Criar e gerenciar tags governadas

Esta página explica como criar e gerenciar o tags governado em seu account. Para obter uma visão geral do site governado tags, consulte Governed tags.

atenção

Os dados da tag são armazenados como texto simples e podem ser replicados globalmente. Não use nomes, valores ou descritores do tag que possam comprometer a segurança do seu recurso. Por exemplo, não use tag nomes, valores ou descritores que contenham informações pessoais ou confidenciais.

Requisitos para chave e valores tag

Chave da tag e valores tag :

• Pode ter até 256 caracteres.
• Suporta codificação UTF-8, incluindo caracteres Unicode como letras internacionais, símbolos e emojis.
• São sensíveis a maiúsculas e minúsculas. Por exemplo, Department e department são duas tags distintas.
• Não pode conter os seguintes caracteres: * . / < > % & ? \ = ou caracteres de controle (ASCII 0–31)
• Não pode começar nem terminar com espaço em branco.

Criar uma tag governada

Para criar uma tag governada, você deve ter a permissão CREATE no nível account . Os administradores de contas e os administradores workspace têm CREATE por default. Os administradores da conta podem revogar a permissão CREATE dos administradores workspace .

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .

2. Clique no Botão Governar .

3. No menu dropdown , clique em Etiquetas regulamentadas .

4. Clique em Create governed tag .

5. Insira uma key tag . Consulte os Requisitos para chaves e valores tag.

6. Opcionalmente, insira uma descrição para a tag governada.

7. Opcionalmente, insira um ou mais valores permitidos para a tag. Somente esses valores podem ser atribuídos a essa key tag . Consulte os Requisitos para chaves e valores tag.

   

8. Clique em Criar .

SQL

Use a instrução CREATE GOVERNED TAG :

SQL

-- Create a key-only governed tag.
CREATE GOVERNED TAG isPii;

-- Create a governed tag with allowed values.
CREATE GOVERNED TAG sensitivity_level VALUES ('low', 'medium', 'high');

-- Create a governed tag with a description and allowed values.
CREATE GOVERNED TAG pii
  DESCRIPTION 'Indicates what kind of personal identifiable information the asset contains'
  VALUES ('ssn', 'ccn', 'dob');

Consulte a tag CREATE GOVERNED para obter a sintaxe completa.

Gerenciar atribuições tag existentes

Se você criar uma tag governada com a mesma key das tags já atribuídas a objetos, todas as atribuições tag existentes com essa key passarão a ser governadas automaticamente. Não é necessário reatribuí-los.

Por exemplo, suponha que várias tabelas já tenham uma tag com a key department e vários valores, como finance, engineering e marketing. Essas tags não são atualmente governadas, então qualquer usuário com o privilégio APPLY TAG pode atribuí-las ou modificar seus valores.

Se você criar uma tag governada com a key department e definir os valores permitidos como finance, engineering, marketing e sales, o seguinte ocorrerá:

• Todas as atribuições tag department existentes nessas tabelas passam a ser regidas imediatamente.
• Doravante, apenas os usuários com o privilégio ASSIGN na tag governada por department poderão atribuir ou modificar valores de tag department .
• Os valores das tags são restritos aos valores permitidos que você definiu (finance, engineering, marketing, sales).
• As atribuições tag existentes que usam valores fora da lista permitida não são removidas, mas não podem ser reatribuídas com o mesmo valor fora da política.

Se você excluir posteriormente a tag controlada, todas as atribuições tag com essa key deixarão de ser controladas. Isso significa que qualquer usuário com o privilégio APPLY TAG pode atribuir ou modificar esses valores de tag sem precisar do privilégio ASSIGN .

Editar uma tag governada

Para editar uma tag governada, você deve ter a permissão MANAGE nessa tag governada.

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .
2. Clique no Botão Governar .
3. No menu dropdown , clique em Etiquetas regulamentadas .
4. Selecione a tag governada.
5. Para editar a descrição, clique no ícone do lápis .
6. Para adicionar um valor permitido, clique em Adicionar valor .
7. Para remover um valor permitido, marque a caixa de seleção ao lado do valor e clique em Remover valor .

SQL

Use a instrução ALTER GOVERNED TAG :

SQL

-- Update the description.
ALTER GOVERNED TAG pii SET DESCRIPTION 'Indicates what kind of personal identifiable information the asset contains';

-- Replace the allowed values list.
ALTER GOVERNED TAG sensitivity_level SET VALUES ('low', 'medium', 'high');

-- Remove all allowed values.
ALTER GOVERNED TAG isPii SET VALUES ();

SET VALUES É declarativa: a lista fornecida substitui todos os valores permitidos existentes.

Consulte a tag ALTER GOVERNED para obter a sintaxe completa.

Excluir uma tag governada

atenção

A exclusão de uma tag governada referenciada em uma política ABAC faz com que todas as consultas dentro do escopo dessa política falhem com um erro INVALID_PARAMETER_VALUE.UC_ABAC_UNKNOWN_TAG_POLICY . Para resolver isso, você precisa atualizar ou excluir a política.

Antes de excluir uma tag controlada, certifique-se de que ela não seja referenciada em nenhuma política ABAC. Consulte " tags excluídas causam falhas na avaliação de políticas".

Quando o senhor exclui uma tag governada, a tag em si não é removida dos objetos. Em vez disso, ela se torna desgovernada. Isso significa:

• Os valores tag key e quaisquer valores tag existentes permanecem nos objetos.
• O site tag não está mais sujeito a uma política de tag.
• Qualquer pessoa que tenha a capacidade de aplicar tags pode atribuir ou modificar a tag sem precisar de permissões especiais.

Para excluir uma tag governada, você deve ter a permissão MANAGE nessa tag governada.

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .
2. Clique no Botão Governar .
3. No menu dropdown , clique em Etiquetas regulamentadas .
4. Selecione a tag governada.
5. Clique em Excluir .

SQL

Use a instrução DROP GOVERNED TAG :

SQL

DROP GOVERNED TAG isPii;

Consulte a tag DROP GOVERNED para obter a sintaxe completa.