Data Virtualizationにおけるデータ保護ルールによる仮想データの管理
データ保護ルールを定義することにより、仮想データを管理できます。
始める前に
- IBM Knowledge Catalog でデータ保護ルールを作成しました。 詳細は、「データ保護ルールの管理 」を参照してください。
- データ保護ルール用のキャッシュ設定を構成した。 詳細については、 データ保護ルールにおけるPEPキャッシュ設定の構成 Data Virtualization をご覧ください。
- データ保護ルールを適用したいオブジェクトを管理されたカタログに発行し、注釈を付けました。 詳細については、 仮想データをカタログに公開する Data Virtualization をご覧ください。
このタスクについて
仮想化されたデータ資産をカタログに公開すると、定義されたデータ保護ルールに従うことになります。
IBM Knowledge Catalog Data Virtualization が と同じインスタンスにインストールされている場合、 のデータ保護ルールの適用は常に有効になります。 Cloud Pak for Data IBM Knowledge Catalog
Data Virtualization では、以下の種類のデータ保護ルールを使用できます
- データ・マスキング
- データ・マスキングは機密データを非表示にするために使用されますが、ユーザーは資産を使用することができます。
- 行レベルのフィルタリング
データ保護ルールを作成して、仮想化データに行を含めたり除外したりして、ユーザーが表示できる行を制限することができます。 例えば、従業員が自分の部門に関連付けられている顧客データのみを表示できるようにルールを定義できます。
詳細については、 行レベルでのフィルタリング Data Virtualization をご覧ください。
ガバナンスにおけるアクセス制御とデータ保護の概要については、次のビデオをご覧ください。 Data Virtualization。
このビデオでは、このドキュメントのコンセプトとタスクを視覚的に学習する方法を提供しています。
- IBM Knowledge Catalog DPRsおよび GRANTs Data Virtualization
Data Virtualization Db2 認証チェック(または GRANT)と データ保護ルール(DPR)を通じて、オブジェクトへのアクセス権があるかどうかを決定します。 IBM Knowledge Catalog IBM Knowledge Catalog DPMは、ガバナンス対象カタログに公開されたガバナンス対象オブジェクトへのアクセスを制限します。
次の図はこのプロセスを示しています。 IBM Knowledge Catalog DPRの強制が Data Virtualization で有効になっている場合、それらは IBM Knowledge Catalog カタログ資産に対して評価され、オブジェクトへのアクセス権限が決定されます。 オブジェクトへの権限が付与されている場合、 Data Virtualization は Db2 の認証チェックを行い、お客様のアクセスを確認します。 いずれの場合も認証されていれば、オブジェクトにアクセスできます。
- Data Virtualizationデータ・ソース定義 (DSD)
- データ・ソース定義 (DSD)は、特定の Data Virtualization インスタンスに接続するすべてのカタログとプロジェクトにわたる接続のための一意で安定した識別子です。
- 注: Cloud Pak for Data 上の インスタンスに、DSD に含まれないホスト名とポートを使用して接続を作成した場合、そのホスト名とポートを DSD のエンドポイントとして追加します。 Data Virtualization
詳細については、 新しいまたは既存データ・ソース定義エンドポイントを追加する をご覧ください。
次の図は、 Data Virtualization におけるデータの管理に関わる主要エンティティ間の関係を示しています- Data Virtualization インスタンスIDで識別されるインスタンス。
- データ・ソース定義 (DSD):DSDは、 Data Virtualization インスタンスを作成すると自動的に生成されます。 DSDは、 Data Virtualization インスタンスのエンドポイント(ホスト、ポート、インスタンスID)と、この Data Virtualization インスタンスデータ資産に適用すべき保護方法(行レベルのフィルタリングやデータマスキングなど)を保存します。
- Data Virtualization への接続:カタログやプロジェクトからお客様の Data Virtualization インスタンスへの接続。
- カタログ/プロジェクトデータ資産 : Data Virtualization インスタンス内のオブジェクト(テーブルやビューなど)を表すメタデータ。
手順
データ保護ルールを使用して仮想データを管理するには、以下のようにします。
- カタログの仮想データを管理します。
- IBM Knowledge Catalog で作成されたデータクラス、ビジネス用語、タグを、仮想テーブルおよび仮想カラムに割り当てます。 IBM Knowledge Catalog におけるビジネス用語の割り当てと管理方法の詳細については、 カタログ内の資産プロパティの編集 (IBM Knowledge Catalog) および メタデータの拡充管理 をご覧ください。
- データ保護ルールを使用して、仮想テーブルへのアクセスを許可または拒否します。 Data Virtualization ユーザーは仮想テーブルを見ることはできますが、 データ資産拒否ルールが適用されている場合、テーブルの内容をプレビューしたり、テーブルやその列に対して何らかの操作を行うことはできません。
仮想化データページのテーブル名に表示される鍵のアイコン(
)は、データ保護ルールによってテーブル内のデータへのアクセスが拒否されていることを示します。 また、カタログ内の資産がプロファイル化されておらず、データクラスの割り当てが保留中の場合にも、鍵のアイコン( )が表示されることがあります。ビューにアクセスするには、これらの条件が満たされている必要があります。
- ビューにアクセスするための必要な権限がある。
- ビューの作成者に、ビューで参照されるオブジェクトにアクセスするための必要な権限がある。
- カタログの資産プレビューを表示するには、これらの条件を満たす必要があります。
- 当該ユーザーがデータ保護ルールでブロックされていない。 資産の所有者であれば、データ保護ルールでブロックされることはありません。
- 資産に接続が関連付けられている場合は、さらに以下の条件を満たしている必要があります。
- 当該ユーザーがデータ保護ルールによって接続へのアクセスをブロックされていない。
- 接続の詳細に含まれているユーザー名が、データ・ソースでオブジェクトにアクセスできる。
詳しくは、アセットのプレビューを参照してください。
- データ保護ルールを使用して、仮想テーブルの列のデータをマスクしたり、行をフィルタリングしたりします。 データ・マスキング・ルールを使用すると、元のデータを偽装させることができます。 データ・マスキングの方法に応じて、データは編集、置換、または難読化されます。 詳細については、 仮想データのマスキング Data Virtualization をご覧ください。
列名の隣に鍵のアイコン (
) が表示されている場合は、その列のデータがデータ保護ルールによってマスクされていることを示しています。
注:デフォルトでは、カタログで資産を作成したユーザーは資産所有者です。 カタログ資産所有者はデータ保護規則の適用対象外ですが、 Data Virtualization のアクセス制御の対象となります。 仮想オブジェクトにアクセスしているユーザーが、 IBM Knowledge Catalog 内の対応する資産の所有者でもある場合、 IBM Knowledge Catalog でそのユーザーに対して定義されているデータ保護規則およびポリシーは、 Data Virtualization では適用されません。 詳細は、「ポリシーによるデータのマスキング 」を参照してください。
仮想オブジェクトがカタログに追加され、少なくとも 1 つのマスキングまたは行フィルタリング・データ保護ルール、あるいはデータ・クラスに基づくデータ保護ルールがある場合、そのデータ・クラスのプロファイル作成および割り当てが完了するまで、そのオブジェクトへのアクセスは拒否されます。
Data Virtualization 接続で指定されたユーザー名は、データマスキングルールが資産とプレビューユーザーに適用されない限り、 Data Virtualization 内のオブジェクトへのアクセス権限も持っていなければなりません。