Docs
...
EXT_AUTHORIZER_EXPLAIN stored procedure

EXT_AUTHORIZER_EXPLAIN ストアドプロシージャ Data Virtualization

最終更新: 2025年3月17日
EXT_AUTHORIZER_EXPLAIN ストアドプロシージャ Data Virtualization

IBM Knowledge Catalog データ保護規則の詳細については、 Data Virtualization の EXT_AUTHORIZER_EXPLAIN ストアドプロシージャを使用して、ユーザーの Data Virtualization オブジェクトに適用されるものについて確認してください。 スキーマは DVSYS です。

ユーザーの Data Virtualization オブジェクトに適用されるデータ保護規則に関する詳細情報を把握することで、機密情報が確実に保護されるよう支援することができます。

注: この手順は、 IBM Knowledge Catalog のデータ保護ルールのみに対して評価されます。 また、この手順ではビューはサポートされず、仮想テーブル(Db2 ニックネーム)、ネイティブ Db2 テーブル、およびMTQのみで動作します。 Data Virtualization がビューを承認する方法については、 ビューの認証モデル をご覧ください。

許可

EXT_AUTHORIZER_EXPLAIN の手順を実行するには、 Data Virtualization マネージャー である必要があります。 詳細については、 ユーザーの役割を管理する Data Virtualization をご覧ください。

入力パラメーター

SCHEMA_NAME
この必須パラメーターのタイプは VARCHAR (128) です。 評価対象のオブジェクトのスキーマを指定します。
OBJECT_NAME
この必須パラメーターのタイプは VARCHAR (128) です。 評価対象のオブジェクト名を指定します。
USERNAME
この必須パラメーターのタイプは VARCHAR (128) です。 オブジェクトを評価する対象となるユーザーの Data Virtualization ユーザーIDを指定します。

出力パラメーター

AUTHORIZER_EXPLAIN
このパラメーターのタイプは VARCHAR (32672) です。 JSON形式での評価結果の説明。

プロパティ名を出力する

出力で表示される可能性のある各プロパティ名の説明については、以下の表を参照してください。

プロパティー名 定義
asset_id

container 内のカタログ資産のIDで、データ保護規則に対する評価に使用されたメタデータ。
container

対象の評価に使用された資産、管理対象カタログのIDと名称。
evaluation_outcome

オブジェクトに適用される全体的な結果。次のいずれかが含まれる場合があります

  • 許可 : 評価の結果、オブジェクトへのアクセスが制限なく許可されます。

  • 拒否 :評価の結果、対象へのアクセスが拒否されます。

  • 変換 :列のマスキングまたは行のフィルタリングルールがオブジェクトに適用されます。
is_cached
このパラメータは、結果がローカルコピーから取得されるかどうかを決定します。

  • 本当: この評価の結果は、 Data Virtualization のインメモリキャッシュによって決定されます。 結果は、データ保護規則やカタログ内の資産に完全に最新の状態ではない可能性があります。 結果の詳細については、 IBM Knowledge Catalog データ保護規則の適用キャッシュ Data Virtualization をご覧ください。

  • 誤り :この評価の結果は、 IBM Knowledge Catalog ポリシーサービスに対して評価され、返されます。 この結果は最新です。
parameters

適用可能な変換操作(列マスクまたは行フィルタ)の定義。
rules

要求された評価コンテキストに適用されるデータ保護規則の名称とID。
transform_spec

適用可能なルールの結果として、適用可能なカラムマスク、行フィルタ、またはその両方のリスト。

operation_type には、以下のいずれかの銅像を含めることができます

  • research/pseudo-pretty : 墨消し

  • research/formatted-pretty : フォーマット済み(部分的な)機密情報

  • research/digest_col : 代替

  • research/pseudo : 難読化

  • research/include_rows : 行を含む行フィルタ

  • research/include_rows_ref : 参照テーブルに基づいて行を含む行フィルタ

  • research/exclude_rows: 行を除外する行フィルタ

  • research/exclude_rows_ref : 参照テーブルに基づいて行を除外する行フィルタ
user_id

評価対象のユーザーのプラットフォームまたはIAMユーザーID。

構文

以下の構文を使用し、以下のパラメータをこのストアドプロシージャに置き換えてください
CALL DVSYS.EXT_AUTHORIZER_EXPLAIN('<SCHEMA_NAME>', '<OBJECT_NAME>', '<USERNAME>', ?);

次の2つの例は、行フィルタリングとカラムマスク(難読化)ルールが適用された Data Virtualization オブジェクトでこのストアドプロシージャを使用した場合に何が起こるかを示しています。

行のフィルタリングルールはオブジェクトに適用されます
ユーザ USER1 用のスキーマMY_SCHEMA内の仮想テーブルMY_TABLEを評価するには、以下のSQLステートメントを実行してください
CALL DVSYS.EXT_AUTHORIZER_EXPLAIN('MY_SCHEMA', 'MY_TABLE', 'USER1', ?);
行フィルタリングルールが適用可能なオブジェクトの場合、出力は次の例のようなものになる可能性があります
 Value of output parameters
  --------------------------
  Parameter name  : AUTHORIZER_EXPLAIN
  Parameter value : {"IKC":{"resource_key":"1ed88d5b-148e-49c5-85a3-000000000000:/MY_SCHEMA/MY_TABLE","evaluation_outcome":"Transform","governance_convention":"AEAD",asset_id":"9cb85f03-100a-4bd5-8275-000000000000","container":{"id":"753b9703-4f82-4552-9906-000000000000","name":"Default"},"is_cached":false,"user_id":"0000000000","rules":[{"id":"297d03ad-be3f-43c3-b534-000000000000","name":"Table RoLE normal"},{"id":"b140d918-9ca8-4356-86c2-000000000000","name":"Table RoLE fail"}],"transform_spec":[{"operation_type":"research/include_rows_ref","parameters":[{"predicate":[["$$source.MY_TABLE_ID","=","$$references[0].MY_TABLE_ID"]],"references":[{"catalog_id":"753b9703-4f82-4552-9906-000000000000","asset_id":"b1d5fdd1-5ae4-45c5-b1b3-000000000000","resource_key":"1ed88d5b-148e-49c5-85a3-000000000000:/MY_SCHEMA/MY_TABLE"}]}]}]}}s_ref","parameters":[{"predicate":[["$$source.MY_TABLE_ID","=","$$references[0].TABLE_ID"]],"references":[{"catalog_id":"753b9703-4f82-4552-9906-000000000000","asset_id":"b1d5fdd1-5ae4-45c5-b1b3-000000000000","resource_key":"1ed88d5b-148e-49c5-85a3-000000000000:/MY_SCHEMA/MY_TABLE"}]}]}]}}
カラムマスクのルールはオブジェクトに適用されます

ユーザ USER1 用のスキーマMY_SCHEMA内の仮想テーブルMY_TABLE_MASKを評価するには、以下のSQLコマンドを実行してください

CALL DVSYS.EXT_AUTHORIZER_EXPLAIN('MY_SCHEMA', 'MY_TABLE_MASK', 'USER1', ?);

2つのカラムマスクルールが適用されているオブジェクトの場合、出力は次の例のように表示される場合があります

Value of output parameters
  --------------------------
  Parameter name  : AUTHORIZER_EXPLAIN
  Parameter value : {"IKC":{"resource_key":"1ed88d5b-148e-49c5-85a3-000000000000:/MY_SCHEMA/MY_TABLE_MASK","evaluation_outcome":"Transform","governance_convention":"AEAD","asset_id":"f11f6916-dc49-4838-869a-000000000000","container":{"id":"753b9703-4f82-4552-9906-000000000000","name":"Default"},"is_cached":false,"user_id":"000000000000","rules":[{"id":"e4de009b-ea72-4bc2-b70c-000000000000","name":"Name mask"},{"id":"275e2e1b-4d13-4d91-939d-000000000000","name":"Redact first name"}],"transform_spec":[{"operation_type":"research/pseudo","parameters":[{"salt":"034f0be01d66800028a7fb5069e1b5f59b3c876ba3c2d00436db09b3e0e50072","dataclass":"LastName","maskingType":"Full","name":"LAST_NAME","preserveFormat":"true","maskingProcessor":"FormatPreservingTokenization"}],"profiled_dataclass":"LastName"},{"operation_type":"research/pseudo-pretty","parameters":[{"maskingChar":"X","maskingType":"Full","name":"FIRST_NAME","preserveFormat":"false","maskingLen":"10"}],"profiled_dataclass":"FirstName"}]}}
この例では、 transform_spec は評価の結果、2つの列がマスクされたことを示しています
  1. LAST_NAME カラムは、フォーマットを維持する難読化でマスクされます。
  2. FIRST_NAME 列は全面的に墨塗り、または の10文字で隠されています。 X 
"transform_spec": [{
			"operation_type": "research/pseudo",
			"parameters": [{
				"salt": "000f0be01d6680b62007fb5069e1b0009b3c876ba000d65006db09b3e0e50072",
				"dataclass": "LastName",
				"maskingType": "Full",
				"name": "LAST_NAME",
				"preserveFormat": "true",
				"maskingProcessor": "FormatPreservingTokenization"
			}],
			"profiled_dataclass": "LastName"
		}, {
			"operation_type": "research/pseudo-pretty",
			"parameters": [{
				"maskingChar": "X",
				"maskingType": "Full",
				"name": "FIRST_NAME",
				"preserveFormat": "false",
				"maskingLen": "10"
			}],
			"profiled_dataclass": "FirstName"
		}]