Compartilhar via

Aplicar marcas a objetos protegíveis do Catálogo do Unity

Esta página mostra como aplicar marcas a objetos protegíveis do Catálogo do Unity.

As marcas são atributos que incluem chaves e valores opcionais que você pode usar para organizar e categorizar objetos securitizáveis no Catálogo do Unity. O uso de tags também simplifica a pesquisa e a descoberta de tabelas e exibições usando a funcionalidade de pesquisa do espaço de trabalho.

Aviso

Os dados da etiqueta são armazenados como texto simples e podem ser replicados globalmente. Não use nomes de marca, valores ou descritores que possam comprometer a segurança de seus recursos. Por exemplo, não use nomes de marca, valores ou descritores que contenham informações pessoais ou confidenciais.

Objetos securizáveis suportados

Atualmente, há suporte para marcação de objeto protegível em catálogos, esquemas, tabelas, colunas de tabela, volumes, exibições, modelos registrados e versões de modelos. Para obter mais informações sobre objetos protegíveis, confira Objetos protegíveis no Catálogo do Unity.

Você também pode aplicar tags a dashboards, espaços do Genie, aplicativos do Databricks e notebooks. Consulte Gerenciar tags de painel, Adicionar tags, Aplicar tags a aplicativos do Databricks e Aplicar tags a notebooks.

Herança implícita de tag em políticas ABAC

Ao avaliar políticas de ABAC ( controle de acesso baseado em atributo ), as marcas aplicadas em um nível do modelo de objeto do Catálogo do Unity se aplicam automaticamente a todos os objetos abaixo dele. Por exemplo, se você marcar um catálogo, todos os seus esquemas e tabelas herdarão automaticamente a tag. No entanto, as etiquetas não são herdadas no nível da coluna.

A herança de tag implícita ocorre apenas ao avaliar políticas ABAC. A herança de tag não se aplica geralmente.

Etiquetas Reguladas

Importante

Esse recurso está em Visualização Pública.

Etiquetas governadas são etiquetas de nível de conta com regras impostas para garantir consistência e controle. Usando marcas governadas, você define as chaves e valores permitidos e controla quais usuários e grupos podem atribuí-los a objetos. Isso garante que as etiquetas sejam aplicadas de forma consistente e estejam em conformidade com os padrões organizacionais, proporcionando controle centralizado sobre classificação, conformidade e operações.

Tags gerenciadas:

  • Só pode ser atribuído ou modificado por usuários ou grupos com as permissões apropriadas.

  • Deve usar valores definidos na política de etiqueta associada.

  • São marcados na interface do usuário com um ícone de bloqueio..

    Lista de etiquetas gerenciadas.

Se você criar uma marca governada com a mesma chave que as marcas que já estão atribuídas aos objetos, todas as atribuições de marca existentes com essa chave serão governadas automaticamente. Consulte “Governing existing tag assignments”.

Se uma marca governada for excluída, as marcas associadas ficarão não governadas. As marcas permanecem em objetos, mas qualquer pessoa pode atribuí-las ou modificá-las sem a necessidade de permissões. Os usuários com os privilégios certos podem continuar criando e atribuindo marcas que não são governadas.

Para obter mais informações, consulte Marcas governadas.

Etiquetas de sistema

As marcas do sistema são um tipo especial de marca governada predefinida pelo Azure Databricks. As tags do sistema têm algumas características distintas:

  • As definições de marca do sistema (chaves e valores) são predefinidas pelo Azure Databricks.

  • Os usuários não podem modificar ou excluir chaves ou valores de marca do sistema.

  • Os usuários podem controlar quem tem permissão para atribuir ou remover a atribuição de tags do sistema por meio de configurações de permissão para tags reguladas.

  • Uma chave inglesa ícone de chave inglesa. é exibida próximo da etiqueta.

    Lista de etiquetas do sistema.

As marcas do sistema são projetadas para dar suporte à marcação padronizada entre organizações, especialmente para casos de uso, como classificação de dados, propriedade ou acompanhamento do ciclo de vida. Usando definições de marca predefinidas e governadas, as marcas do sistema ajudam a impor a consistência sem exigir que os usuários definam ou gerenciem manualmente estruturas de marca.

Requisitos

Para adicionar marcas a objetos protegíveis do Catálogo do Unity, você deve ser proprietário do objeto ou ter todos os seguintes privilégios:

  • APPLY TAG sobre o objeto
  • USE SCHEMA no esquema pai do objeto
  • USE CATALOG no catálogo pai do objeto

Para adicionar uma etiqueta governada aos objetos securáveis do Catálogo do Unity, você também deve ter a permissão ASSIGN na etiqueta governada. Consulte Gerenciar permissões em tags gerenciadas.

Restrições

Veja a seguir uma lista de restrições de etiqueta:

  • As teclas de marca diferenciam maiúsculas de minúsculas. Por exemplo, Sales e sales são duas marcas distintas.

  • Você pode atribuir no máximo 50 marcas a um único objeto protegível (tabela ou coluna).

  • Uma tabela pode ter no máximo 1.000 tags de coluna no total em todas as suas colunas.

  • O comprimento máximo de uma chave de marca é de 255 caracteres.

  • O comprimento máximo de um valor de marca é de 1.000 caracteres.

  • Os seguintes caracteres não são permitidos em chaves de marca:

    . , - = / :

  • Não são permitidos espaços no início ou no fim de chaves ou valores de tags.

  • A pesquisa de etiqueta requer correspondência exata.

  • Não é possível atribuir marcas a várias colunas em um único ALTER TABLE comando. Você deve atribuir marcas a cada coluna separadamente. Isso difere da COMMENT cláusula, que dá suporte a várias colunas em um comando.

Adicionar e atualizar tags

Em modelos registrados, você deve usar o Gerenciador de Catálogos ou a ClientAPI do MLflow. Consulte Usar tags em modelos.

Gerenciador de Catálogos

  1. Clique no ícone Dados.Catálogo na barra lateral.

  2. Selecione um objeto protegível.

  3. Na página Visão geral do objeto, em Marcas, adicione ou atualize uma marca:

    • Se não houver marcas, clique no botão Adicionar marcas.
    • Se houver marcas, clique no ícone ícone EditarAdicionar/Editar marcas.

  4. Selecione uma tag existente de Key e Value ou insira o nome de uma nova tag.

    • As marcas que são governadas estão no cabeçalho da seção Governados e exibem um ícone de bloqueio Ícone de bloqueio..
    • As chaves de etiquetas são obrigatórias. A necessidade de um valor de etiqueta depende da chave da etiqueta.

SQL

No Databricks Runtime 16.1 e superior, use SET TAG e UNSET TAG para gerenciar tags em objetos protegíveis. Por exemplo:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Consulte SET TAG e UNSET TAG.

No Databricks Runtime 13.3 e superior, use o ALTER <object> comando SQL com SET TAGS ou UNSET TAGS para gerenciar etiquetas em objetos protegíveis. Por exemplo:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Confira as instruções DDL para obter uma lista de comandos de linguagem de definição de dados (DDL) disponíveis e sua sintaxe.

Remover uma coluna com tags governadas

Quando você exclui uma coluna que tem uma ou mais marcas governadas atribuídas, a operação de exclusão falha. Para remover uma coluna marcada, primeiro você deve remover todas as tags governadas na coluna. Siga esta sequência para evitar possíveis vazamentos de dados.

  1. Solte a etiqueta

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Remova a coluna:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Para excluir permanentemente os dados da coluna, siga as etapas no esquema de atualização explícita para remover colunas. Caso contrário, a viagem no tempo poderá expor os dados.

Observação

Ao contrário de outras tabelas do Catálogo do Unity, as marcas de coluna em tabelas estrangeiras são descartadas automaticamente quando uma coluna de tabela estrangeira é descartada na fonte de dados estrangeira e essa alteração de metadados é refletida no Catálogo do Unity.

Usar marcas para pesquisar objetos do Catálogo do Unity

Na barra de pesquisa do workspace do Azure Databricks, você pode usar chaves de tag e valores de tag para pesquisar objetos com suporte. Para obter detalhes, consulte Utilizar tags para busca.

Recuperar informações de tags das tabelas do esquema de informações

Cada catálogo criado no Catálogo do Unity inclui um INFORMATION_SCHEMA. Esse esquema inclui tabelas que descrevem os objetos conhecidos pelo catálogo do esquema. Você deve ter os privilégios apropriados para exibir as informações do esquema.

Execute a seguinte consulta para recuperar informações de tag:

Para obter mais informações, confira Esquema de informações.

  • Last updated on