Udostępnij przez

Tagowanie obiektów zabezpieczalnych Katalogu Unity

Na tej stronie przedstawiono, jak stosować tagi do obiektów zabezpieczonych katalogu Unity.

Tagi to atrybuty, które zawierają klucze i opcjonalne wartości, które można wykorzystać do organizowania i kategoryzowania obiektów zabezpieczanych w Unity Catalog. Użycie tagów upraszcza również wyszukiwanie i odnajdywanie tabel i widoków przy użyciu funkcji wyszukiwania obszaru roboczego.

Ostrzeżenie

Dane tagów są przechowywane jako zwykły tekst i mogą być replikowane globalnie. Nie używaj nazw tagów, wartości ani deskryptorów, które mogą naruszyć bezpieczeństwo zasobów. Na przykład nie należy używać nazw tagów, wartości ani deskryptorów zawierających informacje osobiste lub poufne.

Obsługiwane zabezpieczane obiekty

Zabezpieczane tagowanie obiektów jest obecnie obsługiwane w katalogach, schematach, tabelach, kolumnach tabeli, woluminach, widokach, zarejestrowanych modelach i wersjach modelu. Aby uzyskać więcej informacji na temat obiektów zabezpieczanych, zobacz Obiekty zabezpieczane w Unity Catalog.

Tagi można również stosować do pulpitów nawigacyjnych i obszarów Genie. Zobacz Używanie tagów pulpitu nawigacyjnego i Dodawanie tagów.

Niejawne dziedziczenie tagów w zasadach ABAC

Podczas oceniania zasad kontroli dostępu opartej na atrybutach (ABAC), tagi stosowane na jednym poziomie modelu obiektów Unity Catalog są automatycznie stosowane do wszystkich obiektów poniżej niego. Jeśli na przykład tagujesz wykaz, wszystkie jego schematy i tabele niejawnie dziedziczą tag. Tagi jednak nie są dziedziczone na poziomie kolumny.

Niejawne dziedziczenie tagów występuje tylko podczas oceniania zasad ABAC. Dziedziczenie tagów nie ma zastosowania ogólnie.

Tagi zarządzane

Ważne

Ta funkcja jest dostępna w publicznej wersji testowej.

Tagi zarządzane to tagi na poziomie konta z wymuszanymi regułami spójności i kontroli. Za pomocą tagów zarządzanych można zdefiniować dozwolone klucze i wartości oraz kontrolować, którzy użytkownicy i grupy mogą przypisywać je do obiektów. Dzięki temu tagi są stosowane spójnie i zgodne ze standardami organizacyjnymi, zapewniając scentralizowaną kontrolę nad klasyfikacją, zgodnością i operacjami.

Tagi zarządzane:

  • Można przypisać lub zmodyfikować tylko przez użytkowników lub grupy z odpowiednimi uprawnieniami.

  • Musi używać wartości zdefiniowanych w skojarzonych zasadach tagów.

  • Są oznaczone w interfejsie użytkownika z ikoną blokady blokady.

    Lista zarządzanych tagów.

Jeśli tag zarządzany zostanie usunięty, skojarzone tagi staną się ungoverned. Tagi pozostają w obiektach, ale każda osoba może je przypisywać lub modyfikować bez konieczności posiadania uprawnień. Użytkownicy z odpowiednimi uprawnieniami mogą kontynuować tworzenie i przypisywanie tagów, które nie podlegają.

Aby uzyskać więcej informacji, zobacz Tagi zarządzane.

Tagi systemowe

Tagi systemowe to specjalny typ tagu zarządzanego , który jest wstępnie zdefiniowany przez usługę Azure Databricks. Tagi systemowe mają kilka odrębnych cech:

  • Definicje tagów systemowych (klucze i wartości) są wstępnie zdefiniowane przez usługę Azure Databricks.

  • Użytkownicy nie mogą modyfikować ani usuwać kluczy ani wartości tagów systemowych.

  • Użytkownicy mogą kontrolować, kto może przypisywać lub nieprzypisywać tagów systemowych za pomocą ustawień uprawnień tagów zarządzanych.

  • Ikona klucza ikona klucza jest wyświetlana obok tagu.

    Lista tagów systemowych.

Tagi systemowe są przeznaczone do obsługi standardowego tagowania w organizacjach, szczególnie w przypadku przypadków użycia, takich jak klasyfikacja danych, własność lub śledzenie cyklu życia. Korzystając ze wstępnie zdefiniowanych, zarządzanych definicji tagów, tagi systemowe ułatwiają wymuszanie spójności bez konieczności ręcznego definiowania struktur tagów lub zarządzania nimi.

Wymagania

Aby dodać tagi do zabezpieczanych obiektów Unity Catalog, musisz być właścicielem obiektu lub mieć wszystkie następujące uprawnienia:

  • APPLY TAG na obiekcie
  • USE SCHEMA w schemacie nadrzędnym obiektu
  • USE CATALOG w katalogu nadrzędnym obiektu

Aby dodać tag zarządzany do zabezpieczanych obiektów wykazu aparatu Unity, musisz również mieć uprawnienie ASSIGN dla zarządzanego tagu. Zobacz Zarządzanie uprawnieniami do zarządzanych tagów.

Ograniczenia

Poniżej znajduje się lista ograniczeń tagów:

  • W kluczach tagów jest rozróżniana wielkość liter. Na przykład Sales i sales są dwoma odrębnymi tagami.

  • Do pojedynczego zabezpieczanego obiektu (tabeli lub kolumny) można przypisać maksymalnie 50 tagów.

  • Tabela może zawierać łącznie 1000 tagów kolumn we wszystkich kolumnach.

  • Maksymalna długość klucza tagu to 255 znaków.

  • Maksymalna długość wartości tagu to 1000 znaków.

  • Następujące znaki nie są dozwolone w kluczach tagów:

    . , - = / :

  • Spacje końcowe i wiodące nie są dozwolone w kluczach lub wartościach tagów.

  • Wyszukiwanie tagów przy użyciu interfejsu użytkownika wyszukiwania obszaru roboczego jest obsługiwane tylko w przypadku tabel i widoków.

  • Wyszukiwanie tagów wymaga dokładnego dopasowania terminów.

Dodawanie i aktualizowanie tagów

W przypadku zarejestrowanych modeli należy użyć Eksploratora wykazu lub interfejsu MLflow ClientAPI. Zobacz Używanie tagów w modelach.

Eksplorator wykazu

  1. Kliknij ikonę Dane.Wykaz na pasku bocznym.

  2. Wybierz zabezpieczany obiekt.

  3. Na stronie Przegląd obiektu w obszarze Tagi dodaj lub zaktualizuj tag:

    • Jeśli nie ma tagów, kliknij przycisk Dodaj tagi .
    • Jeśli istnieją tagi, kliknij ikonę Ikona EdytujDodaj/Edytuj tagi .

  4. Wybierz istniejący klucz tagu i wartość lub wprowadź nazwę nowego tagu.

    • Tagi, które podlegają, znajdują się w nagłówku sekcji Zarządzane i mają ikonęblokady Ikona blokady.
    • Klucze tagów są wymagane. To, czy wymagana jest wartość tagu, zależy od klucza tagu.

SQL

W środowisku Databricks Runtime 16.1 lub nowszym użyj tagów SET TAG i UNSET TAG do zarządzania zabezpieczanymi obiektami. Przykład:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Zobacz SET TAG i UNSET TAG.

W środowisku Databricks Runtime 13.3 lub nowszym użyj ALTER <object> polecenia SQL z poleceniem SET TAGS lub UNSET TAGS do zarządzania tagami w zabezpieczanych obiektach. Przykład:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Zobacz instrukcje DDL, aby uzyskać listę dostępnych poleceń języka DDL (Data Definition Language) i ich składni.

Usuń kolumnę z zarządzanymi tagami

Jeśli próbujesz usunąć kolumnę z przypisanym co najmniej jednym tagiem zarządzanym, operacja usunięcia kończy się niepowodzeniem. Aby usunąć otagowaną kolumnę, należy najpierw usunąć z niej wszystkie zarządzane tagi. Postępuj zgodnie z tą sekwencją, aby zapobiec potencjalnym wyciekom danych.

  1. Usuń tag:

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Upuść kolumnę:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Aby trwale usunąć dane kolumny, wykonaj kroki opisane w artykule Jawna aktualizacja schematu w celu usunięcia kolumn. W przeciwnym razie podróż w czasie może ujawnić dane.

Uwaga

W przeciwieństwie do innych tabel Unity Catalogu, tagi kolumn w tabelach obcych są automatycznie usuwane po usunięciu kolumny tabeli obcej w obcym źródle danych, a zmiana metadanych zostanie odzwierciedlona w Unity Catalogu.

Wyszukiwanie tabel i widoków przy użyciu tagów

Użyj paska wyszukiwania obszaru roboczego usługi Azure Databricks, aby wyszukać tabele i widoki przy użyciu kluczy tagów i wartości tagów. Nie można używać tagów do wyszukiwania innych otagowanych obiektów, takich jak kolumny tabeli, wykazy, schematy lub woluminy.

Tylko tabele i widoki, do których masz dostęp, pojawiają się w wynikach wyszukiwania. Oznacza to, że musisz mieć co najmniej BROWSE uprawnienia do obiektu (lub w katalogu nadrzędnym i schemacie obiektu), aby obiekt został zwrócony w wynikach wyszukiwania.

Aby uzyskać szczegółowe informacje, zobacz Wyszukiwanie tabel i widoków przy użyciu tagów.

Pobieranie informacji o tagach z tabel schematu informacji

Każdy katalog utworzony w Unity Catalog zawiera INFORMATION_SCHEMA. Ten schemat zawiera tabele opisujące obiekty znane wykazowi schematu. Aby wyświetlić informacje o schemacie, musisz mieć odpowiednie uprawnienia.

Wykonaj następujące zapytanie, aby pobrać informacje o tagu:

Aby uzyskać więcej informacji, zobacz Schemat informacji.

  • Last updated on