重要
此功能目前以公共预览版提供。
本页概述了 Azure Databricks 中的受治理标记(在 Beta 版中称为标记策略)。 若要创建和管理受管理标记,请参阅 “创建和管理受管理标记”。 若要应用标记,请参阅 将标记应用于 Unity 目录安全对象。
警告
标记数据以纯文本形式存储,可全局复制。 不要使用标记名称、值或描述符,这些标记名称或描述符可能会损害资源的安全性。 例如,不要使用包含个人或敏感信息的标记名称、值或描述符。
什么是受治理标记?
受治理的标记是具有内置规则的帐户级标记,用于一致性和控制。 创建受管理标记时,还定义标记策略。 该策略强制实施标记的使用方式。 治理的标记可以应用于表和目录等对象,但不能应用于使用单独标记机制的群集或作业等计算资源。 受治理的标记可确保一致地应用标记并符合组织标准。 它们有助于防止不一致的命名、未经授权的标记分配或不正确的标记值。
受治理的标记允许管理员:
- 将特定标记键标记为受控制。
- 定义每个受治理标记的允许值集。
- 控制哪些用户和组可以分配受治理的标记并管理其定义。
管理标记时,它仍可应用于任何适用的对象。 但是,该策略可确保只有具有相应权限的用户才能将值分配给该标记,并且只能从预定义的允许值集中分配值。 此治理有助于维护帐户中元数据标记的一致性、安全性和合规性。
为何使用受管理标记?
治理标记支持各种治理和作用例,包括:
- 数据分类: 强制对敏感数据、法规合规性或业务域使用标准化标记。
- 基于属性的访问控制(ABAC):使用受治理的标记作为访问策略中的属性,根据数据分类强制实施精细动态权限。 请参阅 Unity 目录基于属性的访问控制(ABAC)。
- 成本管理: 需要资源的成本中心或项目标记才能实现准确的退款和报告。
- 资源发现: 通过确保跨目录、架构、表和其他资产进行一致的标记来提高可搜索性和组织性。
- 操作自动化: 启用基于标记值的自动化工作流和监控。
受治理的标记的工作原理
标记策略: 每个受治理标记都有一个关联的标记策略,用于强制实施其规则。
执法: 受治理的标记在帐户级别强制执行,并应用于帐户中的所有工作区。
权限: 权限确定谁可以创建受管理标记、编辑其允许的值并分配它们。 用户仍然可以创建和分配不受控制的标记。 有关详细信息,请参阅 管理对受治理标记的权限。
能见度: 受治理标记在 Databricks UI 中标有锁
这样用户可以轻松识别哪些标记受策略控制的约束。
系统治理的标记
系统治理的标记由 Azure Databricks 预定义,无法编辑或删除。 与用户治理的标记一样,每个系统标记都有一个强制实施其规则的标记策略。
- 只有具有相应 ASSIGN 权限的用户或组才能应用或删除系统标记。
- 每个系统标记键只能使用预定义值。
- 在帐户中的所有工作区中,强制实施是一致的。
系统治理标记与用户治理的标记不同,方法如下:
标记键和允许的值由 Azure Databricks 定义和维护。
用户无法修改定义或创建新的系统治理标记。
系统标记在 UI 中使用扳手
进行标记。以便将它们与用户管理的标记区分开来。
系统治理标记支持对分类、所有权和生命周期跟踪等用例进行标准化标记,而无需管理员定义或管理自定义治理。 有关详细信息,请参阅 系统标记。