Aplicar marcas a objetos protegíveis do Catálogo do Unity

Esta página mostra como aplicar marcas a objetos protegíveis do Catálogo do Unity.

As marcas são atributos que incluem chaves e valores opcionais que você pode usar para organizar e categorizar diferentes objetos protegíveis no Catálogo do Unity. O uso de tags também simplifica a pesquisa e a descoberta de tabelas e exibições usando a funcionalidade de pesquisa do espaço de trabalho.

Objetos protegíveis com suporte

Atualmente, há suporte para marcação de objeto protegível em catálogos, esquemas, tabelas, colunas de tabela, volumes, exibições, modelos registrados e versões de modelos. Para obter mais informações sobre objetos protegíveis, confira Objetos protegíveis no Catálogo do Unity.

Você também pode aplicar etiquetas nos dashboards e nos espaços do Genie. Consulte Usar tags de dashboard e Adicionar tags.

Herança implícita de tag em políticas ABAC

Ao avaliar políticas de ABAC ( controle de acesso baseado em atributo ), as marcas aplicadas em um nível do modelo de objeto do Catálogo do Unity se aplicam automaticamente a todos os objetos abaixo dele. Por exemplo, se você marcar um catálogo, todos os seus esquemas e tabelas herdarão automaticamente a tag. No entanto, as etiquetas não são herdadas no nível da coluna.

A herança de tag implícita ocorre apenas ao avaliar políticas ABAC. A herança de tag não se aplica geralmente.

Marcas governadas

Marcas governadas são marcas de nível de conta com regras impostas para consistência e controle. Usando marcas governadas, você define as chaves e valores permitidos e controla quais usuários e grupos podem atribuí-los a objetos. Isso garante que as marcas sejam aplicadas de forma consistente e estejam em conformidade com os padrões organizacionais, dando controle centralizado sobre classificação, conformidade e operações.

Marcas governadas:

• Só pode ser atribuído ou modificado por usuários ou grupos com as permissões apropriadas.

• Deve usar valores definidos na política de marca associada.

• São marcados na interface do usuário com um .

  

Se uma marca governada for excluída, as marcas associadas ficarão desgovernadas. As marcas permanecem em objetos, mas qualquer pessoa pode atribuí-las ou modificá-las sem a necessidade de permissões. Os usuários com os privilégios certos podem continuar criando e atribuindo marcas que não são governadas.

Para obter mais informações, consulte Marcas governadas.

Etiquetas de sistema

As marcas do sistema são um tipo especial de marca governada predefinida pelo Azure Databricks. As tags do sistema têm algumas características distintas:

• As definições de marca do sistema (chaves e valores) são predefinidas pelo Azure Databricks.

• Os usuários não podem modificar ou excluir chaves ou valores de marca do sistema.

• Os usuários podem controlar quem tem permissão para atribuir ou cancelar a atribuição de marcas do sistema por meio de configurações de permissão de marca governada.

• Uma chave inglesa é exibida próximo da etiqueta.

  

As marcas do sistema são projetadas para dar suporte à marcação padronizada entre organizações, especialmente para casos de uso, como classificação de dados, propriedade ou acompanhamento do ciclo de vida. Usando definições de marca predefinidas e governadas, as marcas do sistema ajudam a impor a consistência sem exigir que os usuários definam ou gerenciem manualmente estruturas de marca.

Requisitos

Para adicionar marcas a objetos protegíveis do Catálogo do Unity, você deve ser proprietário do objeto ou ter todos os seguintes privilégios:

• APPLY TAG no objeto
• USE SCHEMA no esquema pai do objeto
• USE CATALOG no catálogo pai do objeto

Para adicionar uma marca governada aos objetos protegíveis do Catálogo do Unity, você também deve ter a permissão ASSIGN na marca governada. Consulte Gerenciar permissões em marcas governadas.

Restrições

Veja a seguir uma lista de restrições de marca:

• As teclas de marca diferenciam maiúsculas de minúsculas. Por exemplo, Sales e sales são duas marcas distintas.

• Você pode atribuir no máximo 50 marcas a um único objeto protegível (tabela ou coluna).

• Uma tabela pode ter no máximo 1.000 tags de coluna no total em todas as suas colunas.

• O comprimento máximo de uma chave de marca é de 255 caracteres.

• O comprimento máximo de um valor de marca é de 1.000 caracteres.

• Os seguintes caracteres não são permitidos em chaves de marca:

  . , - = / :

• Não são permitidos espaços no início ou no fim de chaves ou valores de tags.

• A pesquisa de marcas usando a interface do usuário de pesquisa do workspace tem suporte apenas para tabelas e exibições.

• A pesquisa de marcas requer correspondência exata de termos.

Adicionar e atualizar tags

Em modelos registrados, você deve usar o Gerenciador de Catálogos ou a ClientAPI do MLflow. Consulte Usar tags em modelos.

Gerenciador de Catálogos

1. Clique no Catálogo na barra lateral.

2. Selecione um objeto protegível.

3. Na página Visão geral do objeto, em Marcas, adicione ou atualize uma marca:

   • Se não houver marcas, clique no botão Adicionar marcas.
   • Se houver marcas, clique no ícone Adicionar/Editar marcas.

4. Selecione uma tag existente de Key e Value ou insira o nome de uma nova tag.

   • As marcas que são governadas estão no cabeçalho da seção Governada e têm um ícone de bloqueio.
   • As chaves de marcas são obrigatórias. A necessidade de um valor de etiqueta depende da chave da etiqueta.

SQL

No Databricks Runtime 16.1 e superior, use SET TAG e UNSET TAG para gerenciar tags em objetos protegíveis. Por exemplo:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Consulte SET TAG e UNSET TAG.

No Databricks Runtime 13.3 e superior, use o ALTER <object> comando SQL com SET TAGS ou UNSET TAGS para gerenciar etiquetas em objetos protegíveis. Por exemplo:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Confira as instruções DDL para obter uma lista de comandos de linguagem de definição de dados (DDL) disponíveis e sua sintaxe.

Remover uma coluna com tags governadas

Quando você exclui uma coluna que tem uma ou mais marcas governadas atribuídas, a operação de exclusão falha. Para remover uma coluna marcada, primeiro você deve remover todas as tags governadas na coluna. Siga esta sequência para evitar possíveis vazamentos de dados.

1. Solte a etiqueta

   UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;
   

2. Remova a coluna:

   ALTER TABLE <catalog>.<schema>.<table>
     DROP COLUMN <column>;
   

Para excluir permanentemente os dados da coluna, siga as etapas no esquema de atualização explícita para remover colunas. Caso contrário, a viagem no tempo poderá expor os dados.

Usar tags para pesquisar tabelas e visualizações

Use a barra de pesquisa do workspace do Azure Databricks para pesquisar tabelas e exibições usando chaves de marca e valores de marca. Você não pode usar marcas para pesquisar outros objetos marcados, como colunas de tabela, catálogos, esquemas ou volumes.

Somente tabelas e exibições que você tem permissão para ver aparecem nos resultados da pesquisa. Isso significa que você deve ter pelo menos o BROWSE privilégio no objeto (ou no catálogo pai e no esquema do objeto) para que o objeto seja encontrado nos resultados da pesquisa.

Para obter detalhes, consulte Usar tags para pesquisar tabelas e visualizações.

Recuperar informações de marca de tabelas de esquema de informações

Cada catálogo criado no Catálogo do Unity inclui um INFORMATION_SCHEMA. Esse esquema inclui tabelas que descrevem os objetos conhecidos pelo catálogo do esquema. Você deve ter os privilégios apropriados para exibir as informações do esquema.

Execute a seguinte consulta para recuperar informações de tag:

• INFORMATION_SCHEMA.CATALOG_TAGS
• INFORMATION_SCHEMA.COLUMN_TAGS
• INFORMATION_SCHEMA.SCHEMA_TAGS
• INFORMATION_SCHEMA.TABLE_TAGS
• INFORMATION_SCHEMA.VOLUME_TAGS

Para obter mais informações, confira Esquema de informações.