Regole di protezione dei dati nella Data Virtualization | IBM Cloud Pak for Data as a Service

Torna alla versione inglese della documentazione

Gestione dei dati virtuali con regole di protezione dei dati nella Data Virtualization

Ultimo aggiornamento: 26 nov 2024

Regole di protezione dei dati nella Data Virtualization

È possibile gestire i dati virtuali definendo le regole di protezione dei dati.

Prima di iniziare

Queste istruzioni presuppongono che siano stati completati i seguenti prerequisiti.

Creato norme sulla protezione dei dati in IBM Knowledge Catalog. Per ulteriori informazioni, vedi Gestione delle regole di protezione dei dati.
Attivate l'applicazione dei criteri in Data Virtualization se volete forzare l'uso delle regole di protezione dei dati. Per ulteriori informazioni, consultare Abilitazione dell'applicazione della politica.
Pubblicati e annotati gli oggetti che si desidera siano soggetti a regole di protezione dati in un catalogo gestito. Per ulteriori informazioni, vedere Pubblicazione di dati virtuali nel catalogo in Data Virtualization.
Importante:
- Data Virtualization applica le regole di protezione dei dati solo se la risorsa di dati è catalogata in un catalogo con l'opzione Applica regole di protezione dei dati attivata.
  
  Per ulteriori informazioni, consultare Modifica delle impostazioni del catalogo.

Informazioni su questa attività

Le regole di protezione dei dati specificano quali dati controllare, ad esempio negando l'accesso o mascherando i dati. È possibile aggiungere regole di protezione dei dati ai criteri e applicare questi criteri in Data Virtualization.

È possibile utilizzare i seguenti tipi di regole di protezione dei dati:

Negazione di accesso

Il rifiuto di accesso impedisce agli utenti di accedere a tutti i dati di un asset Data Virtualization. Ad esempio, se lo steward dei dati non desidera esporre l'intero asset a un utente, può definire questa regola con una condizione che corrisponde al nome utente.

Data masking

Il mascheramento dei dati viene utilizzato per nascondere i dati sensibili ma consente comunque agli utenti di utilizzare l'asset. Esistono tre tipi di regole di mascheramento dati: redatta, sostitutiva e offuscata. L'utente può decidere di attivare una di queste regole in base a come utilizzare i dati nell'applicazione upstream.

La redazione sostituisce tutti o un sottoinsieme di caratteri in una cella di dati.
Sostituisci sostituisce i dati con gli hash salati dei valori originali. Questo metodo è il più probabile per mantenere l'integrità referenziale.
L'offuscamento sostituisce i dati con valori formattati simili ai dati originali.

Filtro a livello di riga

È possibile creare regole di protezione dati per includere o escludere righe nei dati virtualizzati per limitare le righe che gli utenti possono visualizzare. Ad esempio, è possibile definire una regola in modo che i dipendenti possano vedere i dati del cliente associati solo al proprio reparto.

È possibile applicare i criteri di filtro per includere o escludere le righe.

Non è possibile applicare direttamente le regole di mascheramento dati e filtro riga alle viste. Le serie di risultati di una vista vengono mascherate in base alle regole di protezione dati che si applicano agli oggetti a cui fa riferimento la vista. È possibile filtrare le righe o mascherare i dettagli identificativi dalle tabelle a cui si fa riferimento nella definizione della vista.

L'accesso alle tabelle a cui si fa riferimento nelle espressioni filtro a livello di riga non viene valutato, incluso il mascheramento dei dati.

Le regole di filtraggio delle righe che si applicano alle risorse Data Virtualization e fanno riferimento ad altre risorse devono fare riferimento solo alle risorse Data Virtualization. Se si esegue una query su un oggetto e le regole di filtraggio delle righe fanno riferimento a risorse che non sono risorse di Data Virtualization, la query fallisce con il seguente errore:

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

È possibile confermare la causa dell'errore eseguendo la seguente query:

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

Per ulteriori informazioni, consultare Filtro delle righe nelle regole di protezione dati.

Importante:

Il controllo dell'accesso Data Virtualization non viene applicato quando la mascheratura dei dati o il filtraggio a livello di riga si applicano all'anteprima nei servizi " Watson (diversi dalla Data Virtualization). I controlli di accesso interni Data Virtualization, controllati tramite Gestione accessi nell'interfaccia utente di Data Virtualization, non si applicano all'anteprima degli altri servizi 'Watson con mascheramento o filtraggio a livello di riga. È necessario definire le regole per gestire l'accesso ai cataloghi, ai progetti, alle risorse di dati o alle connessioni per il controllo degli accessi negli altri servizi 'Watson.

Quando si pubblicano gli asset di dati virtualizzati in un catalogo, questi vengono trattati come qualsiasi altro asset di dati e sono soggetti a regole di protezione dei dati. Le regole di protezione dati possono negare o mascherare l'accesso agli asset in base a criteri che possono includere risorse utente di governance, come i termini di business e le classi di dati.

Procedura

Per gestire i propri dati virtuali con regole di protezione dei dati:

Virtualizzare i dati e pubblicarli in un catalogo gestito.
Per ulteriori informazioni, vedere Pubblicazione di dati virtuali nel catalogo in Data Virtualization.
Il profilo di questi dati viene creato automaticamente se è configurato nelle impostazioni del catalogo. Il profilo di un asset di dati del catalogo include i metadati generati e le statistiche sul contenuto testuale dei dati. La creazione profili assegna automaticamente le classi di dati alle colonne della tabella. Vedere Profili.
Gestire i dati virtuali nel catalogo:
- Assegna classi di dati, termini aziendali e tag creati IBM Knowledge Catalog alle tue tabelle e colonne virtuali. Vedere Gestione delle condizioni commerciali per dettagli su come gestire e creare termini commerciali in IBM Knowledge Catalog.
- Utilizzare le regole di protezione dati per consentire o negare l'accesso a una tabella virtuale. Gli utenti di Data Virtualization possono vedere la tabella virtuale, ma non possono visualizzarne in anteprima il contenuto o eseguire azioni sulla tabella o sulle sue colonne quando una regola di negazione si applica alla risorsa dati. Vedere Gestire le norme sulla protezione dei dati per dettagli su come creare regole di protezione dei dati in IBM Knowledge Catalog.
  Un'icona di blocco ( ) al nome della tabella nel file Dati virtualizzati pagina indica che l'accesso ai dati nella tabella è negato da una regola di protezione dei dati. Un'icona di blocco ( ) potrebbe essere visualizzato anche quando una risorsa nel catalogo non è stata profilata ed è in attesa di assegnazione della classe dati.
  
  Per accedere alle viste, queste condizioni devono essere soddisfatte.
  - Si dispone delle autorizzazioni richieste per accedere alle visualizzazioni.
  - Il creatore della vista dispone delle autorizzazioni richieste per accedere agli oggetti a cui fa riferimento la vista.
- Per visualizzare l'anteprima di un asset in un catalogo, queste condizioni devono essere soddisfatte.
  - L'utente non è bloccato da alcuna regola di protezione dei dati. Se si è il proprietario dell'asset, non è possibile essere bloccati dalle regole di protezione dei dati.
  - Se all'asset è associata una connessione, queste condizioni devono essere anche true:
    - L'accesso alla connessione non è bloccato da alcuna regola di protezione dei dati.
    - Il nome utente nei dettagli di collegamento ha accesso all'oggetto nell'origine dati.
  Per ulteriori informazioni, vedere Anteprime delle risorse.
- Utilizzare una regola di protezione dati per mascherare i dati nelle colonne o filtrare le righe di una tabella virtuale. Utilizzare le regole di data masking per mascherare i dati originali. A seconda del metodo di mascheramento dei dati, i dati vengono redatti, sostituiti o offuscati. Per i dettagli, consultare Masking data with data protection rules .
  Un'icona di blocco ( ) accanto al nome della colonna indica che i dati nella colonna sono mascherati da una regola di protezione dei dati.
  
  La mascheratura dei dati presenta alcune limitazioni nella Data Virtualization. Vedere Mascheramento dei dati virtuali.
Nota:
Per impostazione predefinita, l'utente che ha creato l'asset nel catalogo è il proprietario dell'asset. I proprietari degli asset del catalogo sono esenti dalle regole di protezione dei dati, ma sono soggetti al controllo degli accessi Data Virtualization. Se l'utente che accede a un oggetto virtuale è anche il proprietario dell'asset corrispondente in IBM Knowledge Catalog, le regole e i criteri di protezione dei dati definiti per quell'utente in IBM Knowledge Catalog non vengono applicati in Data Virtualization.

Quando un oggetto virtuale viene aggiunto a un catalogo e si dispone di almeno una regola di protezione dati di mascheramento o filtro riga o una regola di protezione dati basata su una classe di dati, l'accesso ad essa verrà negato fino a quando non viene completata la creazione del profilo e l'assegnazione delle classi di dati.

Il nome utente specificato nella connessione a Data Virtualization deve essere autorizzato ad accedere all'oggetto in Data Virtualization, a meno che non si applichi una regola di mascheramento dei dati all'asset e all'utente di anteprima.