数据位置规则根据数据资产的位置提供基于属性的访问控制。 这些规则确保在将数据从一个物理位置或主权位置移动到另一个位置时实施数据隐私和位置感知法规。
试验性 这是试验性发行版,尚不支持在生产环境中使用。
数据位置和主权规则是实验性功能,正在逐步淘汰,并可能在2025年3月被移除。 有关弃用通知的详细信息,请参阅 Data Privacy 数据位置和主权规则的弃用。
您可以创建数据位置规则,以根据数据或访问数据的用户的位置或主权来保护敏感数据。
数据位置规则由数据,条件和操作块的可选方向组成。
缺省情况下,在数据进入时以及数据离开其物理位置或主权位置时,都会将数据位置规则应用于数据。 您可以将规则限制为单个数据方向。 当您将规则的数据方向指定为 "传入" 时,输入位置的数据将受到限制。 将规则的数据方向指定为传出时,将限制离开其位置的数据。
例如, Anya 是德国一家银行的法律和合规官员。 Personal information in Germany is governed by the General Data Protection Regulation. Anya 必须确保她所管理的客户名称和地址在离开德国并在其他国家或地区访问之前被屏蔽。 当 Anya 设计数据位置规则时,她选择的数据方向是传出的。 数据来自德国,在其他国家或地区访问时,会屏蔽客户名称和地址。
条件可识别要控制的数据,并可包含请求访问数据的人员以及数据资产的属性。 条件可以由多个在布尔表达式中组合的谓词组成。 谓词可以包含用户属性和资产属性,例如分类,标记和业务术语。
操作块指定如何控制数据。 操作块可以由二进制操作 (例如,拒绝或允许访问数据) 和数据转换操作 (例如,屏蔽列中的数据值) 组成。
数据位置规则示例
您可以创建指示数据方向为传入的数据位置规则。 如果数据源自日本并且正在进入德国,那么它会通过使用模糊处理来屏蔽列名 "名称" 和 "地址"。 该规则的定义由数据方向,具有两个条件的条件和操作组成。
以下示例显示具有为规则定义的两个条件的数据方向和条件:
以下示例显示为规则定义的模糊处理操作:
重写为句子,规则定义为: If the data direction is incoming, the source sovereignty is Japan, and the target sovereignty is Germany, mask the Name and Address columns using obfuscation transformation.
了解更多信息
父主题: 监管工件