Mit dem Maskierungsablauf können Datenadministratoren maskierte Kopien von Daten für Data-Scientists, Geschäftsanalysten und Anwendungstester erstellen. Die Daten werden mit Datenschutzregeln geschützt, die automatisch auf alle Daten angewendet werden, die in den Katalog importiert werden.
Der Maskierungsfluss führt auch erweiterte Maskierungsoptionen für Datenschutzregeln ein, wie z. B. erweiterte Formaterhaltung, einseitige Hash-Tokenisierung, die Möglichkeit, Beziehungen zu erhalten und den Nutzen der maskierten Daten zu erhöhen. Datenschutzregeln mit erweiterter Maskierung funktionieren nur in Projekten.
- Erforderliche Services
- IBM Knowledge Catalog
- Data Privacy (Maskierungsablauf)
- Datenformat
- Relational: Tabellen in relationalen Datenquellen
- Data Size
- Beliebige Größe
Vor der Erstellung von Maskierungsflüsse muss der Datenadministrator diese vorausgesetzten Tasks durchführen.
Nachdem die vorausgesetzten Tasks abgeschlossen sind, können sowohl Datenadministratoren als auch Datenbenutzer eine der folgenden Tasks ausführen:
- Erstellen Sie ein neues Projekt und fügen Sie Datenressourcen hinzu, die in dem Projekt maskiert werden sollen.
- Wählen Sie ein vorhandenes Projekt mit Datenressourcen aus.
Klicken Sie nach Abschluss einer der Aufgaben auf Neues Asset > Daten kopieren und maskieren.
Benutzerrollen im Maskierungsablauf
Als Datenverwalter (oder Datenentwickler) verfügen Sie über eine starke Kenntnis der Datenressourcen und Datenanforderungen der Datenbenutzer. Sie sind für die Vorbereitung von Daten für die Maskierung und Konfiguration des Benutzerzugriffs auf maskierte Daten verantwortlich. Weitere Informationen finden Sie im Abschnitt mit den Tasks, die Datenadministratoren ausführen müssen.
Als Benutzer von Daten, wie z. B. Datenwissenschaftler, Unternehmensanalytiker, Tester und Entwickler, sind Sie darauf angewiesen, dass der Administrator die geschützten Daten pflegt und bereitstellt, die Sie für Ihre Arbeit benötigen. Weitere Informationen finden Sie im Abschnitt zu den Tasks, die Datenbenutzer ausführen können.
Unterstützte Datenquellen
Der Maskierungsablauf unterstützt die folgenden relationalen und nicht relationalen Datenquellen:
- Apache Hive
- Db2 LUW
- Db2 Warehouse
- MySQL
- Netezza
- Oracle
- PostgreSQL
- SQL Server
- Teradata
Vorausgesetzte Tasks für Data-Admins
- Erforderliche Berechtigungen
- Sie müssen ein IBM Cloud -Kontoadministrator sein.
Zum Zeitpunkt der Installation des Maskierungsablaufs ist mindestens ein Administratorkonto in Ihrer Organisation eingerichtet. Dieser Administrator kann anderen Benutzern Administratorzugriff erteilen.
Bereiten Sie die Privatisierung von Daten vor, indem Sie die folgenden Tasks ausführen:
Fügen Sie Datenassets zu Katalogen hinzu, indem Sie Datenassets automatisch mit Metadatenimportieren. Sie erstellen Verbindungen zu Ihren Daten im Metadatenkatalog. Wählen Sie beim Importieren der Datenressourcen den Katalog aus, der im vorherigen Schritt als Importziel erstellt wurde. Siehe Assets aus einem Projekt in einem Katalog publizieren.
Bestätigung, dass Datenklassen ordnungsgemäß zugeordnet wurden
Datenschutzregeln einrichten. Datenschutzregeln gelten für alle regulierten Kataloge und werden von Masking Flow umgesetzt, wenn Sie maskierte Kopien von Daten mithilfe von Maskierungsflüssen erstellen. Erweiterte Datenmaskierungsoptionen sind nur für Datenklassen aktiviert.
Verwalten des Benutzerzugriffs durch Hinzufügen von Benutzern zu einem IBM Cloud -Konto und Einrichten von Cloud Pak for Data as a Service für Ihre Organisation.
Hinzufügen von Datenbenutzern zu Katalogen durch Verwalten des Zugriffs auf einen Katalog.
Vermeidung unbeabsichtigter Datenlecks
Assets aus Katalogen in Projekte verschieben
Standardmäßig werden die Datenschutzregeln für den Asseteigner, den Benutzer, der das Asset zum Katalog hinzugefügt hat, nicht umgesetzt. Dies bedeutet für den Asseteigner, dass Katalogvorsichten nicht für die von ihnen eigenen Datenressourcen geschützt sind.
- Wenn Sie ein Asset aus einem Katalog in ein Projekt verschieben, ist das Asset im Projekt eine Kopie der Katalogressource. Die Projektressourcen sind nicht mit den Datenschutzregeln verknüpft.
- Wenn die Person, die das Asset bewegt, der Asseteigner ist, wird die Assetvorschau für alle Benutzer im Projekt entlarvt.
- Wenn die Person, die das Asset bewegt, nicht der Asseteigner ist, wird die Assetvorschau für alle Benutzer im Projekt maskiert.
Da Datenschutzregeln für Asseteigner nicht durchgesetzt werden, wird die in eine Zieldatenbank geladene Datenkopie nicht maskiert, wenn Asseteigner einen Maskierungsfluss durchführen. Daten werden nur maskiert, wenn Datenbenutzer den Maskierungsfluss ausführen.
Best Practice zur Vermeidung unbeabsichtigter Datenlecks
Berücksichtigen Sie die folgenden bewährten Verfahren, um Datenlecks zu vermeiden:
Das Projekt, das vom Administrator zum Importieren von Metadaten in den Katalog verwendet wird, darf nicht für Maskierungsflüsse verwendet werden. Wenn Sie dasselbe Projekt für Metadatenimporte und Maskierungsflüsse verwenden möchten, müssen Sie sicherstellen, dass alle Benutzer im Projekt über Berechtigungen zum Anzeigen von unmaskierten Daten verfügen.
Datenadministratoren sollten Daten aus Katalogen nicht in Projekte zum Erstellen von Maskierungsflüssen versetzen. Datenadministratoren sollten Datenbenutzer als Viewer zum Katalog hinzufügen, und dann sollten nur die Datennutzer Daten aus dem Katalog in das Projekt versetzen. Sie können optional weitere Benutzer zum Projekt hinzufügen.
Fehler aufgrund abnormaler Speicherbedingungen vermeiden
Während eines Maskierungsflussjobs versucht Spark möglicherweise, alle Daten einer Datenquelle in den Speicher zu einzulesen. Fehler können auftreten, wenn nicht genügend Speicher zur Unterstützung des Jobs vorhanden ist. Es passen maximal ca. 12 GB an Daten in den größten bereitgestellten Spark-Verarbeitungsknoten.
Gehen Sie für Maskierungsdatenflussjobs mit hoher Speicherbelegung wie folgt vor, um Fehler aufgrund abnormaler Speicherbedingungen zu vermeiden:
- Begrenzen Sie die Anzahl der Executor und die Größe der Executor für den Job.
- Legen Sie die Spalten in der Quellentabelle fest, um die Daten zu partitionieren.
- Wenn das Maskieren von Datenflussjobs das Verschieben großer Datenmengen umfasst, müssen Sie sicherstellen, dass Sie die Spalten auswählen, nach denen Daten während des Maskierungsdatenflussjobs partitioniert werden können.
Ausgabe abgeschnitten, um Einschränkungen für die Spaltenlänge zu berücksichtigen
Die Spaltenlänge ist die maximale Länge, die für eine Spalte in einer Datenbank für die Zeichenfolgedaten definiert ist.
Zuvor hat die generierte Maskierungsausgabe die Spaltenlänge nicht berücksichtigt und der Job für den Maskierungsfluss schlägt fehl, wenn einer der Ausgabewerte die Spaltenlänge überschreitet.
Jetzt wird die generierte Ausgabe abgeschnitten, um sicherzustellen, dass sie die Spaltenlängenbeschränkungen nicht überschreitet.
Vorausgesetzte Tasks für Datenbenutzer
Datenbenutzer müssen bereits Mitglied der Plattform sein oder über die Berechtigungsstufe für die Rolle "Data Scientist" verfügen.
- Erforderliche Berechtigungen
- Sie benötigen eine IBM Cloud Konto und haben Anspruch auf IBM Knowledge Catalog Lite-Plan.
Optionale Berechtigungen
- Datenadministratoren können Ihnen den Editor-oder Viewer-Zugriff auf Kataloge erteilen.
- Datenadministratoren oder andere Datennutzer können Ihnen auch Zugriff auf einzelne Projekte geben, die sie erstellen.
Bereiten Sie maskierte Datenkopien vor, indem Sie die folgenden Tasks ausführen: