Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
此功能目前以公共预览版提供。
本页概述了 Azure Databricks 中的受治理标记(在 Beta 版中称为标记策略)。 若要创建和管理受管理标记,请参阅 “创建和管理受管理标记”。 若要应用标记,请参阅 将标记应用于 Unity 目录安全对象。
警告
标记数据以纯文本形式存储,可全局复制。 不要使用标记名称、值或描述符,这些标记名称或描述符可能会损害资源的安全性。 例如,不要使用包含个人或敏感信息的标记名称、值或描述符。
什么是受治理标记?
受治理的标记是具有内置规则的帐户级标记,用于一致性和控制。 创建受管理标记时,还定义标记策略。 该策略强制实施标记的使用方式。 治理的标记可以应用于表和目录等对象,但不能应用于使用单独标记机制的群集或作业等计算资源。 受治理的标记可确保一致地应用标记并符合组织标准。 它们有助于防止不一致的命名、未经授权的标记分配或不正确的标记值。
受治理的标记允许管理员:
- 将特定标记键标记为受控制。
- 定义每个受治理标记的允许值集。
- 控制哪些用户和组可以分配受治理的标记并管理其定义。
管理标记时,它仍可应用于任何适用的对象。 但是,该策略可确保只有具有相应权限的用户才能将值分配给该标记,并且只能从预定义的允许值集中分配值。 此治理有助于维护帐户中元数据标记的一致性、安全性和合规性。
为何使用受管理标记?
治理标记支持各种治理和作用例,包括:
- 数据分类: 强制对敏感数据、法规合规性或业务域使用标准化标记。
- 基于属性的访问控制(ABAC):使用受治理的标记作为访问策略中的属性,根据数据分类强制实施精细动态权限。 请参阅 Unity 目录基于属性的访问控制(ABAC)。
- 成本管理: 需要资源的成本中心或项目标记才能实现准确的退款和报告。
- 资源发现: 通过确保跨目录、架构、表和其他资产进行一致的标记来提高可搜索性和组织性。
- 操作自动化: 启用基于标记值的自动化工作流和监控。
受治理的标记的工作原理
标记策略: 每个受治理标记都有一个关联的标记策略,用于强制实施其规则。
执法: 受治理的标记在帐户级别强制执行,并应用于帐户中的所有工作区。
权限: 权限确定谁可以创建受管理标记、编辑其允许的值并分配它们。 用户仍然可以创建和分配不受控制的标记。 有关详细信息,请参阅 管理对受治理标记的权限。
能见度: 受治理标记在 Databricks UI 中标有锁
这样用户可以轻松识别哪些标记受策略控制的约束。
系统治理的标记
系统治理的标记由 Azure Databricks 预定义,无法编辑或删除。 与用户治理的标记一样,每个系统标记都有一个强制实施其规则的标记策略。
- 只有具有相应 ASSIGN 权限的用户或组才能应用或删除系统标记。
- 每个系统标记键只能使用预定义值。
- 在帐户中的所有工作区中,强制实施是一致的。
系统治理标记与用户治理的标记不同,方法如下:
标记键和允许的值由 Azure Databricks 定义和维护。
用户无法修改定义或创建新的系统治理标记。
系统标记在 UI 中使用扳手
进行标记。以便将它们与用户管理的标记区分开来。
系统治理标记支持对分类、所有权和生命周期跟踪等用例进行标准化标记,而无需管理员定义或管理自定义治理。 有关详细信息,请参阅 系统标记。