Partager via

Appliquer des étiquettes à des objets sécurisables Unity Catalog

Cette page montre comment appliquer des étiquettes aux objets sécurisables du catalogue Unity.

Les balises sont des attributs qui incluent des clés et des valeurs facultatives que vous pouvez utiliser pour organiser et classer des objets sécurisables dans le catalogue Unity. L’utilisation de balises simplifie également la recherche et la découverte de tables et de vues à l’aide de la fonctionnalité de recherche de l’espace de travail.

Avertissement

Les données de balise sont stockées sous forme de texte brut et peuvent être répliquées globalement. N’utilisez pas de noms d’étiquettes, de valeurs ou de descripteurs susceptibles de compromettre la sécurité de vos ressources. Par exemple, n’utilisez pas de noms d’étiquettes, de valeurs ou de descripteurs qui contiennent des informations personnelles ou sensibles.

Objets sécurisables pris en charge

La catégorisation des objets sécurisables est actuellement prise en charge pour les catalogues, les schémas, les tables, les colonnes de table, les volumes, les vues, les modèles enregistrés et les versions de modèle. Pour plus d'informations sur les objets sécurisables, consultez Objets sécurisables dans Unity Catalog.

Vous pouvez également appliquer des balises aux tableaux de bord et aux espaces Génie. Consultez Utiliser des balises de tableau de bord et ajouter des balises.

Héritage implicite des étiquettes dans des politiques ABAC

Lors de l’évaluation des stratégies de contrôle d’accès en fonction des attributs (ABAC), les balises appliquées à un niveau du modèle objet catalogue Unity s’appliquent automatiquement à tous les objets situés sous celui-ci. Par exemple, si vous marquez un catalogue, tous ses schémas et tables héritent implicitement de la balise. Toutefois, les balises n’héritent pas du niveau de colonne.

L’héritage de balise implicite se produit lors de l’évaluation des politiques ABAC uniquement. En général, l'héritage des balises ne s'applique pas.

Balises régies

Important

Cette fonctionnalité est disponible en préversion publique.

Les balises régies sont des balises au niveau du compte avec des règles appliquées pour la cohérence et le contrôle. À l’aide de balises régies, vous définissez les clés et valeurs autorisées et contrôlez les utilisateurs et les groupes qui peuvent les affecter à des objets. Cela garantit que les étiquettes sont appliquées de manière cohérente et conformes aux normes organisationnelles, ce qui donne un contrôle centralisé sur la classification, la conformité et les opérations.

Balises régies :

  • Peut uniquement être affecté ou modifié par des utilisateurs ou des groupes disposant des autorisations appropriées.

  • Doit utiliser des valeurs définies dans la stratégie d’étiquette associée.

  • Sont marqués dans l’interface utilisateur avec une icône de verrouillage..

    Liste des balises régies.

Si une balise régie est supprimée, les balises associées deviennent non gouvernementales. Les balises restent sur les objets, mais tout le monde peut les affecter ou les modifier sans avoir besoin d’autorisations. Les utilisateurs disposant des privilèges appropriés peuvent continuer à créer et à affecter des balises qui ne sont pas régies.

Pour plus d’informations, consultez balises régies.

Balises système

Les balises système sont un type spécial d’étiquettes régies prédéfinies par Azure Databricks. Les balises système présentent quelques caractéristiques distinctes :

  • Les définitions d’étiquettes système (clés et valeurs) sont prédéfinies par Azure Databricks.

  • Les utilisateurs ne peuvent pas modifier ou supprimer des clés ou des valeurs de balise système.

  • Les utilisateurs peuvent contrôler qui est autorisé à attribuer ou annuler l’attribution de balises par le biais de paramètres d’autorisation de balise régis.

  • Une icône de clé s’affiche en regard de la balise.

    Liste des balises système.

Les étiquettes système sont conçues pour prendre en charge le balisage standardisé dans les organisations, en particulier pour les cas d’usage tels que la classification des données, la propriété ou le suivi du cycle de vie. En utilisant des définitions de balises prédéfinies et régies, les balises système permettent d’appliquer la cohérence sans obliger les utilisateurs à définir ou gérer manuellement des structures de balise.

Spécifications

Pour ajouter des balises à des objets sécurisables du catalogue Unity, vous devez posséder l’objet ou disposer de tous les privilèges suivants :

  • APPLY TAG sur l’objet
  • USE SCHEMA sur le schéma parent de l’objet
  • USE CATALOG sur le catalogue parent de l'objet

Pour ajouter une balise régie aux objets sécurisables du catalogue Unity, vous devez également disposer de l’autorisation ASSIGN sur la balise régie. Consultez Gérer les autorisations sur les balises régies.

Contraintes

Voici une liste de contraintes de balises :

  • Les clés de balise respectent la casse. Par exemple, Sales et sales sont deux balises distinctes.

  • Vous pouvez affecter un maximum de 50 balises à un seul objet sécurisable (table ou colonne).

  • Une table peut avoir au maximum 1 000 balises de colonne au total sur toutes ses colonnes.

  • La longueur maximale d’une clé de balise est de 255 caractères.

  • La longueur maximale d’une valeur d’étiquette est de 1 000 caractères.

  • Les caractères suivants ne sont pas autorisés dans les clés d’étiquette :

    . , - = / :

  • Les espaces de fin et de début ne sont pas autorisés dans les clés de balise ou les valeurs.

  • La recherche d’étiquettes à l’aide de l’interface utilisateur de recherche d’espace de travail est prise en charge uniquement pour les tables et les vues.

  • La recherche d’étiquettes nécessite une correspondance exacte des termes.

Ajouter et mettre à jour des balises

Pour les modèles inscrits, vous devez utiliser l’Explorateur de catalogues ou MLflow ClientAPI. Consultez Utiliser des balises sur les modèles.

Explorateur de catalogues

  1. Cliquez sur l’icône Données.Catalogue dans la barre latérale.

  2. Sélectionnez un objet sécurisable.

  3. Dans la page Vue d’ensemble de l’objet, sous Balises, ajoutez ou mettez à jour une balise :

    • S’il n’y a pas de balises, cliquez sur le bouton Ajouter des balises.
    • S’il existe des balises, cliquez sur l’icône Icône ModifierAjouter/modifier des balises.

  4. Sélectionnez une clé et une valeur de balise existantes ou entrez le nom d’une nouvelle balise.

    • Les balises qui sont régies se trouvent dans l’en-tête de section régie et ont uneicône de verrouillage de verrou..
    • Des clés de balise sont requises. Si une valeur d’étiquette est requise dépend de la clé de balise.

SQL

Dans Databricks Runtime 16.1 et versions ultérieures, utilisez SET TAG et UNSET TAG pour gérer les étiquettes des objets sécurisables. Par exemple:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Consultez SET TAG et UNSET TAG.

Dans Databricks Runtime 13.3 et versions ultérieures, utilisez la ALTER <object> commande SQL avec SET TAGS ou UNSET TAGS pour gérer des balises sur des objets sécurisables. Par exemple:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Consultez lesInstructions DDL pour obtenir la liste des commandes de langage de définition de données (DDL) disponibles et leur syntaxe.

Supprimer une colonne avec des balises régies

Lorsque vous supprimez une colonne dont une ou plusieurs balises régies sont affectées, l’opération de suppression échoue. Pour supprimer une colonne marquée, vous devez d’abord supprimer toutes les balises régies. Suivez cette séquence pour empêcher les fuites de données potentielles.

  1. Supprimez la balise :

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Supprimez la colonne :

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Pour supprimer définitivement les données de la colonne, suivez les étapes de la mise à jour explicite du schéma pour supprimer des colonnes. Sinon, les déplacements temporels peuvent exposer les données.

Remarque

Contrairement à d’autres tables de catalogue Unity, les balises de colonne sur les tables étrangères sont automatiquement supprimées lorsqu’une colonne de table étrangère est supprimée sur la source de données étrangère et que la modification des métadonnées est reflétée dans le catalogue Unity.

Utiliser des balises pour rechercher des tables et des vues

Utilisez la barre de recherche de l’espace de travail Azure Databricks pour rechercher des tables et des vues à l’aide de clés de balise et de valeurs d’étiquette. Vous ne pouvez pas utiliser de balises pour rechercher d’autres objets étiquetés, tels que des colonnes de table, des catalogues, des schémas ou des volumes.

Seules les tables que vous avez l’autorisation de voir apparaissent dans les résultats de la recherche. Cela signifie que vous devez disposer au moins du BROWSE privilège sur l’objet (ou sur le catalogue parent et le schéma de l’objet) pour renvoyer l’objet dans les résultats de recherche.

Pour plus d’informations, consultez Utiliser des balises pour rechercher des tables et des vues.

Récupérer des informations sur les balises depuis les tables du schéma d'information

Chaque catalogue créé dans Unity Catalog comprend un INFORMATION_SCHEMA. Ce schéma inclut des tables qui décrivent les objets connus du catalogue du schéma. Vous devez disposer des privilèges appropriés pour afficher les informations du schéma.

Interrogez les éléments suivants pour obtenir les informations de balise :

Pour plus d'informations, voir Schéma d'informations.

  • Last updated on