管理タグの作成と管理

このページでは、アカウント全体で管理タグを作成および管理する方法について説明します。管理タグの概要については、「 管理タグ」を参照してください。

警告

タグデータはプレーンテキストとして保存され、グローバルに複製できます。リソースのセキュリティを損なう可能性のあるタグ名、値、または記述子は使用しないでください。たとえば、個人情報や機密情報を含むタグ名、値、または記述子は使用しないでください。

タグのキーと値の要件

タグキーとタグ値:

• 最大256文字まで入力可能です。
• UTF-8エンコーディングをサポートし、国際文字、記号、絵文字などのUnicode文字にも対応しています。
• 大文字と小文字を区別します。例えば、 Departmentとdepartmentは2つの異なるタグです。
• 以下の文字を含めることはできません： * . / < > % & ? \ =または制御文字（ASCII 0～31）
• 先頭または末尾に空白文字を含めることはできません。

管理タグの作成

管理タグを作成するには、アカウントレベルでCREATE権限が必要です。アカウント管理者とワークスペース管理者は、デフォルトでCREATE権限を持っています。アカウント管理者は、ワークスペース管理者からCREATE権限を取り消すことができます。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. クリック 統治 ボタン。

3. ドロップダウン メニューで、 [管理タグ] をクリックします。

4. 管理タグを作成 をクリックします。

5. タグキーを入力してください。タグのキーと値については、「要件」を参照してください。

6. オプションで、管理タグの説明を入力します。

7. 必要に応じて、タグに許可される値を1つ以上入力してください。このタグキーには、これらの値のみを割り当てることができます。タグのキーと値については、「要件」を参照してください。

   

8. 作成 をクリックします。

SQL

CREATE GOVERNED TAGステートメントを使用してください。

SQL

-- Create a key-only governed tag.
CREATE GOVERNED TAG isPii;

-- Create a governed tag with allowed values.
CREATE GOVERNED TAG sensitivity_level VALUES ('low', 'medium', 'high');

-- Create a governed tag with a description and allowed values.
CREATE GOVERNED TAG pii
  DESCRIPTION 'Indicates what kind of personal identifiable information the asset contains'
  VALUES ('ssn', 'ccn', 'dob');

完全な構文については、 「CREATE 管理タグ」を参照してください。

既存のタグの割り当てを管理する

すでにオブジェクトに割り当てられているタグと同じキーを持つ管理タグを作成すると、そのキーを持つ既存のすべてのタグ割り当てが自動的に管理されます。 再割り当てする必要はありません。

たとえば、複数のテーブルに、キーdepartmentとさまざまな値 ( finance 、 engineering 、 marketingなど) を持つタグがすでにあるとします。これらのタグは現在管理されていないため、 APPLY TAG権限を持つすべてのユーザーがタグを割り当てたり、値を変更したりできます。

キーdepartmentを使用して管理タグを作成し、許可される値をfinance 、 engineering 、 marketing 、およびsalesと定義すると、次のようになります。

• これらのテーブル上の既存のdepartmentタグの割り当てはすべて直ちに管理されるようになります。
• 今後は、 department管理タグに対するASSIGN権限を持つユーザーのみが、 departmentタグの値を割り当てたり変更したりできるようになります。
• タグの値は、定義した許可された値 ( finance 、 engineering 、 marketing 、 sales ) に制限されます。
• 許可リスト外の値を使用する既存のタグ割り当ては削除されませんが、同じポリシー外の値で再割り当てすることはできません。

後で管理タグを削除すると、そのキーを持つすべてのタグ割り当てが管理されなくなります。 つまり、 APPLY TAG権限を持つすべてのユーザーは、 ASSIGN権限を必要とせずにこれらのタグ値を割り当てたり変更したりできます。

管理タグの編集

管理タグを編集するには、その管理タグに対するMANAGE権限が必要です。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。
2. クリック 統治 ボタン。
3. ドロップダウン メニューで、 [管理タグ] をクリックします。
4. 管理タグを選択します。
5. 説明を編集するには、鉛筆アイコン をクリックします。
6. 許可された値を追加するには、[ 値の追加 ] をクリックします。
7. 許可された値を削除するには、値の横にあるチェックボックスをオンにして 、[値を削除] をクリックします。

SQL

ALTER GOVERNED TAGステートメントを使用してください。

SQL

-- Update the description.
ALTER GOVERNED TAG pii SET DESCRIPTION 'Indicates what kind of personal identifiable information the asset contains';

-- Replace the allowed values list.
ALTER GOVERNED TAG sensitivity_level SET VALUES ('low', 'medium', 'high');

-- Remove all allowed values.
ALTER GOVERNED TAG isPii SET VALUES ();

SET VALUES 宣言型です。指定されたリストは、既存の許可されているすべての値を置き換えます。

完全な構文については、 「ALTER 管理タグ」を参照してください。

管理タグの削除

警告

ABAC ポリシーで参照されている管理タグを削除すると、そのポリシーのスコープ内のすべてのクエリがINVALID_PARAMETER_VALUE.UC_ABAC_UNKNOWN_TAG_POLICYエラーで失敗します。 この問題を解決するには、ポリシーを更新または削除する必要があります。

管理タグを削除する前に、その管理タグが ABAC ポリシーで参照されていないことを確認してください。 削除されたタグがポリシー評価の失敗を引き起こすことを参照してください。

管理タグを削除しても、タグ自体はオブジェクトから削除されません。代わりに、それは管理されなくなります。これはですね：

• タグキーと既存のタグ値はオブジェクトに残ります。
• タグはタグポリシーの対象ではなくなりました。
• タグを適用できる人は誰でも、特別な権限を必要とせずにタグを割り当てたり変更したりできます。

管理タグを削除するには、その管理タグに対するMANAGE権限が必要です。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。
2. クリック 統治 ボタン。
3. ドロップダウン メニューで、 [管理タグ] をクリックします。
4. 管理タグを選択します。
5. 削除 をクリックします。

SQL

DROP GOVERNED TAGステートメントを使用してください。

SQL

DROP GOVERNED TAG isPii;

完全な構文については、 「DROP 管理タグ」を参照してください。