重要
此功能在 Beta 版中。
本页概述了 Azure Databricks 中的标记策略。 若要创建和管理标记策略,请参阅 “创建和管理标记策略”。 若要应用标记,请参阅 将标记应用于 Unity 目录安全对象。
警告
标记数据以纯文本形式存储,可全局复制。 不要使用标记名称、值或描述符,这些标记名称或描述符可能会损害资源的安全性。 例如,不要使用包含个人或敏感信息的标记名称、值或描述符。
什么是标签策略?
标记策略是帐户级控件,用于定义可分配给 Azure Databricks 中的对象的标记的约束,例如表和目录。 这些策略不适用于使用单独的标记机制的计算资源,如群集或作业。 标记策略可确保一致地应用标记并符合组织标准。 它们有助于防止不一致的命名、未经授权的标记分配或不正确的标记值。 标记策略允许管理员:
- 指定哪些标记键受到管理。
- 定义每个受治理标记的允许值集。
- 控制哪些用户和组可以将受治理的标记分配给资源并管理受治理的标记定义。
当标记由标记策略管理时,它仍可应用于任何适用的对象。 但是,该策略可确保只有具有相应权限的用户才能将值分配给该标记,并且只能从预定义的允许值集中分配值。 此治理有助于维护帐户中元数据标记的一致性、安全性和合规性。
为何使用标记策略?
标记策略支持各种治理和作用例,包括:
- 数据分类: 强制对敏感数据、法规合规性或业务域使用标准化标记。
- 基于属性的访问控制(ABAC):使用受治理的标记作为访问策略中的属性,根据数据分类强制实施精细动态权限。 请参阅 Unity 目录基于属性的访问控制(ABAC)。
- 成本管理: 需要资源的成本中心或项目标记才能实现准确的退款和报告。
- 资源发现: 通过确保跨目录、架构、表和其他资产进行一致的标记来提高可搜索性和组织性。
- 操作自动化: 启用基于标记值的自动化工作流和监控。
标记策略的工作原理
受治理的标记: 为标记键定义标记策略时,该标记将得到控制。 只有具有适当权限的用户或组可以分配受治理的标记,并且只能使用策略中指定的允许值。
执法: 标记策略在帐户级别强制执行,并应用于帐户中的所有工作区。
标记策略权限: 权限控制谁可以创建、管理和分配受管理标记。 用户可以继续创建和分配不受标记策略控制的标记。 标记策略仅适用于显式管理的标签。 有关详细信息,请参阅 “管理标记策略权限”。
能见度: 受治理标记在 Databricks UI 中标有锁
这样用户可以轻松识别哪些标记受策略控制的约束。
系统标记策略
系统标记策略管理系统标记,这些标记由 Azure Databricks 预定义,用户无法编辑或删除。 系统标记策略强制实施与用户定义的标记策略相同的约束:
- 只有具有相应 ASSIGN 权限的用户或组才能应用或删除系统标记。
- 每个系统标记键只能使用预定义值。
- 在账户中的所有工作区,系统标记的强制执行是一致的。
但是,系统标记策略与用户定义的标记策略不同,方法如下:
标记键和允许的值由 Azure Databricks 定义和维护。
用户无法修改策略定义或创建新的系统标记策略。
系统标记在 UI 中使用扳手
进行标记。以便将它们与用户管理的标记区分开来。
系统标记策略支持对分类、所有权和生命周期跟踪等用例进行标准化标记,而无需管理员定义或管理自定义标记策略。 有关详细信息,请参阅 系统标记。