メインコンテンツまでスキップ
最終更新

管理タグ

このページでは、 Databricksの管理タグの概要を説明します。 管理タグを作成および管理するには、 「管理タグの作成および管理」を参照してください。 タグを適用するには、 Unity Catalogセキュリティ保護可能なオブジェクトにタグを適用する」を参照してください。

警告

タグデータはプレーンテキストとして保存され、グローバルに複製できます。リソースのセキュリティを損なう可能性のあるタグ名、値、または記述子は使用しないでください。たとえば、個人情報や機密情報を含むタグ名、値、または記述子は使用しないでください。

管理タグとは何ですか?

管理タグは、一貫性と制御のためのルールが組み込まれたアカウントレベルのタグです。 管理タグを作成するときは、タグ ポリシーも定義します。 そのポリシーは、タグの使用方法を規定するものです。管理タグは、テーブルやカタログなどのUnity Catalogオブジェクトや、 Databricksアプリ、ダッシュボード、 Genie Spaces、ノートブックなどのワークスペース オブジェクトに適用できます。 管理タグは、別のタグ メカニズムを使用するSQLウェアハウスやジョブなどのコンピュート リソースには適用できません。 管理タグは、タグが一貫して適用され、組織の標準に準拠することを保証します。これらは、命名規則の不整合、不正なタグ割り当て、または誤ったタグ値の発生を防ぐのに役立ちます。

管理タグを使用すると、管理者は次のことができます。

  • 特定のタグキーを管理対象としてマークします。
  • 管理タグごとに許可される値のセットを定義します。
  • 管理タグを割り当て、その定義を管理できるユーザーおよびグループを制御します。

タグが統制されている場合でも、該当する任意のオブジェクトに適用できます。ただし、このポリシーにより、適切な権限を持つユーザーのみが、事前定義された許可された値のセットからのみ、そのタグに値を割り当てることができます。このガバナンスは、アカウント内のメタデータタグ付け全体で一貫性、セキュリティ、コンプライアンスを維持するのに役立ちます。

アカウントごとに最大 1,000 個の管理タグを作成できます。

管理タグを使用する理由

管理タグは、次のような幅広いガバナンスおよび運用ユースケースを可能にします:

  • データ分類: 機密データ、規制コンプライアンス、またはビジネス ドメインに標準化されたタグの使用を強制します。
  • 属性ベースのアクセス制御 (ABAC) : 管理タグをアクセス ポリシーの属性として使用し、データ分類に基づいてきめ細かい動的アクセス許可を強制します。 Unity Catalogの「属性ベースのアクセス制御」を参照してください。
  • コスト管理: リソースにコストセンターまたはプロジェクトタグを要求して、正確なチャージバックとレポートを有効にします。
  • リソース検出: カタログ、スキーマ、テーブル、その他のアセット間で一貫したタグ付けを確保することで、検索性と整理性を向上させます。
  • 運用の自動化: タグ値に基づく自動ワークフローとモニタリングを有効にします。
  • 認定済みおよび非推奨のデータの分類: システム タグを使用して、信頼できるデータや古いデータにフラグを付け、データのライフサイクル管理をサポートし、データ コンシューマーにとっての明確さを向上させます。「データを認定済みまたは非推奨としてフラグ設定する」を参照してください。

管理タグの仕組み

  • タグ ポリシー: それぞれの管理タグには、そのルールを適用するタグ ポリシーが関連付けられています。

  • 実施: 管理タグはアカウントレベルで適用され、アカウント内のすべてのワークスペースに適用されます。

  • 権限: 権限によって、管理タグを作成し、許可された値を編集して割り当てることができるユーザーが決まります。ユーザーは、管理されていないタグを作成して割り当てることができます。詳細については、 管理タグのアクセス許可の管理を参照してください。

  • Visibility: 管理タグには が付いています。ロックアイコン。鍵アイコンをクリックし、タグ割り当てドロップダウンの 「Governed」 の下にグループ化します。 システムタグを表示または非表示にする(レンチのアイコン。レンチアイコン)を使用して、 [システムタグを含める] トグルを使用します。

    キーのドロップダウンリストに「管理対象」と「その他」のセクションがあるタグ割り当てダイアログ。

  • 継承: カタログまたはスキーマ内のすべてのオブジェクトは、個々のテーブル列を除き、そのカタログまたはスキーマに適用する管理タグを自動的に継承します。

  • 既存のタグの管理: オブジェクトにすでに割り当てられているタグと同じキーで管理タグを作成すると、そのキーを持つ既存のすべてのタグ割り当てが自動的に管理されます。これにより、すでに使用中のタグにガバナンスを追加できます。「既存のタグ割り当ての管理」を参照してください。

システム管理タグ

システム管理タグは Databricks によって事前定義されており、編集または削除することはできません。ユーザー管理タグと同様に、各システムタグには、そのルールを適用するタグポリシーがあります。

  • 適切な ASSIGN 権限を持つユーザーまたはグループのみが、システム タグを適用または削除できます。
  • 各システムタグキーには、事前定義された値のみを使用できます。
  • 適用は、アカウント内のすべてのワークスペースで一貫しています。

システム管理タグは、次の点でユーザー管理タグとは異なります。

  • タグ キーと許可される値は、Databricks によって定義および管理されます。

  • ユーザーは、定義を変更したり、新しいシステム管理タグを作成したりすることはできません。

  • システムタグは、ユーザー管理タグと区別するために、レンチ レンチのアイコン。 でUIにマークされます。

    システムタグのリスト。

システム管理タグは、分類、所有権、ライフサイクル追跡などのユースケースの標準化されたタグをサポートし、管理者がカスタムガバナンスを定義または管理する必要はありません。 詳細については、システムタグを参照してください。

システム管理タグの例

システムタグは、system.class.sap.のような予約済みプレフィックスを使用します。Databricksは、時間の経過とともに新しいシステムタグを追加します。よく使用される例としては、認定ステータス、データの分類、および SAP 個人データ分類などが挙げられます。

  • system.certification_status ** **:テーブルまたはその他の資産をcertified またはdeprecated としてマークし、データコンシューマーに信頼レベルを伝えます。認定された資産はCatalog Explorerにチェックマークを表示します。非推奨の資産は制限アイコンを表示します。データを認定済みまたは非推奨としてフラグ付けするを参照してください。
  • class.* : Databricks データ分類が、PIIまたはその他の機密データを含む列に自動的に適用するシステムタグのファミリーです。例としては、class.email_addressclass.us_ssn、およびclass.credit_cardがあります。概要についてはData Classificationを、サポートされているタグの完全なリストについてはサポートされている分類タグを参照してください。
  • sap.PersonalData.* : SAP Business Data Cloud (SAP BDC) が、基盤となるSAPデータに個人情報または機密情報が含まれているかを分類するためにUnity Catalogテーブルに同期するシステムタグのファミリーです。このファミリーのタグには、sap.PersonalData.entitySemanticssap.PersonalData.fieldSemanticssap.PersonalData.isPotentiallyPersonal、およびsap.PersonalData.isPotentiallySensitiveが含まれます。タグと許可される値の完全なリストについては、SAPガバナンス タグを参照してください。

制約

  • アカウントごとに最大 1,000 個の管理タグを作成できます。
  • 各管理タグには最大 50 個の値を含めることができます。

管理タグのキーと値には次の制約が適用されます。

制約

ルール

最大長さ

256文字

encoding

UTF-8(国際文字、記号、絵文字を含むUnicodeをサポート)

大文字と小文字の区別

大文字と小文字を区別

使用禁止文字

* . / < > % & ? \ = および制御文字(ASCII 0~31)

先頭/末尾の空白

許可されていません

このページの見出し