Docs
...
Governing virtual data with data protection rules

Regulación de los datos virtuales con normas de protección de datos en la Data Virtualization

Última actualización: 21 mar 2025
Normas de protección de datos en la Data Virtualization

Puede gobernar los datos virtuales definiendo reglas de protección de datos.

Antes de empezar

Estas instrucciones asumen que ha completado los siguientes requisitos previos:

Acerca de esta tarea

Las normas de protección de datos especifican qué datos controlar permitiendo o denegando el acceso, enmascarando datos o filtrando filas en datos virtualizados.

Cuando publica activos de datos virtualizados en un catálogo, estos quedan sujetos a las normas de protección de datos definidas.

Cuando IBM Knowledge Catalog se instala en la misma instancia de Cloud Pak for Data que Data Virtualization, la aplicación de las normas de protección de datos de IBM Knowledge Catalog siempre está habilitada.

Puede utilizar los siguientes tipos de normas de protección de datos en Data Virtualization :

Nota : Db2 evalúa y aplica las autorizaciones (Permitir o Denegar) por separado de RCAC (máscaras de columna y filtros de fila), mientras que IBM Knowledge Catalog evalúa todas las normas de protección de datos aplicables (incluidas tanto las autorizaciones como RCAC) para llegar a una única decisión. Por ejemplo, si se aplica una regla de enmascaramiento de columnas o filtrado de filas de " IBM Knowledge Catalog " además de una regla de autorización de "Deny", entonces " IBM Knowledge Catalog " deniega la autorización bajo la prioridad de acción de la regla "Most secure action wins". Esto significa que la Data Virtualization solicitud de autorización será denegada, y RCAC no cederá ni aplicará máscaras de columna o filtros de fila.
Enmascaramiento de datos
El enmascaramiento de datos se utiliza para ocultar datos confidenciales, pero permite a los usuarios utilizar el activo.
Para obtener más información, consulte Ocultar datos virtuales en Data Virtualization.
Filtrado a nivel de fila

Puede crear reglas de protección de datos para incluir o excluir filas en los datos virtualizados para limitar las filas que los usuarios pueden ver. Por ejemplo, puede definir una regla para que los empleados puedan ver los datos de cliente que están asociados sólo a su departamento.

Para obtener más información, consulte Filtrado a nivel de fila en Data Virtualization.

Vea el siguiente vídeo para obtener una visión general del control de acceso en la gobernanza y la protección de datos en Data Virtualization.

Este vídeo ofrece un método visual para aprender los conceptos y tareas de esta documentación.

IBM Knowledge Catalog DPR y Data Virtualization CONCESIONES

Data Virtualization determina si tiene acceso a un objeto a través de comprobaciones de autorización de acceso a recursos generales ( Db2 , GRANT) y reglas de protección de datos de recursos generales ( IBM Knowledge Catalog , GRDR). IBM Knowledge Catalog Los DPR restringen el acceso a los objetos gobernados que se publican en un catálogo gobernado.

El siguiente diagrama ilustra este proceso: Si la aplicación de las DPR ( IBM Knowledge Catalog ) está habilitada en Data Virtualization, se evalúan en relación con los activos del catálogo de IBM Knowledge Catalog para determinar su autorización para acceder a los objetos. Si se le concede autoridad sobre los objetos, Data Virtualization realiza comprobaciones de autorización de Db2 s para confirmar su acceso. Solo puede acceder a los objetos si está autorizado en ambos casos.

Diagrama que ilustra cómo los DPR de IBM Knowledge Catalog restringen aún más el acceso a los objetos gobernados antes de evaluar el objeto en función de IBM Knowledge Catalog y comprobar la autorización de Db2. Si los DPR (Registros de Preferencias de Usuario) de IBM Knowledge Catalog no están habilitados, se comprueba a continuación la autorización de Db2 en lugar de evaluar el objeto con respecto a IBM Knowledge Catalog.

Para obtener más información sobre la gestión del acceso de los usuarios, consulte Gestión del acceso a objetos virtuales en Data Virtualization.

Para obtener más información sobre las comprobaciones de autorización de e Db2 , consulte Modelo de autorización para vistas.

Data Virtualization definiciones de fuentes de datos (DSD)
Una definición de fuente de datos (DSD) es un identificador único y estable para las conexiones en todos los catálogos y proyectos que se conectan a su instancia particular Data Virtualization instancia.
Data Virtualization aplica las DPR ( IBM Knowledge Catalog ) en cada objeto (a Data Virtualization nivel) que esté asociado con el DSD para su Data Virtualization ejemplo, garantizando que los DPR se apliquen de manera coherente, independientemente de cómo se acceda a sus objetos en Cloud Pak for Data.
Se crea automáticamente un DSD para su Data Virtualization instancia en Catálogos > Platform assets catalog cuando actualiza o aprovisiona una Data Virtualization instancia.
Para obtener más información, consulte Protección de datos con definiciones de fuentes de datos.
Nota : Si crea una conexión a su Data Virtualization instancia en Cloud Pak for Data con un nombre de host y un puerto que no formen parte de su DSD, añada ese nombre de host y puerto como puntos finales a su DSD.

Para obtener más información, consulte Adición de puntos finales a una definición de origen de datos nueva o existente.

El siguiente diagrama ilustra las relaciones entre las entidades clave que participan en la gestión de datos en Data Virtualization :
  • Data Virtualization Instancia identificada por su ID de instancia.
  • Definición de fuente de datos (DSD): Las DSD se generan automáticamente cuando se crea la Data Virtualization instancia. Los DSD almacenan los puntos finales (hosts, puertos e ID de instancia) de su Data Virtualization instancia, y el método de protección que debe aplicarse a los activos de datos de esta Data Virtualization instancia (como el filtrado a nivel de fila y el enmascaramiento de datos).
  • Conexión con Data Virtualization : Conexiones desde catálogos y proyectos a su Data Virtualization instancia.
  • Activo de datos de catálogo/proyecto: Metadatos que representan objetos (como tablas y vistas) en su Data Virtualization instancia.Diagrama que ilustra las relaciones entre las entidades clave que participan en la gestión de datos

Procedimiento

Para el gobierno de datos virtuales con reglas de protección de datos:

  1. Virtualice los datos y publíquelos en un catálogo gobernado.
    Si tiene los Data Virtualization Funciones de administrador o ingeniero, cuando virtualiza datos mediante la Data Virtualization consola, sus datos virtuales se publican en un catálogo gobernado automáticamente si ha aplicado la publicación en un catálogo. De lo contrario, puede elegir un catálogo para publicar los datos virtuales en. Para más detalles, consulte Publicación de datos virtuales en el catálogo en Data Virtualization.

    Estos datos se perfilan automáticamente si están configurados en los valores del catálogo. El perfil de un activo de datos de catálogo incluye clases de datos y estadísticas basadas en el muestreo de los datos. El perfilado asigna automáticamente clases de datos a columnas de tabla. Consulte Perfiles.

  2. Gobierne sus datos virtuales en el catálogo:
    • Asigne clases de datos, términos comerciales y etiquetas creadas en IBM Knowledge Catalog a sus tablas y columnas virtuales. Para obtener más información sobre cómo asignar y gestionar términos comerciales en IBM Knowledge Catalog, consulte Editar propiedades de activos en un catálogo ( IBM Knowledge Catalog ) y Gestionar el enriquecimiento de metadatos.
    • Utilizar las normas de protección de datos para permitir o denegar el acceso a una mesa virtual. Data Virtualization los usuarios pueden ver la tabla virtual, pero no pueden previsualizar el contenido de la tabla ni realizar ninguna acción en la tabla o sus columnas cuando se aplica una regla de denegación al activo de datos.

      Un icono de candado (Icono de bloqueo) junto al nombre de la tabla en la página de datos virtualizados indica que el acceso a los datos de la tabla está denegado por una regla de protección de datos. También puede aparecer un icono de candado (Icono de bloqueo) cuando un activo del catálogo no se ha perfilado y está pendiente de asignación de clase de datos.

      Para acceder a las vistas, deben cumplirse estas condiciones.

      • Tener los permisos necesarios para acceder a las vistas.
      • El creador de la vista debe tener los permisos necesarios para acceder a los objetos a los que se hace referencia en la vista.
    • Para ver una vista previa de activos en un catálogo, deben cumplirse estas condiciones.
      • No estar bloqueado por ninguna regla de protección de datos. Si es el propietario del activo, no puede estar bloqueado por ninguna regla de protección de datos.
      • Si el activo tiene una conexión asociada, también se deben cumplir estas condiciones:
        • No tener bloqueado el acceso a la conexión por ninguna regla de protección de datos.
        • El nombre de usuario que aparece en los detalles de conexión debe tener acceso al objeto en el origen de datos.

      Para obtener más información, consulte Vistas previas de activos.

    • Utilice una regla de protección de datos para enmascarar datos en columnas o filtrar filas de una tabla virtual. Utilice las reglas de enmascaramiento de datos para enmascarar los datos originales. En función del método de enmascaramiento de datos, los datos se redactan, se sustituyen o se oscurecen. Para obtener más información, consulte Ocultar datos virtuales en Data Virtualization.

      Un icono de candado (Icono de bloqueo) junto al nombre de la columna indica que los datos de la columna están ocultos por una regla de protección de datos.

    Nota:

    De forma predeterminada, el usuario que ha creado el activo en el catálogo es el propietario del activo. Los propietarios de activos del catálogo están exentos de las normas de protección de datos, pero están sujetos al control de acceso de la Oficina de Seguridad Nacional ( Data Virtualization ). Si el usuario que accede a un objeto virtual es también el propietario del activo correspondiente en IBM Knowledge Catalog, las normas y políticas de protección de datos que se definen para ese usuario en IBM Knowledge Catalog no se aplican en Data Virtualization. Consulte Ocultar datos con políticas para obtener más información.

    Cuando se añade un objeto virtual a un catálogo y tiene al menos una regla de protección de datos de filtrado de filas o enmascaramiento o una regla de protección de datos basada en una clase de datos, se denegará el acceso al mismo hasta que se complete su creación de perfiles y asignación de clases de datos.

    El nombre de usuario especificado en la conexión Data Virtualization también debe estar autorizado para acceder al objeto en Data Virtualization, a menos que se aplique una regla de enmascaramiento de datos al activo y al usuario que realiza la vista previa.