Datenschutzregeln bei der Data Virtualization | IBM Cloud Pak for Data as a Service

Zurück zur englischen Version der Dokumentation

Verwaltung virtueller Daten mit Datenschutzregeln in der Data Virtualization

Letzte Aktualisierung: 26. Nov. 2024

Datenschutzregeln bei der Data Virtualization

Sie können Ihre virtuellen Daten im Rahmen der Datengovernance verwalten, indem Sie Datenschutzregeln definieren.

Vorbereitende Schritte

Diese Anweisungen setzen voraus, dass Sie die folgenden Voraussetzungen erfüllt haben.

Erstellte Datenschutzregeln in IBM Knowledge Catalog. Weitere Informationen finden Sie unter Datenschutzregeln verwalten.
Aktivieren Sie die Richtliniendurchsetzung in der Data Virtualization, wenn Sie die Verwendung von Datenschutzregeln erzwingen möchten. Weitere Informationen finden Sie unter Richtliniendurchsetzung aktivieren.
Veröffentlichte und annotierte Objekte, für die Datenschutzregeln gelten sollen, in einem regulierten Katalog. Weitere Informationen finden Sie unter Veröffentlichen von virtuellen Daten im Katalog unter Data Virtualization.
Wichtig:
- Data Virtualization setzt Datenschutzregeln nur dann durch, wenn das Daten-Asset in einem Katalog katalogisiert ist, in dem die Option Datenschutzregeln durchsetzen aktiviert ist.
  
  Weitere Informationen finden Sie unter Katalogeinstellungen ändern.

Informationen zu dieser Task

Datenschutzregeln geben an, welche Daten gesteuert werden sollen (z. B. durchVerweigern des Zugriffs oder durch Datenmaskierung). Sie können Datenschutzregeln zu Richtlinien hinzufügen und diese Richtlinien in der Data Virtualization durchsetzen.

Sie können die folgenden Datenschutzregeln verwenden:

Verweigerung des Zugriffs

Zugriffsverweigerung verhindert, dass Benutzer auf alle Daten eines Data Virtualization zugreifen können. Wenn der Data-Steward beispielsweise nicht das gesamte Asset einem Benutzer zugänglich machen möchte, kann er diese Regel mit einer Bedingung definieren, die dem Benutzernamen entspricht.

Datenmaskierung

Die Datenmaskierung wird verwendet, um vertrauliche Daten zu verbergen, aber dennoch Benutzern die Verwendung des Assets zu ermöglichen. Es gibt drei Typen von Datenmaskierungsregeln: redigieren, ersetzen und verschleiern. Der Benutzer kann entscheiden, ob eine dieser Regeln auf der Basis der Verwendung der Daten in der vorgeordneten Anwendung aktiviert werden soll.

Die Neubearbeitung ersetzt alle oder eine Untergruppe von Zeichen in einer Datenzelle.
Daten werden durch die Salted-Hashes der ursprünglichen Werte ersetzt. Diese Methode ist am wahrscheinlichsten, um referenzielle Integrität zu erhalten.
Verschleiern ersetzt Daten mit formatierten Werten, die den ursprünglichen Daten ähneln.

Filterung auf Zeilenebene

Sie können Datenschutzregeln erstellen, um Zeilen in Ihren virtualisierten Daten ein-oder auszuschließen, um die Zeilen zu begrenzen, die Benutzer anzeigen können. Sie können beispielsweise eine Regel definieren, damit Mitarbeiter Kundendaten anzeigen können, die nur ihrer Abteilung zugeordnet sind.

Sie können Filterkriterien anwenden, um Zeilen ein-oder auszuschließen.

Sie können Datenmaskierungs-und Zeilenfilterregeln nicht direkt auf Ansichten anwenden. Die Ergebnismengen einer Ansicht werden gemäß den Datenschutzregeln maskiert, die für die Objekte gelten, auf die die Ansicht verweist. Sie können Zeilen filtern oder identifizierende Details aus Tabellen maskieren, auf die in der Sichtdefinition verwiesen wird.

Der Zugriff auf die Tabellen, auf die in den Filterausdrücken auf Zeilenebene verwiesen wird, wird nicht ausgewertet, einschließlich der Datenmaskierung.

Zeilenfilterregeln, die für Data Virtualization gelten und auf andere Assets verweisen, dürfen nur auf Data Virtualization verweisen. Wenn Sie ein Objekt abfragen und die Zeilenfilterregeln auf Assets verweisen, die keine Data Virtualization sind, schlägt die Abfrage mit dem folgenden Fehler fehl:

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

Sie können die Ursache des Fehlers mit der folgenden Abfrage bestätigen:

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

Weitere Informationen finden Sie unter Zeilen in Datenschutzregeln filtern.

Wichtig:

Die Zugriffskontrolle für die Data Virtualization wird nicht angewendet, wenn die Datenmaskierung oder das Filtern auf Zeilenebene für die Vorschau in " Watson -Diensten (außer Data Virtualization) gilt. Die internen Zugriffskontrollen der Data Virtualization, die über Zugriff verwalten in der Benutzeroberfläche Data Virtualization gesteuert werden, gelten nicht für die Vorschau der anderen " Watson ienste mit Maskierung oder Filterung auf Zeilenebene. Sie müssen Ihre Regeln zur Verwaltung des Zugriffs auf Kataloge, Projekte, Datenbestände oder Verbindungen für die Zugriffskontrolle in den anderen ' Watson -Diensten definieren.

Wenn Sie virtualisierte Datenassets in einem Katalog veröffentlichen,werden diese wie alle anderen Datenassets behandelt und unterliegen Datenschutzregeln. Datenschutzregeln können verwendet werden, um den Zugriffauf Assets zu verweigern oder zu maskieren (auf der Basis von Kriterien, die Governanceartefakte wie Geschäftsbegriffeund Datenklassen beinhalten können).

Prozedur

Gehen Sie wie folgt vor, um Ihre virtuellen Daten mit Datenschutzregeln zu regulieren:

Virtualisieren Sie Ihre Daten und veröffentlichen Sie sie in einem regulierten Katalog.
Weitere Informationen finden Sie unter Veröffentlichen von virtuellen Daten im Katalog unter Data Virtualization.
Für diese Daten wird automatisch ein Profil erstellt, wenn sie in den Katalogeinstellungen konfiguriert sind. Das Profil einer Katalogdatenressource enthält generierte Metadaten und Statistikdaten zum Textinhalt der Daten. Bei der Profilerstellung werden Datenklassen automatisch Tabellenspalten zugeordnet. Siehe Profile.
Regulieren Sie Ihre virtuellen Daten im Katalog:
- Zuweisen von Datenklassen, Geschäftsbegriffen und Tags, die in IBM Knowledge Catalog zu Ihren virtuellen Tabellen und Spalten. Sehen Verwalten von Geschäftsbedingungen für Details zum Verwalten und Erstellen von Geschäftsbedingungen in IBM Knowledge Catalog.
- Verwenden Sie Datenschutzregeln, um den Zugriff auf eine virtuelle Tabelle zuzulassen oder zu verweigern. Benutzer Data Virtualization können die virtuelle Tabelle sehen, aber keine Vorschau des Tabelleninhalts anzeigen oder Aktionen für die Tabelle oder ihre Spalten durchführen, wenn eine Verweigerungsregel für das Daten-Asset gilt. Sehen Verwalten von Datenschutzregeln für Details zum Erstellen von Datenschutzregeln in IBM Knowledge Catalog.
  Ein Schlosssymbol ( ) zum Tabellennamen auf der Virtualisierte Daten Seite zeigt an, dass der Zugriff auf die Daten in der Tabelle durch eine Datenschutzregel verweigert wird. Ein Schlosssymbol ( ) kann auch angezeigt werden, wenn für ein Asset im Katalog kein Profil erstellt wurde und die Zuweisung einer Datenklasse aussteht.
  
  Um auf Ansichten zuzugreifen, müssen diese Bedingungen erfüllt sein.
  - Sie verfügen über die erforderlichen Zugriffsberechtigungen für Ansichten
  - Der Ersteller der Ansicht verfügt über die erforderlichen Zugriffsberechtigungen für die in der Ansichtreferenzierten Objekte
- Um eine Assetvorschau in einem Katalog anzeigen zu können, müssen diese Bedingungen erfüllt sein.
  - Der Zugriff wird nicht durch Datenschutzregeln verhindert. Wenn Sie der Asseteigner sind, kannder Zugriff nicht durch Datenschutzregeln verhindert werden.
  - Wenn eine Verbindung für das Asset zugeordnet ist, müssen außerdem die folgenden Bedingungen erfüllt sein:
    - Der Zugriff auf die Verbindung wird nicht durch Datenschutzregeln verhindert.
    - Der in den Verbindungsdetails angegebene Benutzername hat Zugriff auf das Objekt in der Datenquelle.
  Weitere Informationen finden Sie unter Assetvorschauen.
- Verwenden Sie eine Datenschutzregel, um Daten in Spalten zu maskieren oder Zeilen einer virtuellen Tabelle zu filtern. Verwenden Sie Datenmaskierungsregeln, um die ursprünglichen Daten zu verbergen. Daten werden abhängig von der Methode der Datenmaskierung redigiert, ersetzt oder verschleiert. Ausführliche Informationen finden Sie unter Daten mit Datenschutzregeln maskieren.
  Ein Schlosssymbol ( ) neben dem Spaltennamen zeigt an, dass die Daten in der Spalte durch eine Datenschutzregel maskiert sind.
  
  Die Datenmaskierung unterliegt bei der Data Virtualization gewissen Einschränkungen. Siehe Virtuelle Daten maskieren.
Hinweis:
Der Benutzer, von dem das Asset im Katalog erstellt wurde, ist standardmäßig der Asseteigner. Die Eigentümer von Katalogbeständen sind von den Datenschutzbestimmungen ausgenommen, unterliegen aber der Zugriffskontrolle Data Virtualization. Wenn der Benutzer, der auf ein virtuelles Objekt zugreift, auch der Eigentümer des entsprechenden Assets in IBM Knowledge Catalog ist, werden die Datenschutzregeln und -richtlinien, die für diesen Benutzer in IBM Knowledge Catalog definiert wurden, in Data Virtualization nicht durchgesetzt.

Wenn ein virtuelles Objekt zu einem Katalog hinzugefügt wird und Sie mindestens eine Datenschutzregel für Maskierung oder Zeilenfilterung oder eine auf einer Datenklasse basierende Datenschutzregel haben, wird der Zugriff darauf verweigert, bis die Profilerstellung und Zuordnung von Datenklassen abgeschlossen ist.

Der in der Data Virtualization angegebene Benutzername muss auch für den Zugriff auf das Objekt in der Data Virtualization berechtigt sein, es sei denn, es gilt eine Datenmaskierungsregel für das Asset und den Benutzer der Vorschau.