이 페이지에서는 Unity 카탈로그 보안 개체에 태그를 적용하는 방법을 보여 줍니다.
태그는 Unity 카탈로그에서 보안 개체를 구성하고 분류하는 데 사용할 수 있는 키와 선택적 값을 포함하는 특성입니다. 태그를 사용하면 작업 영역 검색 기능을 통해 테이블 및 뷰를 더욱 쉽게 찾고 발견할 수 있습니다.
경고
태그 데이터는 일반 텍스트로 저장되며 전역적으로 복제될 수 있습니다. 리소스의 보안을 손상시킬 수 있는 태그 이름, 값 또는 설명자를 사용하지 마세요. 예를 들어 개인 정보나 중요한 정보가 포함된 태그 이름, 값 또는 설명자는 사용하지 마세요.
지원되는 보안 개체
보안 개체 태그 지정은 현재 카탈로그, 스키마, 테이블, 테이블 열, 볼륨, 뷰, 등록된 모델 및 모델 버전에서 지원됩니다. 보안 개체에 대한 자세한 내용은 Unity 카탈로그
대시보드 및 지니 공간에 태그를 적용할 수도 있습니다. 대시보드 태그 사용 및 태그 추가를 참조하세요.
ABAC 정책의 암시적 태그 상속
ABAC( 특성 기반 액세스 제어 ) 정책을 평가할 때 Unity 카탈로그 개체 모델의 한 수준에서 적용된 태그는 그 아래에 있는 모든 개체에 자동으로 적용됩니다. 예를 들어 카탈로그에 태그를 지정하는 경우 모든 스키마와 테이블이 태그를 암시적으로 상속합니다. 그러나 태그는 열 수준에 상속되지 않습니다.
암시적 태그 상속은 ABAC 정책만 평가할 때 발생합니다. 태그 상속은 일반적으로 적용되지 않습니다.
관리 태그
중요합니다
이 기능은 공개 미리보기 단계에 있습니다.
제어 태그는 일관성 및 제어에 대한 규칙이 적용되는 계정 수준 태그입니다. 관리 태그를 사용하여 허용되는 키와 값을 정의하고 사용자 및 그룹이 개체에 할당할 수 있는 키를 제어합니다. 이렇게 하면 태그가 일관되게 적용되고 조직 표준을 준수하여 분류, 규정 준수 및 작업에 대한 중앙 집중식 제어를 제공합니다.
관리 태그:
적절한 권한이 있는 사용자 또는 그룹에서만 할당하거나 수정할 수 있습니다.
연결된 태그 정책에 정의된 값을 사용해야 합니다.
잠금
이 있는 UI로 표시됩니다.
관리 태그가 삭제되면 연결된 태그는 관리되지 않습니다. 태그는 개체에 남아 있지만 누구나 사용 권한 없이 할당하거나 수정할 수 있습니다. 올바른 권한이 있는 사용자는 관리되지 않는 태그를 계속 만들고 할당할 수 있습니다.
자세한 내용은 관리 태그를 참조하세요.
시스템 태그
시스템 태그는 Azure Databricks에서 미리 정의된 특수한 유형의 제어 태그 입니다. 시스템 태그에는 다음과 같은 몇 가지 고유한 특성이 있습니다.
시스템 태그 정의(키 및 값)는 Azure Databricks에 의해 미리 정의됩니다.
사용자는 시스템 태그 키 또는 값을 수정하거나 삭제할 수 없습니다.
사용자는 제어 태그 권한 설정을 통해 시스템 태그를 할당하거나 할당 취소할 수 있는 사용자를 제어할 수 있습니다.
렌치
이 태그 옆에 표시됩니다.
시스템 태그는 특히 데이터 분류, 소유권 또는 수명 주기 추적과 같은 사용 사례에 대해 조직 전체에서 표준화된 태그 지정을 지원하도록 설계되었습니다. 미리 정의된 제어 태그 정의를 사용하여 시스템 태그는 사용자가 태그 구조를 수동으로 정의하거나 관리할 필요 없이 일관성을 적용하는 데 도움이 됩니다.
요구 사항
Unity 카탈로그 보안 개체에 태그를 추가하려면 개체를 소유하거나 다음 권한을 모두 가져야 합니다.
- 개체에 대한
APPLY TAG -
USE SCHEMA개체의 부모 스키마에서 -
USE CATALOG개체의 부모 카탈로그에
관리 태그를 Unity 카탈로그 보안 개체에 추가하려면 관리 태그에 대한 ASSIGN 권한도 있어야 합니다. 관리 태그에 대한 권한 관리를 참조하세요.
제약 조건
다음은 태그 제약 조건 목록입니다.
태그 키는 대/소문자를 구분합니다. 예를 들어
Salessales두 개의 고유 태그입니다.단일 보안 개체(테이블 또는 열)에 최대 50개의 태그를 할당할 수 있습니다.
테이블에는 모든 열에 대해 총 1,000개의 열 태그가 있을 수 있습니다.
태그 키의 최대 길이는 255자입니다.
태그 값의 최대 길이는 1,000자입니다.
태그 키에는 다음 문자가 허용되지 않습니다.
. , - = / :태그 키 또는 값에는 후행 및 선행 공백이 허용되지 않습니다.
작업 영역 검색 UI를 사용한 태그 검색은 테이블 및 뷰에 대해서만 지원됩니다.
태그 검색에는 정확한 용어 일치가 필요합니다.
태그 추가 및 업데이트
등록된 모델의 경우 카탈로그 탐색기 또는 MLflow ClientAPI를 사용해야 합니다. 모델에 태그 사용을 참조하세요.
카탈로그 탐색기
을 클릭합니다.사이드바의 카탈로그입니다.보안 개체를 선택합니다.
개체 개요 페이지의 태그 아래에서 태그를 추가하거나 업데이트합니다.
- 태그가 없으면 태그 추가 버튼을 클릭합니다.
- 태그가 있는 경우에는
태그 추가/편집 아이콘을 클릭합니다.
기존 태그 키 및 값을 선택하거나 새 태그의 이름을 입력합니다.
- 관리되는 태그는 관리 되는 섹션 헤더에 있으며 잠금 아이콘이 있습니다.
- 태그 키는 필수입니다. 태그 값이 필요한지 여부는 태그 키에 따라 달라집니다.
- 관리되는 태그는 관리 되는 섹션 헤더에 있으며 잠금 아이콘
SQL
Databricks Runtime 16.1 이상에서는 보안 개체의 태그 관리를 위해 SET TAG 및 UNSET TAG를 사용합니다. 다음은 그 예입니다.
> SET TAG ON CATALOG catalog `cost_center` = `hr`;
> UNSET TAG ON CATALOG catalog cost_center;
Databricks Runtime 13.3 이상에서는 ALTER <object> SQL 명령어를 SET TAGS 또는 UNSET TAGS와 함께 사용하여 보안 개체의 태그를 관리할 수 있습니다. 다음은 그 예입니다.
-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');
사용 가능한 DDL(데이터 정의 언어) 명령 및 해당 구문 목록은
제어 태그가 있는 열 삭제
하나 이상의 제어 태그가 할당된 열을 삭제하면 삭제 작업이 실패합니다. 태그가 지정된 열을 삭제하려면 먼저 태그에서 모든 제어 태그를 제거해야 합니다. 잠재적인 데이터 누출을 방지하려면 이 순서를 따릅니다.
태그를 삭제합니다.
UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;열을 삭제합니다.
ALTER TABLE <catalog>.<schema>.<table> DROP COLUMN <column>;
열의 데이터를 영구적으로 삭제하려면 명시적으로 스키마를 업데이트하여 열을 삭제하는 단계를 수행합니다. 그렇지 않으면 시간 이동이 데이터를 노출할 수 있습니다.
참고 항목
다른 Unity 카탈로그 테이블과 달리, 외부 데이터 원본에서 외부 테이블 열이 삭제될 때 해당 메타데이터 변경이 Unity 카탈로그에 반영되면, 외부 테이블의 열 태그가 자동으로 삭제됩니다.
태그를 사용하여 테이블 및 뷰 검색
Azure Databricks 작업 영역 검색 창을 사용하여 태그 키 및 태그 값을 사용하여 테이블 및 뷰를 검색합니다. 태그를 사용하여 테이블 열, 카탈로그, 스키마 또는 볼륨과 같은 태그가 지정된 다른 개체를 검색할 수 없습니다.
볼 수 있는 권한이 있는 테이블 및 뷰만 검색 결과에 표시됩니다. 즉, 검색 결과에서 개체를 반환하려면 해당 개체(또는 개체의 부모 카탈로그 및 스키마)에 대해 최소한 BROWSE 권한이 있어야 합니다.
자세한 내용은 태그를 사용하여 테이블 및 뷰를 검색합니다.
정보 스키마 테이블에서 태그 정보 검색
Unity 카탈로그에서 생성된 각 카탈로그에는 INFORMATION_SCHEMA이 포함되어 있습니다. 이 스키마에는 스키마 카탈로그에 알려진 개체를 설명하는 테이블이 포함되어 있습니다. 스키마 정보를 보려면 적절한 권한이 있어야 합니다.
다음을 쿼리하여 태그 정보를 검색합니다.
자세한 내용은 정보 스키마참조하세요.