0 / 0
資料の 英語版 に戻る
Data Virtualizationにおけるデータ保護ルールによる仮想データの管理
最終更新: 2024年11月26日
Data Virtualizationにおけるデータ保護ルール

データ保護ルールを定義することにより、仮想データを管理できます。

始める前に

これらの手順は、以下の前提条件を満たしていることを前提としています。
  • データ保護ルールを作成したIBM Knowledge Catalog。 詳しくは、 データ保護ルールの管理を参照してください。
  • データ保護ルールを強制的に使用したい場合は、Data Virtualizationでポリシー強制を有効にする。 詳しくは、ポリシー適用の使用を参照してください。
  • 管理対象カタログに対して、データ保護ルールの対象にするオブジェクトを公開し、アノテーションを付けました。 詳細については、Data Virtualization化のカタログへの仮想データのパブリッシュを参照してください。
    重要:

    • Data Virtualizationは、Enforce data protection rulesオプションが有効になっているカタログにデータ資産がカタログ化されている場合にのみ、データ保護ルールを実施します。

      詳しくは、 カタログ設定の変更を参照してください。

このタスクについて

データ保護ルールでは、アクセスの拒否やデータのマスキングなどによって、制御するデータを指定します。 データData Virtualizationでは、ポリシーにデータ保護ルールを追加し、ポリシーを適用することができます。

以下のタイプのデータ保護ルールを使用できます。

アクセスの拒否
アクセス拒否は、ユーザーがData Virtualization資産のすべてのデータにアクセスできないようにします。 例えば、データ・スチュワードが資産全体を 1 人のユーザーに公開しない場合、ユーザー名に一致する条件を使用してこのルールを定義できます。
データ・マスキング
データ・マスキングは機密データを非表示にするために使用されますが、ユーザーは資産を使用することができます。 データ・マスキング・ルールには、編集、置換、難読化の 3 つのタイプがあります。 ユーザーは、アップストリーム・アプリケーションでのデータの使用方法に基づいて、これらのルールのいずれかを有効にすることを決定できます。
  • リダクションは、データ・セル内のすべてまたは一部の文字を置換します。
  • 置換により、データは元の値のハッシュで置き換えられます。 この方法は、参照整合性を維持する可能性が最も高い方法です。
  • 難読化は、元のデータと類似したフォーマット済みの値を持つデータが置き換えられます。
行レベルのフィルタリング

データ保護ルールを作成して、仮想化データに行を含めたり除外したりして、ユーザーが表示できる行を制限することができます。 例えば、従業員が自分の部門に関連付けられている顧客データのみを表示できるようにルールを定義できます。

フィルター基準を適用して、行を含めたり除外したりすることができます。

データ・マスキングおよび行フィルタリング・ルールをビューに直接適用することはできません。 ビューの結果セットは、そのビューによって参照されるオブジェクトに適用されるデータ保護規則に従ってマスクされます。 ビュー定義で参照されている表から、行またはマスク識別の詳細をフィルターに掛けることができます。

行レベルのフィルター式で参照される表へのアクセスは、データ・マスキングも含めて評価されません。

Data Virtualizationアセットに適用され、他のアセットを参照する行フィルタリングルールは、Data Virtualizationアセットのみを参照する必要があります。 オブジェクトにクエリを実行し、行のフィルタリングルールがData Virtualizationアセットでないアセットを参照している場合、クエリは次のエラーで失敗します:

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

以下の照会を実行して、エラーの原因を確認できます。

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

詳しくは、 データ保護ルールでの行のフィルタリングを参照してください。

重要:

Watsonサービス(Data Virtualization以外)のプレビューにデータマスキングまたは行レベルフィルタリングが適用されている場合、Data Virtualizationのアクセス制御は適用されない。 Data Virtualizationの内部アクセス制御は、Data VirtualizationUIのManage accessを使用して制御されますが、マスキングや行レベルのフィルタリングを使用した他の「Watsonサービスからのプレビューには適用されません。 他の'Watsonサービスでのアクセス制御のために、カタログ、プロジェクト、データ資産、または接続へのアクセスを管理するルールを定義する必要があります。

仮想化されたデータ資産をカタログに公開すると、それらの資産は他のデータ資産と同様に扱われ、データ保護ルールの対象となります。 データ保護ルールにより、基準に基づいて資産へのアクセスを拒否またはマスクできます。基準には、ビジネス用語やデータ・クラスなどのガバナンス成果物を含めることができます。

手順

データ保護ルールを使用して仮想データを管理するには、以下のようにします。

  1. データを仮想化して、管理対象カタログに公開します。
    詳細については、Data Virtualization化のカタログへの仮想データのパブリッシュを参照してください。

    このデータは、カタログ設定で構成されている場合、自動的にプロファイルが作成されます。 カタログ・データ資産のプロファイルには、データのテキスト・コンテンツに関して生成されたメタデータと統計情報が含まれます。 プロファイルは、データ・クラスをテーブル列に自動的に割り当てます。 プロファイルを参照してください。

  2. カタログの仮想データを管理します。
    • データクラス、ビジネス用語、タグを割り当てるIBM Knowledge Catalog仮想テーブルと列に追加します。 見るビジネス用語の管理ビジネス用語の管理と作成方法の詳細については、 IBM Knowledge Catalog
    • データ保護ルールを使用して、仮想表へのアクセスを許可または拒否します。 Data Virtualizationユーザーは仮想テーブルを見ることはできますが、データ資産に拒否ルールが適用されている場合、テーブルの内容をプレビューしたり、テーブルやそのカラムに対してアクションを実行したりすることはできません。 見るデータ保護ルールの管理データ保護ルールの作成方法の詳細については、 IBM Knowledge Catalog

      ロックアイコン(ロック・アイコン )をテーブル名に追加します。仮想化されたデータこのページは、テーブル内のデータへのアクセスがデータ保護ルールによって拒否されていることを示します。 ロックアイコン(ロック・アイコン ) は、カタログ内のアセットがプロファイリングされておらず、データ クラスの割り当てが保留中である場合にも表示されることがあります。

      ビューにアクセスするには、これらの条件が満たされている必要があります。

      • ビューにアクセスするための必要な権限がある。
      • ビューの作成者に、ビューで参照されるオブジェクトにアクセスするための必要な権限がある。
    • カタログの資産プレビューを表示するには、これらの条件を満たす必要があります。
      • 当該ユーザーがデータ保護ルールでブロックされていない。 資産の所有者であれば、データ保護ルールでブロックされることはありません。
      • 資産に接続が関連付けられている場合は、さらに以下の条件を満たしている必要があります。
        • 当該ユーザーがデータ保護ルールによって接続へのアクセスをブロックされていない。
        • 接続の詳細に含まれているユーザー名が、データ・ソースでオブジェクトにアクセスできる。

      詳しくは、アセットのプレビューを参照してください。

    • データ保護ルールを使用して、仮想表の列のデータをマスクしたり、行をフィルタリングしたりします。 データ・マスキング・ルールを使用すると、元のデータを偽装させることができます。 データ・マスキングの方法に応じて、データは編集、置換、または難読化されます。 詳細は データ保護ルールによるデータのマスキングを参照してください。

      ロックアイコン(ロック・アイコン列名の横にある ) は、列内のデータがデータ保護ルールによってマスクされていることを示します。

      データData Virtualizationでは、データマスキングには一定の限界がある。 仮想データのマスキングを参照してください。

    注:

    デフォルトでは、カタログで資産を作成したユーザーは資産所有者です。 カタログ資産所有者はデータ保護規則の対象外だが、Data Virtualizationアクセス制御の対象となる。 仮想オブジェクトにアクセスしているユーザーが、IBM Knowledge Catalogの対応するアセットの所有者でもある場合、IBM Knowledge Catalogでそのユーザーに対して定義されているデータ保護ルールとポリシーは、Data Virtualizationでは実施されません。

    仮想オブジェクトがカタログに追加され、少なくとも 1 つのマスキングまたは行フィルタリング・データ保護ルール、あるいはデータ・クラスに基づくデータ保護ルールがある場合、そのデータ・クラスのプロファイル作成および割り当てが完了するまで、そのオブジェクトへのアクセスは拒否されます。

    Data Virtualization接続で指定されたユーザー名は、'Data Virtualizationのオブジェクトへのアクセスも許可されている必要があります。

生成 AI の検索と回答
これらの回答は、製品資料の内容に基づいて、 watsonx.ai のラージ言語モデルによって生成されます。 詳細