Aplicar tags a objetos protegíveis do Unity Catalog

Esta página mostra como aplicar tags a objetos protegíveis do Unity Catalog.

As tags são atributos que incluem chaves e valores opcionais que você pode usar para organizar e categorizar objetos protegíveis no Unity Catalog. O uso de tags também simplifica a pesquisa e a descoberta de tabelas e exibições usando a funcionalidade de pesquisa do espaço de trabalho.

Objetos protegíveis suportados

Atualmente, a marcação de objeto protegível é suportada em catálogos, esquemas, tabelas, colunas de tabela, volumes, exibições, modelos registrados e versões de modelos. Para obter mais informações sobre objetos protegíveis, consulte Objetos protegíveis no Unity Catalog.

Você também pode aplicar tags a painéis de instrumentos e espaços Genie. Consulte Utilizar etiquetas do painel e Adicionar etiquetas.

Herança implícita de etiquetas em políticas ABAC

Ao avaliar políticas de controlo de acesso baseadas em atributos (ABAC), as etiquetas aplicadas a um nível do modelo de objetos do Unity Catalog aplicam-se automaticamente a todos os objetos abaixo. Por exemplo, se etiquetares um catálogo, todos os seus esquemas e tabelas herdam implicitamente a etiqueta. No entanto, as etiquetas não são herdadas até ao nível da coluna.

A herança implícita de etiquetas ocorre exclusivamente ao avaliar políticas ABAC. A herança de etiquetas não se aplica de forma geral.

Tags controladas

As tags governadas são tags no nível da conta com regras impostas para consistência e controle. Usando tags controladas, você define as chaves e os valores permitidos e controla quais usuários e grupos podem atribuí-los a objetos. Isso garante que as tags sejam aplicadas de forma consistente e estejam em conformidade com os padrões organizacionais, proporcionando controle centralizado sobre classificação, conformidade e operações.

Tags governadas:

• Só pode ser atribuído ou modificado por usuários ou grupos com as permissões apropriadas.

• Deve usar valores definidos na política de tag associada.

• Estão marcados na interface do usuário com um .

  

Se uma tag governada for excluída, as tags associadas se tornarão desgovernadas. As tags permanecem nos objetos, mas qualquer pessoa pode atribuí-las ou modificá-las sem exigir permissões. Os usuários com os privilégios certos podem continuar criando e atribuindo tags que não são controladas.

Para obter mais informações, consulte Tags governadas.

Etiquetas de sistema

As marcas do sistema são um tipo especial de marca governada predefinida pelo Azure Databricks. As tags do sistema têm algumas características distintas:

• As definições de marcas do sistema (chaves e valores) são predefinidas pelo Azure Databricks.

• Os usuários não podem modificar ou excluir chaves ou valores de tags do sistema.

• Os usuários podem controlar quem tem permissão para atribuir ou cancelar a atribuição de tags do sistema por meio de configurações de permissão de tag controladas.

• Um de chave inglesa é exibido ao lado da tag.

  

As tags de sistema são projetadas para oferecer suporte à marcação padronizada em todas as organizações, particularmente para casos de uso como classificação de dados, propriedade ou rastreamento do ciclo de vida. Usando definições de tag predefinidas e controladas, as tags do sistema ajudam a impor a consistência sem exigir que os usuários definam ou gerenciem manualmente as estruturas de tags.

Requisitos

Para adicionar tags a objetos protegíveis do Unity Catalog, você deve possuir o objeto ou ter todos os seguintes privilégios:

• APPLY TAG sobre o objeto
• USE SCHEMA no esquema pai do objeto
• USE CATALOG no catálogo principal do objeto

Para adicionar uma tag governada a objetos protegíveis do Unity Catalog, você também deve ter a permissão ASSIGN na tag governada. Consulte Gerenciar permissões em tags controladas.

Restrições

A seguir está uma lista de restrições de tag:

• As teclas de tag diferenciam maiúsculas de minúsculas. Por exemplo, Sales e sales são duas tags distintas.

• Você pode atribuir um máximo de 50 tags a um único objeto protegível (tabela ou coluna).

• Uma tabela pode ter no máximo 1.000 tags de coluna no total em todas as suas colunas.

• O comprimento máximo de uma chave de tag é de 255 caracteres.

• O comprimento máximo de um valor de tag é de 1.000 caracteres.

• Os seguintes caracteres não são permitidos nas teclas de tag:

  . , - = / :

• Espaços à direita e à esquerda em chaves ou valores de etiquetas não são permitidos.

• A pesquisa de tags usando a interface do usuário de pesquisa do espaço de trabalho é suportada apenas para tabelas e exibições.

• A pesquisa de tags requer correspondência exata de termos.

Adicionar e atualizar tags

Para modelos registrados, você deve usar o Catalog Explorer ou o MLflow ClientAPI. Consulte Usar tags em modelos.

Explorador de Catálogos

1. Clique no Catálogo na barra lateral.

2. Selecione um objeto protegível.

3. Na página Visão geral do objeto, em Tags, adicione ou atualize uma tag:

   • Se não houver tags, clique no botão Adicionar tags .
   • Se houver tags, clique no ícone Adicionar /Editar tags.

4. Selecione uma tag existente Key e Value ou insira o nome de uma nova tag.

   • As tags que são controladas estão no cabeçalho da seção Governado e têm um ícone de cadeado.
   • As chaves de tag são necessárias. Se um valor de tag é necessário depende da chave da tag.

SQL

No Databricks Runtime 16.1 e superior, use SET TAG e UNSET TAG para gerir tags em objetos protegíveis. Por exemplo:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Consulte SET TAG e UNSET TAG.

No Databricks Runtime 13.3 e superiores, utilize o ALTER <object> comando SQL com SET TAGS ou UNSET TAGS para gerir etiquetas em objetos protegíveis. Por exemplo:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Consulte as instruções DDL em para uma lista de comandos disponíveis de Linguagem de Definição de Dados (DDL) e a sua sintaxe em.

Soltar uma coluna com tags controladas

Quando elimina uma coluna que tem uma ou mais tags governadas atribuídas, a operação de eliminação falha. Para remover uma coluna etiquetada, deve-se primeiro remover todas as tags controladas dela. Siga esta sequência para evitar possíveis fugas de dados.

1. Remova a tag:

   UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;
   

2. Elimine a coluna:

   ALTER TABLE <catalog>.<schema>.<table>
     DROP COLUMN <column>;
   

Para excluir permanentemente os dados da coluna, siga as etapas em Atualizar explicitamente o esquema para soltar colunas. Caso contrário, a viagem no tempo pode expor os dados.

Utilizar etiquetas para procurar tabelas e vistas

Use a barra de pesquisa do espaço de trabalho do Azure Databricks para pesquisar tabelas e exibições usando chaves de tag e valores de tag. Não é possível usar tags para pesquisar outros objetos marcados, como colunas de tabela, catálogos, esquemas ou volumes.

Apenas as tabelas e vistas que tem permissão para ver aparecem nos resultados da pesquisa. Isso significa que você deve ter pelo menos o BROWSE privilégio no objeto (ou no catálogo pai e no esquema do objeto) para retornar o objeto nos resultados da pesquisa.

Para obter detalhes, consulte Usar tags para pesquisar tabelas e exibições.

Recuperar informações de tags de tabelas de esquema de informações

Cada catálogo criado no Unity Catalog inclui um INFORMATION_SCHEMA. Este esquema inclui tabelas que descrevem os objetos conhecidos no catálogo do esquema. Você deve ter os privilégios apropriados para exibir as informações do esquema.

Consulte o seguinte para recuperar informações da tag:

• INFORMATION_SCHEMA.CATALOG_TAGS
• INFORMATION_SCHEMA.COLUMN_TAGS
• INFORMATION_SCHEMA.SCHEMA_TAGS
• INFORMATION_SCHEMA.TABLE_TAGS
• INFORMATION_SCHEMA.VOLUME_TAGS

Para obter mais informações, consulte Esquema de informações.