将标记应用于 Unity 目录安全对象

本页演示如何将标记应用于 Unity 目录安全对象。

标记是包含键和可选值的属性，可用于在 Unity Catalog 中组织和分类安全对象。 使用标记还可以使用工作区搜索功能简化表和视图的搜索和发现。

可以全局复制标记数据。 不要使用标记名称或可能损害资源安全性的值。 例如，不要使用包含个人信息或敏感信息的标记名称。

支持的安全对象

目前，目录、架构、表、表列、卷、视图、已注册模型和模型版本支持安全对象标记。 有关安全对象的详细信息，请参阅“Unity Catalog 中的安全对象”。

由策略管理的标记

重要

此功能在 Beta 版中。

受治理的标记是由 标记策略管理和强制执行的标记。 标记策略允许管理员定义哪些标记密钥受到控制，为这些标记指定允许的值，并控制谁可以分配或修改它们。 这为组织提供了对标记使用情况的集中控制，支持一致的数据分类、合规性和作标准。

标签受标签策略管理时：

• 只有具有相应权限的用户或组才能分配或修改受治理的标记。

• 只有标记策略中指定的允许值可用于该标记键。

• 显示在标记旁边。

  

如果删除标记策略，则以前受该策略管理的任何标记都将被取消。 标记本身不会从对象中删除，但任何人都可以分配或修改具有相同名称的标记，而无需特殊权限。

受治理的标记有助于确保一致地应用重要的元数据，例如数据分类、法规状态或成本中心，并根据组织的治理要求应用。 拥有适当权限的所有用户都可以创建和分配不受标记策略控制的标记。 标记策略仅适用于显式管理的标签。

有关详细信息，请参阅 标记策略。

注意

如果您注册了仪表板标签私人预览，分配给与受监管标记名称匹配的仪表板的任何标记将自动受该标记策略的限制。

系统标记

系统标记是一种特殊类型的 受管理标记 ，由 Azure Databricks 预定义并由 标记策略强制执行。 系统标记具有几个不同的特征：

• 系统标记定义（键和值）由 Azure Databricks 预定义。

• 用户无法修改或删除系统标记键或值。

• 用户可以通过标记策略权限设置来控制允许分配或取消分配系统标记的人员。

• 一个扳手 显示在标记旁边。

  

系统标记旨在支持跨组织进行标准化标记，尤其是用于数据分类、所有权或生命周期跟踪等用例。 通过使用预定义的受治理标记定义，系统标记有助于强制实施一致性，而无需用户手动定义或管理标记结构。

要求

要将标记添加到 Unity Catalog 安全对象，必须拥有该对象或具有以下所有特权：

• 对象上的 APPLY TAG 权限
• 对象父架构上的 USE SCHEMA 权限
• 对象父目录上的 USE CATALOG 权限

若要将受管理标记添加到 Unity 目录安全对象，还必须对标记策略具有 ASSIGN 权限。 请参阅 “管理标记策略权限”。

约束

下面列出了相关标记约束：

• 标记键区分大小写。 例如，Sales 和 sales 是两个不同的标记。

• 最多可以将 50 个标记分配给单个安全对象。

• 标记键的最大长度为 255 个字符。

• 标记值的最大长度为 1000 个字符。

• 标记键中不允许使用以下字符：

  . , - = / :

• 标记键或值中不允许尾随空格和前导空格。

• 仅支持对表、视图和表列使用工作区搜索 UI 进行标记搜索。

• 标记搜索需要确切的字词匹配。

使用目录资源管理器添加和更新标记

要使用目录资源管理器添加和更新安全对象标记，请执行以下操作：

1. 点击边栏中的目录。

2. 选择安全对象。

3. 在对象“概述”页上，添加或更新标记：

   • 由标记策略控制的标记位于“受控制”部分标头中，并具有锁定图标
   • 如果没有标记，请单击“添加标记”按钮。
   • 如果已有标记，请单击 “添加/编辑标记”图标。

   可以使用“添加/编辑标记”对话框添加和删除多个标记。

   标记密钥是必需的。 标记值是可选的。

   若要添加或删除表列标记，请单击 “添加标记”图标。

使用 SQL 命令添加和更新标记

注意

此功能在 Databricks Runtime 版本 13.3 及更高版本中可用。

您可以使用 ALTER <object> SQL 命令标记目录、架构、表（包括视图、具体化视图、流式表）、卷和表列。 例如，可将 SET TAGS 和 UNSET TAGS 子句与 ALTER TABLE 一起使用来管理表上的标记。 有关可用的数据定义语言 (DDL) 命令及其语法的列表，请参阅 DDL 语句。

对于已注册模型，必须使用目录资源管理器或 MLflow ClientAPI。 请参阅在模型上使用标记。

使用标记搜索表

你可以使用 Azure Databricks 工作区搜索栏通过标记键和标记值搜索表、视图和表列。 你可以使用表标记和表列标记。 不能使用标记搜索其他标记对象，例如目录、架构或卷。

搜索结果中仅显示你有权查看的表和视图。 这意味着必须至少在对象（或对象的父目录和架构）上具有 BROWSE 特权才能在搜索结果中返回对象。

有关详情，请参阅“使用标记搜索表”。

从信息架构表检索标记信息

在 Unity Catalog 中创建的每个目录都包含一个 INFORMATION_SCHEMA。 此架构包括描述架构目录已知对象的表。 必须具有相应的权限才能查看架构信息。

可以查询以下内容以检索标记信息：

• INFORMATION_SCHEMA。CATALOG_TAGS
• INFORMATION_SCHEMA。COLUMN_TAGS
• INFORMATION_SCHEMA。SCHEMA_TAGS
• INFORMATION_SCHEMA。TABLE_TAGS
• INFORMATION_SCHEMA。VOLUME_TAGS

有关详细信息，请参阅信息架构。