此頁面提供 Azure Databricks 中受控管標籤的概觀,先前稱為 Beta 版中的標籤原則。 若要建立和管理受控管的標籤,請參閱 建立和管理受控管的標籤。 若要套用標籤,請參閱 將標籤套用至 Unity Catalog 安全性物件。
警告
標籤資料儲存為純文字,並可全域複製。 請勿使用可能危及資源安全性的標籤名稱、值或描述元。 例如,請勿使用包含個人或敏感資訊的標籤名稱、值或描述子。
什麼是受控管標籤?
受控管標籤是帳戶層級標籤,具有內建規則以實現一致性和控制。 當您建立受控管標籤時,您也會定義標籤政策。 該政策強制執行標籤的使用方式。 受控標籤可以套用到 Unity 目錄物件,如表格和目錄,以及工作空間物件,如 Databricks 應用程式、儀表板、Genie 空間和筆記本。 受控標籤無法套用於計算資源,如 SQL 倉庫或使用獨立標籤機制的作業。 受控管的標籤可確保標籤一致地套用並符合組織標準。 它們有助於防止命名不一致、未經授權的標籤指派或不正確的標籤值。
受控管標籤可讓管理員:
- 將特定標籤索引鍵標示為受控管。
- 定義每個受控標籤的允許值集。
- 控制哪些使用者和群組可以指派受控管的標籤,並管理其定義。
當標籤受到控管時,它仍然可以套用至任何適用的物件。 不過,原則可確保只有具有適當許可權的使用者可以將值指派給該標籤,而且只能從預先定義的允許值集指派。 此治理可協助維護帳戶中元數據標記的一致性、安全性和合規性。
每個帳戶最多可以建立 1,000 個受控管標籤。
為什麼要使用受治理的標籤?
受控管標籤支援廣泛的治理和營運使用案例,包括:
- 數據分類: 強制對敏感數據、法規合規性或商務網域使用標準化標籤。
- 屬性型訪問控制 (ABAC):使用受控標籤作為存取原則中的屬性,根據數據分類強制執行精細的動態許可權。 請參閱 Unity 目錄屬性型存取控制 (ABAC) 。
- 成本管理: 要求在資源上標記成本中心或專案標籤,以便精確進行成本分攤和報告。
- 資源探索: 確保跨目錄、架構、數據表和其他資產進行一致的標記,以改善可搜尋性和組織性。
- 作業自動化: 根據標記值啟用自動化工作流程和監視。
- 認證和已淘汰的資料分類: 使用系統標籤來標記受信任或過時的數據,支援資料生命週期管理並提高資料消費者的清晰度。 請參閱 將資料標示為已認證或已棄用。
受控管標籤的運作方式
標籤政策: 每個受控管的標籤都有一個關聯的標籤政策,可強制執行其規則。
強制: 受控管標籤會在帳戶層級強制執行,並套用至帳戶中的所有工作區。
權限: 權限會決定誰可以建立受控管的標籤、編輯其允許的值,以及指派它們。 使用者仍然可以建立和指派不受控管的標籤。 如需詳細資訊,請參閱 管理受控管標籤的許可。
能見度: 受控標籤會以
標記在 Databricks UI 中,讓使用者輕鬆識別哪些標籤受限於原則控制項。遺傳: 套用至目錄或結構描述的受控管標籤會自動由目錄或結構描述中的所有物件繼承,但個別表格欄除外。
現有標籤的管理: 如果你建立一個與已指派給物件的標籤相同的被管標籤,所有帶有該鍵的現有標籤指派都會自動成為被管控的標籤。 這讓你能為已經使用的標籤新增治理權限。 請參閱 現有標籤指派管理。
系統控管標籤
系統控管標籤是由 Azure Databricks 預先定義,無法編輯或刪除。 與使用者管理的標籤一樣,每個系統標籤都有一個標籤政策來強制執行其規則。
- 只有具有適當 ASSIGN 許可權的使用者或群組可以套用或移除系統標籤。
- 每個系統標籤索引鍵只能使用預先定義的值。
- 帳戶中所有工作區的強制執行都是一致的。
系統控管標籤與使用者控管標籤在下列方面有所不同:
標籤索引鍵和允許的值是由 Azure Databricks 定義和維護。
使用者無法修改定義或建立新的系統控管標籤。
系統標籤將在使用者介面中以扳手
標示,以區分它們與使用者控管的標籤。
系統治理標籤支援分類、擁有權和生命週期追蹤等使用案例的標準化標記,而不需要管理員定義或管理自訂治理。 如需詳細資訊,請參閱 系統標籤。
Constraints
這項功能目前處於 公開預覽版。
- 每個帳戶最多可以建立 1,000 個受控管標籤。
- 每個受控管標籤最多可以有 50 個允許的值。