Поделиться через

Применение тегов к защищаемым объектам каталога Unity

На этой странице показано, как применять теги к защищаемым объектам каталога Unity.

Теги — это атрибуты, включающие ключи и необязательные значения, которые можно использовать для упорядочивания и классификации защищаемых объектов в каталоге Unity. Использование тегов также упрощает поиск и обнаружение таблиц и представлений с помощью функции поиска рабочей области.

Предупреждение

Данные тегов хранятся как обычный текст и могут быть реплицированы глобально. Не используйте имена тегов, значения или дескрипторы, которые могут нарушить безопасность ресурсов. Например, не используйте имена тегов, значения или дескрипторы, содержащие личную или конфиденциальную информацию.

Поддерживаемые защищаемые объекты

Теги защищаемых объектов в настоящее время поддерживаются в каталогах, схемах, таблицах, столбцах таблиц, томах, представлениях, зарегистрированных моделях и версиях моделей. Дополнительные сведения о защищаемых объектах см. в разделе "Объекты в каталоге Unity".

Теги также можно применять к панелям мониторинга и пространствам Genie. См. раздел "Использование тегов панели мониторинга " и "Добавление тегов".

Неявное наследование тегов в политиках ABAC

При оценке политик управления доступом на основе атрибутов (ABAC) теги, примененные на одном уровне объектной модели каталога Unity, автоматически применяются ко всем объектам под ним. Например, если вы помечаете каталог, все его схемы и таблицы неявно наследуют тег. Однако теги не наследуются на уровне столбца.

Неявное наследование тегов происходит только при оценке политик ABAC. Наследование тегов обычно не применяется.

Управляемые теги

Это важно

Эта функция доступна в общедоступной предварительной версии.

Управляемые теги — это теги уровня учетной записи с примененными правилами для согласованности и управления. С помощью управляемых тегов можно определить разрешенные ключи и значения, а также контролировать, какие пользователи и группы могут назначать их объектам. Это гарантирует, что теги применяются последовательно и соответствуют стандартам организации, обеспечивая централизованный контроль над классификацией, соответствием и операциями.

Управляемые теги:

  • Можно назначать или изменять только пользователями или группами с соответствующими разрешениями.

  • Должен использовать значения, определенные в связанной политике тегов.

  • Помечены в пользовательском интерфейсе значком блокировки.

    Список управляемых тегов.

Если управляемый тег удаляется, связанные теги становятся неуправляемыми. Теги остаются на объектах, но любой пользователь может назначить или изменить их, не требуя разрешений. Пользователи с правильными привилегиями могут продолжать создавать и назначать теги, которые не регулируются.

Дополнительные сведения см. в разделе "Управляемые теги".

Системные теги

Системные теги — это особый тип управляемого тега, предопределенного Azure Databricks. Системные теги имеют несколько различных характеристик:

  • Определения системных тегов (ключи и значения) предопределяются Azure Databricks.

  • Пользователи не могут изменять или удалять ключи или значения системных тегов.

  • Пользователи могут контролировать, кому разрешено назначать или отменять назначение системных тегов с помощью параметров разрешений управляемых тегов.

  • Значок гаечного ключа отображается рядом с тегом.

    Список системных тегов.

Системные теги предназначены для поддержки стандартизированного тегирования между организациями, особенно для таких примеров использования, как классификация данных, владение или отслеживание жизненного цикла. Используя предопределенные определения тегов, управляемые теги, системные теги помогают обеспечить согласованность без необходимости вручную определять структуры тегов или управлять ими.

Требования

Чтобы добавить теги в защищаемые объекты каталога Unity, необходимо владеть объектом или иметь все следующие привилегии:

  • APPLY TAG объект
  • USE SCHEMA в родительской схеме объекта
  • USE CATALOG в родительском каталоге объекта

Чтобы добавить управляемый тег в защищаемые объекты каталога Unity, необходимо также иметь разрешение ASSIGN для управляемого тега. См. раздел "Управление разрешениями" для управляемых тегов.

Ограничения целостности

Ниже приведен список ограничений тегов:

  • Ключи тегов чувствительны к регистру. Например, Sales и sales — это два разных тега.

  • Можно назначить не более 50 тегов одному защищаемому объекту (таблице или столбцу).

  • Таблица может содержать не более 1000 тегов столбцов в общей сложности во всех его столбцах.

  • Максимальная длина ключа тега составляет 255 символов.

  • Максимальная длина значения тега составляет 1000 символов.

  • Следующие символы не допускаются в ключах тегов:

    . , - = / :

  • Конечные и начальные пробелы не допускаются в ключах тегов или значениях.

  • Поиск тегов с помощью пользовательского интерфейса поиска рабочей области поддерживается для всех объектов каталога Unity, за исключением функций.

  • Для поиска тегов требуется точное сопоставление терминов.

  • Теги нельзя назначать нескольким столбцам в одной ALTER TABLE команде. Теги необходимо назначить каждому столбцу отдельно. Это отличается от COMMENT условия, которое поддерживает несколько столбцов в одной инструкции.

Добавление и обновление тегов

Для зарегистрированных моделей необходимо использовать обозреватель каталогов или MLflow ClientAPI. См. раздел "Использование тегов в моделях".

Обозреватель каталогов

  1. Щелкните значок данных.Каталог на боковой панели.

  2. Выберите защищаемый объект.

  3. На странице обзора объекта в разделе "Теги" добавьте или обновите тег:

    • Если тегов нет, нажмите кнопку "Добавить теги ".
    • Если есть теги, щелкните Значок значок добавления и редактирования тегов.

  4. Выберите существующий ключ тега и значение или введите имя нового тега.

    • Теги, которые управляются, находятся в заголовке раздела "Управляемый" и имеютзначок блокировки.
    • Требуются ключи тегов. Необходимо ли значение тега, зависит от ключа тега.

SQL

В Databricks Runtime 16.1 и более поздних версиях используйте SET TAG теги для защищаемых объектов и UNSET TAG управляйте ими. Рассмотрим пример.

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

См SET . теги TAG и UNSET TAG.

В Databricks Runtime 13.3 и более поздних версиях используйте команду SQL с ALTER <object> или SET TAGS для управления тегами на защищаемых объектах. Рассмотрим пример.

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

См. раздел операторы DDL для списка доступных команд языка определения данных (DDL) и их синтаксиса.

Удаление столбца с управляемыми тегами

При удалении столбца, которому присвоены один или несколько управляемых тегов, операция не удается. Чтобы удалить столбец с тегами, необходимо сначала удалить все управляемые теги из него. Выполните следующую последовательность, чтобы предотвратить потенциальные утечки данных.

  1. Удалите тег:

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Удалите столбец:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Чтобы окончательно удалить данные столбца, выполните действия, описанные в разделе "Явное обновление схемы" для удаления столбцов. В противном случае перемещение во времени может раскрыть данные.

Примечание.

В отличие от других таблиц каталога Unity теги столбцов во внешних таблицах автоматически удаляются при удалении внешнего столбца таблицы на внешнем источнике данных, а изменения метаданных отражаются в каталоге Unity.

Использование тегов для поиска объектов каталога Unity

В строке поиска рабочей области Azure Databricks можно использовать ключи тегов и значения тегов для поиска большинства объектов каталога Unity, включая каталоги, схемы, таблицы, представления и тома. Поиск тегов не поддерживается для функций и столбцов таблиц.

В результатах поиска отображаются только те объекты, к которым у вас есть доступ. Это означает, что для включения объекта в результаты поиска необходимо иметь по крайней мере привилегию BROWSE на объект (или родительский каталог и схему объекта).

Дополнительные сведения см. в разделе "Использование тегов для поиска таблиц и представлений".

Получение сведений о тегах из таблиц схемы сведений

Каждый каталог, созданный в Unity Catalog, включает INFORMATION_SCHEMA. Эта схема содержит таблицы, описывающие объекты, известные каталогу схемы. Для просмотра сведений о схеме необходимо иметь соответствующие привилегии.

Выполните запрос, чтобы получить сведения о теге:

Дополнительные сведения см. в информационной схеме.

  • Last updated on