0 / 0
Go back to the English version of the documentation
用Data Virtualization中的数据保护规则管理虚拟数据
Last updated: 2024年11月26日
Data Virtualization中的数据保护规则

您可以通过定义数据保护规则来管理虚拟数据。

准备工作

这些指示信息假定您已完成以下先决条件。
  • 创建数据保护规则IBM Knowledge Catalog。 有关更多信息,请参阅 管理数据保护规则
  • 如果要强制使用数据保护规则,请在Data Virtualization中启用策略执行。 有关更多信息,请参阅 启用策略实施
  • 已发布对象并对其进行注释,您希望将这些对象遵守受管目录的数据保护规则。 有关详细信息,请参阅 Data Virtualization中的将虚拟数据发布到目录
    重要说明:

    • Data Virtualization enforces data protection rules only if the data asset is cataloged in a catalog that has the 执行数据保护规则 option enabled.

      有关更多信息,请参阅 更改目录设置

关于本任务

数据保护规则指定要通过拒绝访问或屏蔽数据等方式来控制的数据。 您可以在Data Virtualization中为策略添加数据保护规则并执行这些策略。

您可以使用以下类型的数据保护规则:

拒绝访问
拒绝访问可防止用户访问Data Virtualization资产的所有数据。 例如,如果数据专员不希望向一个用户公开整个资产,那么他们可以使用与用户名匹配的条件来定义此规则。
数据屏蔽
数据屏蔽用于隐藏敏感数据,但仍允许用户使用该资产。 有三种类型的数据屏蔽规则: 编辑,替换和模糊处理。 用户可以根据如何使用上游应用程序中的数据来决定启用其中一个规则。
  • 编辑将替换数据单元格中的所有字符或部分字符。
  • 将数据替换为原始值的盐分散列。 此方法最有可能保持引用完整性。
  • 模糊处理将数据替换为与原始数据相似的格式化值。
行级别过滤

您可以创建数据保护规则以在虚拟化数据中包含或排除行,从而限制用户可以看到的行。 例如,您可以定义规则,以便员工可以查看仅与其部门关联的客户数据。

您可以应用过滤条件以包含或排除行。

不能将数据屏蔽和行过滤规则直接应用于视图。 根据应用于视图引用的对象的数据保护规则,将屏蔽视图的结果集。 您可以从视图定义中引用的表中过滤行或屏蔽标识详细信息。

不会评估对行级别过滤器表达式中引用的表的访问权,包括数据屏蔽。

适用于Data Virtualization资产并引用其他资产的行过滤规则必须仅引用Data Virtualization资产。 如果查询对象且行过滤规则引用的资产不是Data Virtualization资产,则查询会失败并出现以下错误:

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

您可以通过运行以下查询来确认错误原因:

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

有关更多信息,请参阅 过滤数据保护规则中的行

重要说明:

在 "Watson服务("Data Virtualization除外)的预览中应用数据屏蔽或行级过滤时,不应用Data Virtualization"访问控制。 Data Virtualization内部访问控制可通过Data Virtualization用户界面中的 "管理访问"进行控制,但不适用于其他 "Watson服务的预览,这些服务具有屏蔽或行级过滤功能。 您必须在其他 "Watson服务中定义管理目录、项目、数据资产或连接访问控制的规则。

将虚拟化数据资产发布到目录时,它们将被视为与任何其他数据资产一样,并受数据保护规则的约束。 数据保护规则可以根据可以包含监管工件(例如业务术语和数据类)的条件来拒绝或屏蔽对资产的访问。

过程

使用数据保护规则来监管虚拟数据:

  1. 虚拟化数据并将其发布到受管目录。
    有关详细信息,请参阅 Data Virtualization中的将虚拟数据发布到目录

    如果在目录设置中配置了此数据,那么将自动对此数据进行概要分析。 目录数据资产的概要文件包含生成的有关数据文本内容的元数据和统计信息。 概要分析会自动将数据类分配给表列。 请参阅概要文件

  2. 管理目录中的虚拟数据:
    • 分配以以下语言编写的数据类、业务术语和标签IBM Knowledge Catalog到您的虚拟表和列。 管理业务条款有关如何管理和编写业务术语的详细信息IBM Knowledge Catalog
    • 使用数据保护规则来允许或拒绝对虚拟表的访问。 当拒绝规则适用于数据资产时,Data Virtualization用户可以看到虚拟表,但不能预览表的内容,也不能对表或其列执行任何操作。 看管理数据保护规则了解如何创建数据保护规则IBM Knowledge Catalog

      锁定图标 (锁定图标 )到表名称上虚拟化数据页面表示数据保护规则拒绝访问表中的数据。 锁定图标 (锁定图标 ) 也可能出现在目录中的资产尚未被分析且正在等待数据类分配时。

      要访问视图,必须满足这些条件。

      • 您具有访问视图的必需许可权。
      • 视图创建者具有访问视图所引用对象的必需许可权。
    • 要在目录中查看资产预览,必须满足这些条件。
      • 您未被任何数据保护规则阻止。 如果您是资产所有者,数据保护规则无法阻止您。
      • 如果资产有关联的连接,以下条件也必须成立:
        • 您未被任何数据保护规则阻止访问该连接。
        • 连接详细信息中的用户名有权访问数据源中的对象。

      有关详细信息,请参阅For more information, see资源预览

    • 使用数据保护规则来屏蔽列中的数据或过滤虚拟表的行。 使用数据屏蔽规则来掩饰原始数据。 根据数据屏蔽的方法,数据将进行编辑、替换或模糊处理。 请参阅 使用数据保护规则屏蔽数据 以获取详细信息。

      锁定图标 (锁定图标 ) 表示该列中的数据受到数据保护规则的屏蔽。

      数据屏蔽在Data Virtualization中具有一定的局限性。 请参阅屏蔽虚拟数据

    注:

    缺省情况下,在目录中创建资产的用户是资产所有者。 目录资产所有者不受数据保护规则的约束,但须遵守Data Virtualization访问控制。 如果访问虚拟对象的用户也是IBM Knowledge Catalog中相应资产的所有者,则在IBM Knowledge Catalog中为该用户定义的数据保护规则和策略不会在Data Virtualization中执行。

    将虚拟对象添加到目录时,如果您至少有一个屏蔽或行过滤数据保护规则或基于数据类的数据保护规则,那么将拒绝对其进行访问,直到其数据类的概要分析和分配完成为止。

    Data Virtualization连接中指定的用户名也必须经授权才能在Data Virtualization中访问对象,除非数据屏蔽规则适用于资产和预览用户。

Generative AI search and answer
These answers are generated by a large language model in watsonx.ai based on content from the product documentation. Learn more