Règles de protection des données dans le cadre de la Data Virtualization

Retourner à la version anglaise de la documentation

Gouverner les données virtuelles avec des règles de protection des données dans la Data Virtualization

Dernière mise à jour : 26 nov. 2024

Règles de protection des données dans le cadre de la Data Virtualization

Vous pouvez gérer vos données virtuelles en définissant des règles de protection des données.

Avant de commencer

Ces instructions supposent que vous avez effectué les conditions requises suivantes.

Création de règles de protection des données dans IBM Knowledge Catalog. Pour plus d'informations, voir Gestion des règles de protection des données.
Activez l'application des règles dans la Data Virtualization si vous voulez forcer l'utilisation des règles de protection des données. Pour plus d'informations, voir Activation de l'application des règles.
Vous avez publié et annoté les objets que vous souhaitez soumettre à des règles de protection des données dans un catalogue gouverné. Pour plus d'informations, voir Publication de données virtuelles dans le catalogue dans la rubrique Data Virtualization.
Important :
- La Data Virtualization n'applique les règles de protection des données que si le bien est catalogué dans un catalogue dont l'option Appliquer les règles de protection des données est activée.
  
  Pour plus d'informations, voir Modification des paramètres de catalogue.

A propos de cette tâche

Les règles de protection des données spécifient les données à contrôler, par exemple en refusant l'accès ou en masquant des données. Vous pouvez ajouter des règles de protection des données aux politiques et appliquer ces politiques dans la Data Virtualization.

Vous pouvez utiliser les types de règles de protection des données suivants:

Refus d'accès

L'interdiction d'accès empêche les utilisateurs d'accéder à toutes les données d'un actif de Data Virtualization. Par exemple, si l'intendant de données ne souhaite pas exposer la totalité de l'actif à un seul utilisateur, il peut définir cette règle avec une condition qui correspond au nom d'utilisateur.

Masquage de données

Le masquage des données permet de masquer les données sensibles, mais permet aux utilisateurs d'utiliser l'actif. Il existe trois types de règles de masquage des données: expurger, substitut et brouiller. L'utilisateur peut décider d'activer l'une de ces règles en fonction de l'utilisation des données dans l'application en amont.

L'occultation remplace tout ou partie des caractères d'une cellule de données.
Elle remplace les données par les hachages salés des valeurs d'origine. Cette méthode est la plus susceptible de maintenir l'intégrité référentielle.
Brouiller remplace les données par des valeurs formatées similaires aux données d'origine.

Filtrage au niveau de la ligne

Vous pouvez créer des règles de protection des données pour inclure ou exclure des lignes dans vos données virtualisées afin de limiter les lignes que les utilisateurs peuvent voir. Par exemple, vous pouvez définir une règle pour que les employés puissent voir les données client associées uniquement à leur service.

Vous pouvez appliquer des critères de filtrage pour inclure ou exclure des lignes.

Vous ne pouvez pas appliquer des règles de masquage de données et de filtrage de lignes à des vues directement. Les ensembles de résultats d'une vue sont masqués conformément aux règles de protection des données qui s'appliquent aux objets référencés par la vue. Vous pouvez filtrer les lignes ou masquer les détails d'identification des tables référencées dans la définition de vue.

L'accès aux tables référencées dans les expressions de filtre de niveau ligne n'est pas évalué, y compris le masquage des données.

Les règles de filtrage des lignes qui s'appliquent aux ressources de Data Virtualization et qui font référence à d'autres ressources doivent uniquement faire référence aux ressources de Data Virtualization. Si vous interrogez un objet et que les règles de filtrage des lignes font référence à des actifs qui ne sont pas des actifs de Data Virtualization, l'interrogation échoue avec l'erreur suivante :

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

Vous pouvez confirmer la cause de l'erreur en exécutant la requête suivante:

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

Pour plus d'informations, voir Filtrage des lignes dans les règles de protection des données.

Important :

Le contrôle d'accès à la Data Virtualization n'est pas appliqué lorsque le masquage des données ou le filtrage au niveau des lignes s'applique à l'aperçu dans les services " Watson (autres que la Data Virtualization. Les contrôles d'accès internes à la Data Virtualization, qui sont contrôlés en utilisant Gérer l'accès dans l'interface utilisateur de la Data Virtualization, ne s'appliquent pas à la prévisualisation des autres services " Watson avec masquage ou filtrage au niveau de la ligne. Vous devez définir vos règles pour gérer l'accès aux catalogues, aux projets, aux actifs de données ou aux connexions pour le contrôle d'accès dans les autres services " Watson.

Lorsque vous publiez des actifs de données virtualisées dans un catalogue, ils sont traités comme n'importe quel autre actif de données et sont soumis à des règles de protection des données. Les règles de protection des données peuvent refuser ou masquer l'accès aux actifs en fonction de critères pouvant inclure des artefacts de gouvernance, tels que des termes métier et des classes de données.

Procédure

Pour gouverner vos données virtuelles avec des règles de protection des données :

Virtualisez vos données et publiez-les dans un catalogue gouverné.
Pour plus d'informations, reportez-vous à la section Publication de données virtuelles dans le catalogue dans la rubrique Data Virtualization.
Ces données sont automatiquement profilées si elles sont configurées dans les paramètres du catalogue. Le profil d'un actif de données de catalogue inclut des métadonnées générées et des statistiques sur le contenu textuel des données. Le profilage affecte automatiquement des classes de données à des colonnes de table. Voir Profils.
Gouverner vos données virtuelles dans le catalogue :
- Attribuez des classes de données, des termes métier et des balises créés dans IBM Knowledge Catalog à vos tables et colonnes virtuelles. Voir Gestion des conditions commerciales pour plus de détails sur la façon de gérer et de créer des termes commerciaux dans IBM Knowledge Catalog.
- Utilisez des règles de protection des données pour autoriser ou refuser l'accès à une table virtuelle. Les utilisateurs de Data Virtualization peuvent voir la table virtuelle mais ne peuvent pas en prévisualiser le contenu ou effectuer des actions sur la table ou ses colonnes lorsqu'une règle de refus s'applique à la ressource de données. Voir Gestion des règles de protection des données pour plus de détails sur la façon de créer des règles de protection des données dans IBM Knowledge Catalog.
  Une icône de verrouillage ( ) au nom de la table sur le Données virtualisées La page indique que l'accès aux données de la table est refusé par une règle de protection des données. Une icône de verrouillage ( ) peut également apparaître lorsqu'un actif du catalogue n'a pas été profilé et est en attente d'attribution d'une classe de données.
  
  Pour accéder aux vues, ces conditions doivent être remplies.
  - Vous disposez des droits requis pour accéder aux vues.
  - Le créateur de la vue dispose des droits requis pour accéder aux objets référencés par la vue.
- Pour afficher un aperçu d'actif dans un catalogue, ces conditions doivent être remplies.
  - Vous n'êtes pas bloqué par des règles de protection des données. Si vous êtes propriétaire de l'actif, vous ne pouvez pas être bloqué par des règles de protection de données.
  - Si une connexion est associée à l'actif, les conditions suivantes doivent également être réunies :
    - Aucune règle de protection de données ne vous empêche d'accéder à la connexion.
    - Le nom d'utilisateur spécifié dans les détails de connexion a accès à l'objet au niveau de la source de données.
  Pour plus d'informations, voir Asset previews.
- Utilisez une règle de protection des données pour masquer les données dans les colonnes ou filtrer les lignes d'une table virtuelle. Utilisez les règles de masquage des données pour masquer les données d'origine. En fonction de la méthode de masquage des données, les données sont expurgées, remplacées ou brouillées. Pour plus d'informations, voir Masquage des données avec les règles de protection des données.
  Une icône de verrouillage ( ) à côté du nom de la colonne indique que les données de la colonne sont masquées par une règle de protection des données.
  
  Le masquage des données a certaines limites dans la Data Virtualization. Voir Masquage des données virtuelles.
Remarque :
Par défaut, l'utilisateur qui a créé l'actif dans le catalogue est le propriétaire de l'actif. Les propriétaires de catalogues sont exemptés des règles de protection des données, mais sont soumis au contrôle d'accès de Data Virtualization. Si l'utilisateur qui accède à un objet virtuel est également le propriétaire de l'actif correspondant dans IBM Knowledge Catalog, les règles et stratégies de protection des données définies pour cet utilisateur dans IBM Knowledge Catalog ne sont pas appliquées dans Data Virtualization.

Lorsqu'un objet virtuel est ajouté à un catalogue et que vous disposez d'au moins une règle de protection des données de masquage ou de filtrage de ligne ou d'une règle de protection des données basée sur une classe de données, l'accès à cette dernière est refusé jusqu'à ce que son profilage et l'affectation des classes de données soient terminés.

Le nom d'utilisateur spécifié dans la connexion à la Data Virtualization doit également être autorisé à accéder à l'objet dans la Data Virtualization, à moins qu'une règle de masquage des données ne s'applique à l'actif et à l'utilisateur de la prévisualisation.