Datenpositionsregeln bieten eine attributbasierte, an der Position der Assets ausgerichtete Zugriffssteuerung für Datenassets. Die Regeln stellen sicher, dass Datenschutz und standortbezogene Bestimmungen durchgesetzt werden, wenn Sie Daten zwischen physischen Standorten oder Länderstandorten verschieben.

Experimentell Dieses experimentelle Release wird noch nicht für die Verwendung in Produktionsumgebungen unterstützt. Wenn Sie diese experimentelle Funktion ausprobieren möchten, finden Sie in diesem Beitrag ein Beispiel-Tutorial und weitere Informationen über die API.

Sie können Datenpositionsregeln erstellen, um sensible Daten ausgerichtet an der Position oder am jeweiligen Länderstandort der Daten oder der Benutzer, die auf die Daten zugreifen, zu schützen.

Eine Datenpositionsregel besteht aus einer optionalen Richtung der Daten, den Kriterien und einem Aktionsblock.

Standardmäßig wird eine Datenstandortregel auf Daten angewendet, sowohl wenn die Daten eintreten als auch wenn die Daten ihren physischen oder souveränen Standort verlassen. Sie können die Regel auf eine einzelne Datenrichtung begrenzen. Wenn Sie die Datenrichtung der Regel als eingehend angeben, sind die Daten, die an den Standort gelangen, eingeschränkt. Wenn Sie die Datenrichtung der Regel als ausgehend angeben, werden die Daten, die die Position verlassen, eingeschränkt.

Angenommen, Anja Husemann ist bei einer Bank in Deutschland für Rechtsfragen und Compliance zuständig. Personenbezogene Daten in Deutschland unterliegen der Datenschutz-Grundverordnung. Anya muss sicherstellen, dass die von ihr verwalteten Kundennamen und -adressen maskiert werden, bevor sie Deutschland verlässt und in anderen Ländern darauf zugegriffen wird. Wenn sie eine Datenpositionsregel entwirft, wählt sie die abgehende Datenrichtung für die Regel aus. Die Daten stammen aus Deutschland und Kundennamen und -adressen werden maskiert, wenn sie in anderen Ländern aufgerufen werden.

Kriterien geben an, welche Daten gesteuert werden sollen, und können einschließen, wer Zugriff auf die Daten anfordert und welche Eigenschaften das Datenasset aufweist. Die Kriterien können aus einer Reihe von Vergleichselementen bestehen, die in einem booleschen Ausdruck kombiniert werden. Die Vergleichselemente können Benutzerattribute und Assetattribute wie Klassifikationen, Tags und Geschäftsbegriffe enthalten.

Der Aktionsblock gibt an, wie die Daten gesteuert werden sollen. Der Aktionsblock kann aus binären Aktionen bestehen, wie z. B. Verweigern oder Zulassen des Zugriffs auf Daten, und Datentransformationsaktionen, wie z. B. Maskieren der Datenwerte in einer Spalte.