このページでは、Unity カタログのセキュリティ保護可能なオブジェクトにタグを適用する方法を示します。
タグは、Unity Catalog のセキュリティ保護が可能なオブジェクトの整理とカテゴリー化に使用できるキーと省略可能な値を含む属性です。 また、タグを使用すると、ワークスペース検索機能を使用してテーブルとビューの検索と検出を簡略化できます。
タグ データはグローバルにレプリケートできます。 リソースのセキュリティを損なう可能性のあるタグ名や値は使用しないでください。 たとえば、個人や機密の情報を含むタグ名は使用しません。
サポートされているセキュリティ保護可能なオブジェクト
セキュリティ設定が可能なオブジェクトのタグ付けは現在、カタログ、スキーマ、テーブル、テーブル列、ボリューム、ビュー、登録済みモデルとモデルバージョンでサポートされています。 セキュリティ保護可能なオブジェクトの詳細については、「Unity Catalog のセキュリティ保護可能なオブジェクト」を参照してください。
ポリシーによって管理されるタグ
Von Bedeutung
この機能は ベータ版です。
管理タグは、タグ ポリシーによって管理および適用される タグです。 タグ ポリシーを使用すると、管理者は、管理するタグ キーを定義し、それらのタグに許可される値を指定し、割り当てまたは変更できるユーザーを制御できます。 これにより、組織はタグの使用を一元的に制御でき、一貫したデータ分類、コンプライアンス、運用標準がサポートされます。
タグがタグ ポリシーによって管理されている場合:
適切なアクセス許可を持つユーザーまたはグループのみが、管理タグの割り当てまたは変更を行うことができます。
そのタグ キーに使用できるのは、タグ ポリシーで指定された値だけです。
ロック
。タグの横に表示されます。
タグ ポリシーが削除されると、そのポリシーによって以前に管理されていたタグはすべて管理されません。 タグ自体はオブジェクトから削除されませんが、特別なアクセス許可を必要とせずに、誰でも同じ名前のタグを割り当てたり変更したりできます。
管理タグは、データ分類、規制の状態、コスト センターなどの重要なメタデータが、組織のガバナンス要件に従って一貫して適用されるようにするのに役立ちます。 適切な特権を持つすべてのユーザーは、タグ ポリシーによって管理されないタグを作成して割り当てることができます。 タグ ポリシーは、明示的に管理されているタグにのみ適用されます。
詳細については、「 タグ ポリシー」を参照してください。
注
ダッシュボード タグ Private Preview に登録されている場合、管理タグの名前と一致するダッシュボードに割り当てられているタグは、自動的にそのタグのポリシーの対象になります。
システム タグ
システム タグは、Azure Databricks によって事前に定義され 、タグ ポリシーによって適用される特別な種類の管理 タグです。 システム タグには、いくつかの異なる特性があります。
システム タグ定義 (キーと値) は、Azure Databricks によって事前に定義されています。
ユーザーは、システム タグ キーまたは値を変更または削除できません。
ユーザーは、タグ ポリシーのアクセス許可設定を使用して、システム タグの割り当てまたは割り当ての解除を許可するユーザーを制御できます。
タグの横にレンチ
が表示されます。
システム タグは、組織全体で標準化されたタグ付けをサポートするように設計されています。特に、データ分類、所有権、ライフサイクル追跡などのユース ケースに対応しています。 定義済みの管理タグ定義を使用することで、システム タグは、ユーザーがタグ構造を手動で定義または管理する必要なしに、一貫性を強制するのに役立ちます。
要件
Unity Catalog ののセキュリティ保護が可能なオブジェクトにタグを追加するには、そのオブジェクトを所有しているか、次のすべての特権がある必要があります。
- オブジェクトでの
APPLY TAG -
USE SCHEMAオブジェクトの親スキーマ -
USE CATALOGオブジェクトの親カタログ内
管理タグを Unity カタログのセキュリティ保護可能なオブジェクトに追加するには、タグ ポリシーに対する ASSIGN アクセス許可も必要です。 タグ ポリシーのアクセス許可の管理を参照してください。
制約
次はタグ制約の一覧です。
タグ キーでは大文字と小文字が区別されます。 たとえば、
Salesとsalesは 2 つの異なるタグです。1 つのセキュリティ保護可能なオブジェクトに最大 50 個のタグを割り当てることができます。
タグ キーの長さは最大で 255 文字です。
タグ値の長さは最大で 1,000 文字です。
タグ キーでは、次の文字は使用できません。
. , - = / :タグ キーまたはタグ値では、末尾と先頭のスペースは使用できません。
ワークスペース検索 UI を使用するタグ検索がサポートされているのは、テーブル、ビュー、テーブル列においてだけです。
タグ検索には、正確な単語の一致が必要です。
カタログ エクスプローラーを使用したタグの追加と更新
カタログ エクスプローラーを使用してセキュリティ保護可能なオブジェクト タグを追加および更新するには:
[
![データ] アイコンをクリックします。](../_static/images/product-icons/dataicon.svg)
サイドバーのカタログ。セキュリティ保護可能なオブジェクトを選択します。
オブジェクトの [概要] ページで、タグを追加または更新します。
- タグ ポリシーによって管理されるタグは、 Governed セクション ヘッダーにあり、ロック アイコン。
- タグがない場合は、[タグの追加] ボタンをクリックします。
- タグがある場合は、
![[編集] アイコン](../_static/images/icons/pencil-edit-icon.png)
[タグの追加/編集] アイコンをクリックします。
[タグの追加/編集] ダイアログを使用して複数のタグを追加および削除できます。
タグ キーが必要です。 タグは省略可能です。
テーブル列タグを追加または削除するには、
[タグの追加] アイコンをクリックします。- タグ ポリシーによって管理されるタグは、 Governed セクション ヘッダーにあり、ロック アイコン
SQL コマンドを使用してタグを追加および更新する
注
この機能が利用できるのは、Databricks Runtime バージョン 13.3 以上です。
ALTER <object> SQL コマンドを使用して、カタログ、スキーマ、テーブル (ビュー、具体化されたビュー、ストリーミング テーブル)、ボリューム、およびテーブル列にタグを付けることができます。 たとえば、SET TAGS および UNSET TAGS 句を ALTER TABLE で使用し、テーブルのタグを管理できます。 利用できるデータ定義言語 (DDL) コマンドとその構文の一覧については、「DDL ステートメント」を参照してください。
登録済みモデルの場合は、カタログ エクスプローラーまたは MLflow ClientAPI を使用する必要があります。 「モデルでタグを使用する」を参照してください。
タグを使用してテーブルを検索する
Azure Databricks ワークスペースの検索バーを使用すると、タグ キーとタグ値を使用してテーブル、ビュー、テーブル列の検索を行うことができます。 テーブル タグとテーブル列タグの両方を使用できます。 カタログ、スキーマ、ボリュームなどの他のタグ付きオブジェクトを検索するためにタグを使用することはできません。
表示するためのアクセス許可を自分が持っているテーブルとビューだけが検索結果に表示されます。 つまり、検索結果でオブジェクトを返すには、少なくともオブジェクト (またはオブジェクトの親カタログとスキーマ) に対する BROWSE 特権が必要です。
詳細については、「タグを使用してテーブルを検索する」を参照してください。
Information Schema テーブルからタグ情報を取得する
Unity Catalog 内で作成された各カタログには INFORMATION_SCHEMA が含まれています。 このスキーマには、スキーマのカタログに認識されるオブジェクトを記述するテーブルが含まれています。 スキーマ情報を表示するには、適切な特権が必要です。
次のクエリを実行してタグ情報を取得できます。
- INFORMATION_SCHEMA。CATALOG_TAGS
- INFORMATION_SCHEMA。COLUMN_TAGS
- INFORMATION_SCHEMA。SCHEMA_TAGS
- INFORMATION_SCHEMA。TABLE_TAGS
- INFORMATION_SCHEMA。VOLUME_TAGS
詳細については、「情報スキーマ」を参照してください。