Compartir a través de

Aplicar etiquetas a objetos protegibles del Unity Catalog

En esta página se muestra cómo aplicar etiquetas a objetos protegibles del catálogo de Unity.

Las etiquetas son atributos que incluyen claves y valores opcionales que puede usar para organizar y clasificar objetos protegibles en Unity Catalog. El uso de etiquetas también simplifica la búsqueda y detección de tablas y vistas mediante la funcionalidad de búsqueda del área de trabajo.

Advertencia

Los datos de etiqueta se almacenan como texto sin formato y se pueden replicar globalmente. No use nombres de etiqueta, valores ni descriptores que puedan poner en peligro la seguridad de los recursos. Por ejemplo, no use nombres de etiqueta, valores o descriptores que contengan información personal o confidencial.

Objetos protegibles admitidos

El etiquetado de objetos protegibles se admite actualmente en catálogos, esquemas, tablas, columnas de tabla, volúmenes, vistas, modelos registrados y versiones de modelos. Para obtener más información sobre los objetos protegibles, vea Objetos protegibles en Unity Catalog.

También puede aplicar etiquetas a paneles y espacios de Genie. Consulte Uso de etiquetas de panel y Agregar etiquetas.

Herencia implícita de etiquetas en políticas de ABAC

Al evaluar las directivas de control de acceso basado en atributos (ABAC), las etiquetas aplicadas en un nivel del modelo de objetos de Catálogo de Unity se aplican automáticamente a todos los objetos debajo de él. Por ejemplo, si etiqueta un catálogo, todos sus esquemas y tablas heredan implícitamente la etiqueta. Sin embargo, las etiquetas no heredan al nivel de columna.

La herencia implícita de etiquetas solo se produce al evaluar las políticas de ABAC. La herencia de etiquetas no se aplica generalmente.

Etiquetas reguladas

Importante

Esta característica está en versión preliminar pública.

Las etiquetas controladas son etiquetas de nivel de cuenta con reglas aplicadas para la coherencia y el control. Con las etiquetas reguladas, se definen las claves y los valores permitidos y se controlan qué usuarios y grupos pueden asignarlos a objetos. Esto garantiza que las etiquetas se apliquen de forma coherente y se ajusten a los estándares de la organización, lo que proporciona control centralizado sobre la clasificación, el cumplimiento y las operaciones.

Etiquetas reguladas:

  • Solo los usuarios o grupos pueden asignarlos o modificarlos con los permisos adecuados.

  • Debe usar los valores definidos en la directiva de etiqueta asociada.

  • Se marcan en la interfaz de usuario con un icono de bloqueo.

    Lista de etiquetas reguladas.

Si se elimina una etiqueta regulada, las etiquetas asociadas se vuelven no superpuestas. Las etiquetas permanecen en objetos, pero cualquier persona puede asignarlas o modificarlas sin necesidad de permisos. Los usuarios con los privilegios adecuados pueden seguir creando y asignando etiquetas que no se rigen.

Para obtener más información, consulte Etiquetas reguladas.

Etiquetas del sistema

Las etiquetas del sistema son un tipo especial de etiqueta regulada predefinida por Azure Databricks. Las etiquetas del sistema tienen algunas características distintas:

  • Azure Databricks predefini las definiciones de etiquetas del sistema (claves y valores).

  • Los usuarios no pueden modificar ni eliminar claves o valores de etiqueta del sistema.

  • Los usuarios pueden controlar quién puede asignar o anular la asignación de etiquetas del sistema a través de la configuración de permisos de etiqueta regulada.

  • Se muestra un icono de llave Wrench junto a la etiqueta .

    Lista de etiquetas del sistema.

Las etiquetas del sistema están diseñadas para admitir el etiquetado estandarizado entre organizaciones, especialmente para casos de uso como la clasificación de datos, la propiedad o el seguimiento del ciclo de vida. Mediante el uso de definiciones de etiquetas reguladas predefinidas, las etiquetas del sistema ayudan a aplicar la coherencia sin necesidad de que los usuarios definan o administren manualmente las estructuras de etiquetas.

Requisitos

Para agregar etiquetas a objetos protegibles de Unity Catalog, debe poseer el objeto o tener todos los privilegios siguientes:

  • APPLY TAG en el objeto
  • USE SCHEMA en el esquema primario del objeto
  • USE CATALOG en el catálogo primario del objeto

Para agregar una etiqueta regulada a objetos protegibles del catálogo de Unity, también debe tener el permiso ASSIGN en la etiqueta regulada. Consulte Administración de permisos en etiquetas reguladas.

Restricciones

A continuación se muestra una lista de restricciones de etiqueta:

  • Las claves de etiqueta distinguen mayúsculas de minúsculas. Por ejemplo, Sales y sales son dos etiquetas distintas.

  • Puede asignar un máximo de 50 etiquetas a un único objeto protegible (tabla o columna).

  • Una tabla puede tener como máximo 1000 etiquetas de columna en total en todas sus columnas.

  • La longitud máxima de una clave de etiqueta es de 255 caracteres.

  • La longitud máxima de un valor de etiqueta es de 1000 caracteres.

  • No se permiten los siguientes caracteres en las claves de etiqueta:

    . , - = / :

  • No se permiten espacios finales ni iniciales en las claves ni en los valores de las etiquetas.

  • La búsqueda de etiquetas con la interfaz de usuario de búsqueda del área de trabajo solo se admite para tablas y vistas.

  • La búsqueda de etiquetas requiere coincidencia exacta de términos.

Adición y actualización de etiquetas

Para los modelos registrados, debe usar el Explorador de catálogos o el ClientAPI de MLflow. Consulta Uso de etiquetas en modelos.

Explorador de catálogos

  1. Haga clic en el icono Datos.Catálogo en la barra lateral.

  2. Seleccione un objeto protegible.

  3. En la página Información general del objeto, en Etiquetas, agregue o actualice una etiqueta:

    • Si no hay etiquetas, haga clic en el botón Agregar etiquetas.
    • Si hay etiquetas, haga clic en el icono icono EditarAgregar o editar etiquetas.

  4. Seleccione una clave de etiqueta existente y un valor o escriba un nombre de una nueva etiqueta.

    • Las etiquetas que se rigen se encuentran en el encabezado de sección Regido y tienen un icono de bloqueoIcono de bloqueo.
    • Se requieren claves de etiqueta. Si se requiere un valor de etiqueta depende de la clave de etiqueta.

SQL

En Databricks Runtime 16.1 y versiones posteriores, use SET TAG y UNSET TAG para administrar etiquetas en objetos protegibles. Por ejemplo:

> SET TAG ON CATALOG catalog `cost_center` = `hr`;

> UNSET TAG ON CATALOG catalog cost_center;

Consulte SET TAG y UNSET TAG.

En Databricks Runtime 13.3 y versiones posteriores, use el ALTER <object> comando SQL con SET TAGS o UNSET TAGS para administrar etiquetas en objetos protegibles. Por ejemplo:

-- Add the governed tag to ssn column
ALTER TABLE abac.customers.profiles
ALTER COLUMN SSN
SET TAGS ('pii' = 'ssn');

Consulte Instrucciones DDL para obtener una lista de los comandos disponibles del lenguaje de definición de datos (DDL) y su sintaxis.

Quitar una columna con etiquetas reguladas

Al quitar una columna con una o varias etiquetas reguladas asignadas, se produce un error en la operación de eliminación. Para quitar una columna etiquetada, primero debe quitar todas las etiquetas reguladas de ella. Siga esta secuencia para evitar posibles pérdidas de datos.

  1. Quite la etiqueta :

    UNSET TAG ON COLUMN <catalog>.<schema>.<table>.<column> <tag_key>;

  2. Quite la columna:

    ALTER TABLE <catalog>.<schema>.<table>
  DROP COLUMN <column>;

Para eliminar permanentemente los datos de la columna, siga los pasos descritos en Actualización explícita del esquema para quitar columnas. De lo contrario, el viaje en el tiempo podría exponer los datos.

Nota:

A diferencia de otras tablas de Catálogo de Unity, las etiquetas de columna de las tablas externas se quitan automáticamente cuando se quita una columna de tabla externa en el origen de datos externo y ese cambio de metadatos se refleja en el catálogo de Unity.

Uso de etiquetas para buscar tablas y vistas

Use la barra de búsqueda del área de trabajo de Azure Databricks para buscar tablas y vistas mediante claves de etiqueta y valores de etiqueta. No puede usar etiquetas para buscar otros objetos etiquetados, como columnas de tabla, catálogos, esquemas o volúmenes.

Solo las tablas y las vistas que tiene permiso para ver aparecen en los resultados de búsqueda. Esto significa que debe tener al menos el BROWSE privilegio en el objeto (o en el catálogo y esquema padre del objeto) para incluir el objeto en los resultados de búsqueda.

Para obtener más información, consulte Uso de etiquetas para buscar tablas y vistas.

Recuperación de información de etiquetas de tablas de esquema de información

Cada catálogo creado en Unity Catalog incluye un INFORMATION_SCHEMA. Este esquema incluye tablas que describen los objetos conocidos en el catálogo del esquema. Debe tener los privilegios adecuados para ver la información del esquema.

Consulte lo siguiente para recuperar información de etiquetas:

Para más información, consulte Información del esquema.

  • Last updated on