるすべてのオブジェクトに自動的に適用されます。 たとえば、カタログにタグを付けた場合、そのすべてのスキーマとテーブルはタグを暗黙的に継承します。 ただし、タグは列レベルに継承されません。

暗黙的なタグ継承は、ABAC ポリシーのみを評価するときに発生します。 タグの継承は一般的には適用されません。

管理タグ

Von Bedeutung

この機能は パブリック プレビュー段階です。

管理タグは、アカウント レベルのタグであり、一貫性と制御のための規則が適用されます。 管理タグを使用して、許可されるキーと値を定義し、オブジェクトに割り当てることができるユーザーとグループを制御します。 これにより、タグが一貫して適用され、組織の標準に準拠し、分類、コンプライアンス、運用を一元的に制御できるようになります。

管理タグ:

• 割り当てまたは変更できるのは、適切なアクセス許可を持つユーザーまたはグループだけです。

• 関連付けられているタグ ポリシーで定義されている値を使用する必要があります。

• ロック で UI でマークされます。.

  

管理タグが削除されると、関連付けられているタグは管理されません。 タグはオブジェクトに残りますが、誰でもアクセス許可を必要とせずに割り当てたり変更したりできます。 適切な特権を持つユーザーは、管理されていないタグの作成と割り当てを続行できます。

詳細については、「 管理タグ」を参照してください。

システム タグ

システム タグは、Azure Databricks によって事前に定義された特別な種類の 管理タグ です。 システム タグには、いくつかの異なる特性があります。

• システム タグ定義 (キーと値) は、Azure Databricks によって事前に定義されています。

• ユーザーは、システム タグ キーまたは値を変更または削除できません。

• ユーザーは、管理タグのアクセス許可設定を使用して、システム タグの割り当てまたは割り当ての解除を許可するユーザーを制御できます。

• タグの横にレンチ が表示されます。

  

システム タグは、組織全体で標準化されたタグ付けをサポートするように設計されています。特に、データ分類、所有権、ライフサイクル追跡などのユース ケースに対応しています。 定義済みの管理タグ定義を使用することで、システム タグは、ユーザーがタグ構造を手動で定義または管理する必要なしに、一貫性を強制するのに役立ちます。

要件

Unity Catalog ののセキュリティ保護が可能なオブジェクトにタグを追加するには、そのオブジェクトを所有しているか、次のすべての特権がある必要があります。

• オブジェクトでの APPLY TAG
• USE SCHEMA オブジェクトの親スキーマ
• USE CATALOG オブジェクトの親カタログ内

管理タグを Unity カタログのセキュリティ保護可能なオブジェクトに追加するには、管理タグに対する ASSIGN アクセス許可も必要です。 管理タグのアクセス許可の管理を参照してください。

制約

次はタグ制約の一覧です。

• タグ キーでは大文字と小文字が区別されます。 たとえば、 Sales と sales は 2 つの異なるタグです。

• 1 つのセキュリティ保護可能なオブジェクト (テーブルまたは列) に最大 50 個のタグを割り当てることができます。

• テーブルには、すべての列に対して最大 1,000 個の列タグを含めることができます。

• タグ キーの長さは最大で 255 文字です。

• タグ値の最大長は 1,000 文字です。

• タグ キーでは、次の文字は使用できません。

  . , - = / :

• タグ キーまたはタグ値では、末尾と先頭のスペースは使用できません。

• ワークスペース検索 UI を使用したタグ検索は、テーブルとビューでのみサポートされます。

• タグ検索には、正確な単語の一致が必要です。

タグの追加と更新

登録済みモデルの場合は、カタログ エクスプローラーまたは MLflow ClientAPI を使用する必要があります。 「モデルでタグを使用する」を参照してください。

カタログ エクスプローラー

1. [サイドバーのカタログ。

2. セキュリティ保護可能なオブジェクトを選択します。

3. オブジェクトの [概要 ] ページの [ タグ] で、タグを追加または更新します。

   • タグがない場合は、[タグの追加] ボタンをクリックします。
   • タグがある場合は、[タグの追加/編集] アイコンをクリックします。

4. 既存のタグ キー と 値 を選択するか、新しいタグの名前を入力します。

   • 管理されるタグは、 Governed セクション ヘッダーにあり、ロック アイコン。
   • タグ キーが必要です。 タグ値が必要かどうかは、タグ キーによって異なります。

SQL

Databricks Runtime 16.1 以降では、 SET TAG と UNSET TAG を使用して、セキュリティ保護可能なオブジェクトのタグを管理します。 例えば次が挙げられます。

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

「 SET タグ と UNSET TAG」を参照してください。

Databricks Runtime 13.3 以降では、ALTER <object>またはSET TAGSと共に UNSET TAGS SQL コマンドを使用して、セキュリティ保護可能なオブジェクトのタグを管理します。 例えば次が挙げられます。

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

利用できるデータ定義言語 (DDL) コマンドとその構文の一覧については、「DDL ステートメント」を参照してください。

管理タグを含む列を削除する

1 つ以上の管理タグが割り当てられている列を削除すると、ドロップ操作は失敗します。 タグ付き列を削除するには、まず、その列からすべての管理タグを削除する必要があります。 この順序に従って、潜在的なデータ リークを防ぎます。

1. タグを削除します。

   UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;
   

2. 列を削除します。

   ALTER TABLE <catalog>.<schema>.<table>
     DROP COLUMN <column>;
   

列のデータを完全に削除するには、「 明示的にスキーマを更新して列を削除する」の手順に従います。 そうしないと、時間移動によってデータが公開される可能性があります。

注

他の Unity カタログ テーブルとは異なり、外部テーブルの列タグは、外部データ ソースで外部テーブル列が削除されると自動的に削除され、そのメタデータの変更が Unity カタログに反映されます。

タグを使用してテーブルとビューを検索する

Azure Databricks ワークスペースの検索バーを使用して、タグ キーとタグ値を使用してテーブルとビューを検索します。 タグを使用して、テーブル列、カタログ、スキーマ、ボリュームなどの他のタグ付きオブジェクトを検索することはできません。

表示するためのアクセス許可を自分が持っているテーブルとビューだけが検索結果に表示されます。 つまり、検索結果でオブジェクトを返すには、少なくともオブジェクト (またはオブジェクトの親カタログとスキーマ) に対する BROWSE 特権が必要です。

詳細については、「 タグを使用してテーブルとビューを検索する」を参照してください。

Information Schema テーブルからタグ情報を取得する

Unity Catalog 内で作成された各カタログには INFORMATION_SCHEMA が含まれています。 このスキーマには、スキーマのカタログに認識されるオブジェクトを記述するテーブルが含まれています。 スキーマ情報を表示するには、適切な特権が必要です。

タグ情報を取得するには、次のクエリを実行します。

• INFORMATION_SCHEMA。CATALOG_TAGS
• INFORMATION_SCHEMA。COLUMN_TAGS
• INFORMATION_SCHEMA。SCHEMA_TAGS
• INFORMATION_SCHEMA。TABLE_TAGS
• INFORMATION_SCHEMA。VOLUME_TAGS

詳細については、「情報スキーマ」を参照してください。