Delen via

Tags toepassen op beveiligbare objecten in Unity Catalog

Op deze pagina ziet u hoe u tags toepast op beveiligbare objecten van Unity Catalog.

Tags zijn kenmerken die sleutels en optionele waarden bevatten die u kunt gebruiken om beveiligbare objecten in Unity Catalog te organiseren en te categoriseren. Het gebruik van tags vereenvoudigt ook het zoeken en ontdekken van tabellen en weergaven met behulp van de zoekfunctionaliteit voor werkruimten.

Waarschuwing

Taggegevens worden opgeslagen als tekst zonder opmaak en kunnen globaal worden gerepliceerd. Gebruik geen tagnamen, waarden of descriptors die de beveiliging van uw resources in gevaar kunnen krijgen. Gebruik bijvoorbeeld geen tagnamen, waarden of descriptors die persoonlijke of gevoelige informatie bevatten.

Ondersteunde beveiligbare objecten

Beveiligbare objecttags worden momenteel ondersteund voor catalogi, schema's, tabellen, tabelkolommen, volumes, weergaven, geregistreerde modellen en modelversies. Zie Beveiligbare objecten in Unity Catalog voor meer informatie over beveiligbare objecten.

U kunt ook tags toepassen op dashboards en Genie-ruimten. Zie Dashboardtags gebruiken en Tags toevoegen.

Impliciete overname van tags in ABAC-beleid

Bij het evalueren van ABAC-beleid (op kenmerken gebaseerd toegangsbeheer ), worden tags die op één niveau van het Unity Catalog-objectmodel worden toegepast, automatisch toegepast op alle objecten eronder. Als u bijvoorbeeld een catalogus tagt, nemen alle schema's en tabellen impliciet de tag over. Tags erven echter niet naar kolomniveau.

Impliciete overname van tags vindt alleen plaats bij de evaluatie van ABAC-beleid. Overname van tags is doorgaans niet van toepassing.

Beheerde tags

Belangrijk

Deze functie bevindt zich in openbare preview-versie.

Beheerde tags zijn tags op accountniveau met afgedwongen regels voor consistentie en beheer. Met beheerde tags definieert u de toegestane sleutels en waarden en bepaalt u welke gebruikers en groepen deze kunnen toewijzen aan objecten. Dit zorgt ervoor dat tags consistent worden toegepast en voldoen aan organisatiestandaarden, waardoor gecentraliseerde controle wordt gegeven over classificatie, naleving en bewerkingen.

Beheerde tags:

  • Kan alleen worden toegewezen of gewijzigd door gebruikers of groepen met de juiste machtigingen.

  • Moet waarden gebruiken die zijn gedefinieerd in het gekoppelde tagbeleid.

  • Zijn gemarkeerd in de gebruikersinterface met een vergrendelingspictogram.

    Lijst met beheerde tags.

Als een beheerde tag wordt verwijderd, worden de bijbehorende tags niet-overgezet. De tags blijven op objecten staan, maar iedereen kan ze toewijzen of wijzigen zonder dat hiervoor machtigingen zijn vereist. Gebruikers met de juiste bevoegdheden kunnen doorgaan met het maken en toewijzen van tags die niet worden beheerd.

Zie Beheerde tags voor meer informatie.

Systeemtags

Systeemtags zijn een speciaal type beheerde tag die vooraf is gedefinieerd door Azure Databricks. Systeemtags hebben een aantal verschillende kenmerken:

  • Systeemtagdefinities (sleutels en waarden) zijn vooraf gedefinieerd door Azure Databricks.

  • Gebruikers kunnen systeemtagsleutels of -waarden niet wijzigen of verwijderen.

  • Gebruikers kunnen bepalen wie systeemtags mag toewijzen of intrekken via instellingen voor beheerde tagmachtigingen.

  • Er wordt een sleutelpictogram weergegeven naast de tag.

    Lijst met systeemtags.

Systeemtags zijn ontworpen ter ondersteuning van gestandaardiseerde tags in organisaties, met name voor gebruiksvoorbeelden zoals gegevensclassificatie, eigendom of het bijhouden van de levenscyclus. Door vooraf gedefinieerde, beheerde tagdefinities te gebruiken, helpen systeemtags consistentie af te dwingen zonder dat gebruikers tagstructuren handmatig moeten definiëren of beheren.

Vereisten

Als u tags wilt toevoegen aan beveiligbare objecten van Unity Catalog, moet u eigenaar zijn van het object of alle volgende bevoegdheden hebben:

  • APPLY TAG op het object
  • USE SCHEMA in het bovenliggende schema van het object
  • USE CATALOG in de bovenliggende catalogus van het object

Als u een beheerde tag wilt toevoegen aan beveiligbare objecten van Unity Catalog, moet u ook de machtiging TOEWIJZEN hebben voor de beheerde tag. Zie Machtigingen beheren voor beheerde tags.

Beperkingen

Hier volgt een lijst met tagbeperkingen:

  • Tagsleutels zijn hoofdlettergevoelig. Dit zijn bijvoorbeeld Salessales twee afzonderlijke tags.

  • U kunt maximaal 50 tags toewijzen aan één beveiligbaar object (tabel of kolom).

  • Een tabel kan in totaal maximaal 1000 kolomtags bevatten voor alle kolommen.

  • De maximale lengte van een tagsleutel is 255 tekens.

  • De maximale lengte van een tagwaarde is 1000 tekens.

  • De volgende tekens zijn niet toegestaan in tagsleutels:

    . , - = / :

  • Volgspaties en voorloopspaties zijn niet toegestaan in tagsleutels of -waarden.

  • Tagzoekopdrachten met behulp van de gebruikersinterface voor zoeken in werkruimte worden alleen ondersteund voor tabellen en weergaven.

  • Zoeken in tags vereist exacte termenkoppeling.

Tags toevoegen en bijwerken

Voor geregistreerde modellen moet u Catalog Explorer of de MLflow ClientAPI gebruiken. Zie Tags gebruiken voor modellen.

Catalogusverkenner

  1. Klik op het pictogram Gegevens.Catalogus in de zijbalk.

  2. Selecteer een beveiligbaar object.

  3. Voeg op de pagina Objectoverzicht onder Tags een tag toe of werk deze bij:

    • Als er geen tags zijn, klikt u op de knop Tags toevoegen.
    • Als er tags zijn, klikt u op het Pictogram Bewerkenpictogram Tags toevoegen/bewerken.

  4. Selecteer een bestaande tagsleutel en waarde of voer een naam in van een nieuwe tag.

    • Tags die worden beheerd, bevinden zich in de koptekst van de sectie Beheerde en hebben eenvergrendelingspictogram lock-pictogram..
    • Tagsleutels zijn vereist. Of een tagwaarde vereist is, is afhankelijk van de tagsleutel.

SQL

In Databricks Runtime 16.1 en hoger, gebruik SET TAG en UNSET TAG om tags op beveiligbare objecten te beheren. Voorbeeld:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Zie SET TAG en UNSET TAG.

Gebruik in Databricks Runtime 13.3 en hoger de ALTER <object> SQL-opdracht met SET TAGS of UNSET TAGS om tags voor beveiligbare objecten te beheren. Voorbeeld:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Zie DDL-instructies voor een lijst met beschikbare DDL-opdrachten (Data Definition Language) en de bijbehorende syntaxis.

Een kolom met beheerde tags neerzetten

Wanneer u een kolom neerlaat waaraan een of meer beheerde tags zijn toegewezen, mislukt de drop-bewerking. Als u een gelabelde kolom wilt verwijderen, moet u eerst alle beheerde tags ervan verwijderen. Volg deze volgorde om potentiële gegevenslekken te voorkomen.

  1. Verwijder de tag

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Zet de kolom neer:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Als u de gegevens van de kolom definitief wilt verwijderen, volgt u de stappen in Het schema expliciet bijwerken om kolommen te verwijderen. Anders kan tijdreizen de gegevens blootstellen.

Notitie

In tegenstelling tot andere Unity Catalog-tabellen worden kolomtags voor refererende tabellen automatisch verwijderd wanneer een refererende tabelkolom wordt verwijderd in de externe gegevensbron en die metagegevenswijziging wordt weerspiegeld in Unity Catalog.

Tags gebruiken om te zoeken naar tabellen en weergaven

Gebruik de zoekbalk van de Azure Databricks-werkruimte om tabellen en weergaven te zoeken met behulp van tagsleutels en tagwaarden. U kunt geen tags gebruiken om te zoeken naar andere gelabelde objecten, zoals tabelkolommen, catalogi, schema's of volumes.

Alleen tabellen en weergaven waarvoor u gemachtigd bent om te zien, worden weergegeven in zoekresultaten. Dit betekent dat u ten minste het BROWSE privilege voor het object (of in de bovenliggende catalogus en het schema van het object) moet hebben om het object in zoekresultaten terug te keren.

Zie Tags gebruiken om te zoeken naar tabellen en weergaven voor meer informatie.

Taggegevens ophalen uit informatieschematabellen

Elke catalogus die in Unity Catalog is gemaakt, bevat een INFORMATION_SCHEMA. Dit schema bevat tabellen die de objecten beschrijven die bekend zijn in de catalogus van het schema. U moet over de juiste bevoegdheden beschikken om de schemagegevens weer te geven.

Voer een query uit om taggegevens op te halen:

Zie Informatieschema voor meer informatie.

  • Last updated on