Las reglas de ubicación de datos proporcionan control de acceso basado en atributos de los activos de datos en función de su ubicación. Las reglas garantizar que se aplican la privacidad de datos y las regulaciones de ubicación cuando se mueven datos de una ubicación física o soberana a otra.
Experimental Este es un release experimental y aún no recibe soporte para su uso en entornos de producción. Para probar esta función experimental, responda a este post para ver un tutorial de ejemplo e información adicional sobre la API.
Puede crear reglas de ubicación de datos para proteger datos confidenciales basados en la ubicación o soberanía de los datos o de los usuarios que acceden a los datos.
Una regla de ubicación de datos consta de una dirección opcional de los datos, los criterios y un bloque de acciones.
De forma predeterminada, se aplica una regla de ubicación de datos a los datos tanto cuando los datos están entrando como cuando los datos salen de su ubicación física o soberana. Puede limitar la regla a una única dirección de datos. Cuando especifica la dirección de datos de la regla como entrante, los datos que entran en la ubicación están restringidos. Cuando especifica la dirección de datos de la regla como saliente, los datos que salen de su ubicación están restringidos.
Por ejemplo, Anya es una funcionaria de conformidad legal de un banco en Alemania. La información personal en Alemania se rige por el Reglamento General de Protección de Datos. Anya debe asegurarse de que los nombres y direcciones de los clientes que está gestionando estén enmascarados antes de que salgan de Alemania y se acceda a ellos en otros países. Cuando Anya diseña una regla de ubicación de datos, la dirección de datos que selecciona es de salida. Los datos proceden de Alemania y los nombres y direcciones de los clientes se enmascaran cuando se accede a ellos en otros países.
Los criterios identifican los datos que se deben controlar y pueden incluir quién solicita acceso a los datos y las propiedades del activo de datos. Los criterios pueden constar de un número de predicados que se combinan en una expresión booleana. Los predicados pueden incluir atributos de usuario y atributos de activo, como clasificaciones, etiquetas y términos empresariales.
El bloque de acciones especifica cómo controlar los datos. El bloque de acción puede constar de acciones binarias, como por ejemplo denegar o permitir el acceso a los datos, y acciones transformadoras de datos, como por ejemplo enmascarar los valores de datos en una columna.
Ejemplo de regla de ubicación de datos
Puede crear una regla de ubicación de datos que indique que la dirección de datos es de entrada. Enmascara los nombres de columna Nombre y Dirección utilizando oscurecimiento si los datos proceden de Japón y están entrando en Alemania. La definición de esta regla consiste en una dirección de datos, criterios con dos condiciones y una acción.
El ejemplo siguiente muestra la dirección de datos y los criterios con dos condiciones definidas para la regla:
El ejemplo siguiente muestra la acción de oscurecimiento definida para la regla:
Reescrita como una sentencia, la definición de regla es: If the data direction is incoming, the source sovereignty is Japan, and the target sovereignty is Germany, mask the Name and Address columns using obfuscation transformation.
Más información
- Diseño de reglas de ubicación de datos
- Aplicación de reglas de ubicación de datos
- Gestión de reglas de ubicación de datos
Tema principal: Artefactos de gobierno