0 / 0
Go back to the English version of the documentation
数据保护规则实施
Last updated: 2024年12月13日
数据保护规则实施

当满足强制实施的所有普遍条件时,将在受管目录中强制实施数据保护规则。 实施条件可以包括目录设置,用户身份,数据格式以及读取数据的工具。 在某些情况下,实施可扩展至项目和虚拟化表。

创建数据保护规则时,将立即实施该规则,除非受影响的资产具有高速缓存的预览。 在这种情况下,规则执行可能会延迟最多一天。 如果以触发数据保护规则的受管目录中的实施的方式更改资产的概要文件,那么将在刷新资产预览后实施该规则。 缺省情况下,每天都会刷新资产预览。 或者,您可以手动刷新预览。

执行范围

在以下工作空间中实施数据保护规则:

目录: 当满足以下两个条件时,将动态实施规则:

  • 目录已启用监管实施。 监管实施是在创建目录期间设置的,无法在创建目录后进行更改。
  • 用户不是资产所有者。 资产所有者始终会看到原始数据,并且不受规则影响。

项目:

当配置了 深度实施解决方案 时,或者当满足以下两个条件时,将实施项目中的资产:

  • 如果您具有先前从受管目录添加的现有资产,那么这些资产可能会保留其静态实施行为。 对于具有保留静态实施的资产,将根据在添加资产时添加该资产的用户来实施规则,并且对项目中的所有其他用户都显示相同的规则。
  • 保留静态执行的资产可在 Data Refinery 工具中预览、下载或打开。 Data Refinery 不支持针对行过滤的数据保护规则。 如果资产由行过滤数据保护规则管理,那么 Data Refinery 作业将失败。 此外,如果将资产从 IBM Knowledge Catalog 添加到由行过滤数据保护规则管理的项目,那么不会在 Data Refinery中实施屏蔽。

由屏蔽流屏蔽的数据资产将永久屏蔽所有用户。 请参阅 在项目中屏蔽

Data virtualization: 在满足以下所有条件时实施规则:

  • 对虚拟化表启用数据保护规则实施。
  • 对象作为查询的结果进行访问。
  • 数据资产将发布到配置为实施数据保护规则的目录。

请参阅屏蔽虚拟数据

另请检查未实施数据保护规则的其他情况的已知问题。 有关更多信息,请参阅 已知问题和限制

数据保护规则可以使用屏蔽流永久屏蔽资产中的数据。 请参阅 使用屏蔽流屏蔽数据

数据保护规则的评估规则

数据保护规则通过使用下表中描述的规则来评估访问数据资产的请求。

戒律 说明
不强制实施资产所有者的规则 如果尝试访问该资产的用户是该资产的所有者 (缺省情况下是创建该资产的用户) ,那么不会强制实施该规则。
在概要分析期间限制对资产的访问 如果在对依赖于概要分析的数据保护规则进行评估的同时对资产进行概要分析,那么只有所有者才能访问该资产。 如果概要分析和评估未能在 24 小时内完成,那么会阻止除资产所有者以外的所有用户访问该资产。
如果不应用任何规则,那么允许或拒绝访问 当资产不满足任何数据保护规则的条件时,行为取决于数据访问约定设置:
(缺省值) 如果数据访问约定设置为 Unlocked,那么允许用户访问数据。
如果数据访问约定设置为 锁定,那么将拒绝用户访问数据。

请参阅 管理规则设置
根据别名的租户方式设置对资产实施规则 两个具有相同资源键的数据资产被视为表示相同的底层数据,因此这些资产被称为 别名。 您可以设置如何通过租户方式设置来确定要在评估资源操作时使用哪些别名。 调用 update tenant settings API 以将 asset_dealiasing_item_selection 选项配置为下列其中一个值:
- Oldest (缺省值): 按创建日期。
- Latest: 按上次修改日期。
- Merge: 合并注释,例如所有别名的术语和标记。
实施最安全或最宽松的操作 当不是资产所有者的用户尝试访问资产时,将评估所有数据保护规则。 如果资产满足多个规则的条件,那么行为取决于规则操作优先顺序设置。

(缺省值) 如果规则操作优先顺序设置为 最安全操作获胜,那么将应用以下安全优先顺序:
1。 拒绝访问
2。 屏蔽列或过滤行
3。 允许访问

如果规则操作优先顺序设置为 最宽松操作获胜,那么将应用以下优先顺序:
1。 允许访问
2。 屏蔽列或过滤行
3。 拒绝访问

请参阅 规则操作优先顺序
具有最大隐私或最大效用的掩码 当不是资产所有者的用户尝试访问资产时,将评估所有数据保护规则。 如果资产满足多个规则的条件,并且多个规则屏蔽数据,那么将应用屏蔽方法优先顺序。

(缺省值) 如果将掩码方法优先顺序设置为 具有最多隐私的方法,那么将应用大多数隐私优先顺序的以下顺序:
1。 Redact 方法
2。 替换方法
3。 Obfuscate 方法

如果屏蔽方法优先顺序设置为 具有最多实用程序的方法,那么将应用大多数实用程序优先顺序的以下顺序:
1。 模糊处理方法
2。 替换方法
3。 编辑方法

请参阅 屏蔽方法优先顺序 以获取更多信息。

屏蔽实施

屏蔽会对目录,项目或 Data virtualization 工作空间中资产的外观产生以下影响:

  • 数据预览在受影响列的标题中显示保护盾图标 保护盾图标 ,工具提示将显示规则的名称。
  • 数据预览在受影响的列中显示掩码值。
  • 概要文件页面不显示屏蔽数据列的概要分析详细信息。
  • 如果可下载数据资产,那么该文件包含掩码值。

资产的模式信息始终反映原始资产中包含的列总数。

对于虚拟数据,Data Virtualization中的屏蔽执行具有限制和其他差异。 请参阅屏蔽虚拟数据

项目中的屏蔽

屏蔽流作业,在配置的目标表中写入源资产数据的掩码副本。

当配置了 深度实施解决方案 时,或者当满足以下两个条件时,将实施任何新创建的项目:

  • 如果您具有先前从受管目录添加的现有资产,那么这些资产可能会保留其静态实施行为。 对于具有保留静态实施的资产,将根据在添加资产时添加该资产的用户来实施规则,并且对项目中的所有其他用户都显示相同的规则。
  • 保留静态执行的资产可在 Data Refinery 工具中预览、下载或打开。 Data Refinery 不支持针对行过滤的数据保护规则。 如果资产由行过滤数据保护规则管理,那么 Data Refinery 作业将失败。 此外,如果将资产从 IBM Knowledge Catalog 添加到由行过滤数据保护规则管理的项目,那么不会在 Data Refinery中实施屏蔽。

了解更多信息

父主题: 数据保护规则