Les règles de protection des données sont appliquées dans les catalogues gouvernés lorsque toutes les conditions d'application en vigueur sont remplies. Les conditions d'exécution peuvent inclure des paramètres de catalogue, l'identité de l'utilisateur, le format de données et l'outil qui lit les données. La mise en application peut s'étendre aux projets et aux tables virtualisées dans certaines circonstances.
Lorsque vous créez une règle de protection des données, elle est appliquée immédiatement, sauf si l'actif affecté possède un aperçu mis en cache. Dans ce cas, l'application des règles peut être retardée jusqu'à un jour. Si vous modifiez le profil d'un actif d'une manière qui déclenche l'application dans un catalogue gouverné d'une règle de protection des données, la règle est appliquée après l'actualisation de l'aperçu de l'actif. L'aperçu de l'actif est actualisé tous les jours par défaut. Vous pouvez également actualiser manuellement l'aperçu.
Périmètre d'application
Les règles de protection des données sont appliquées dans les espaces de travail suivants:
Catalogues: les règles sont appliquées de manière dynamique lorsque les deux conditions suivantes sont remplies:
- L'application de gouvernance du catalogue est activée. L'application de gouvernance est définie lors de la création du catalogue et ne peut pas être modifiée une fois le catalogue créé.
- L'utilisateur n'est pas le propriétaire de l'actif. Le propriétaire de l'actif voit toujours les données d'origine et n'est pas affecté par la règle.
Projets :
Les actifs des projets sont appliqués lorsqu'une solution d'application approfondie est configurée ou lorsque les deux conditions suivantes sont remplies:
- Si vous disposez d'actifs existants qui ont été précédemment ajoutés à partir d'un catalogue gouverné, les actifs peuvent conserver leur comportement d'application statique. Pour les actifs avec application statique conservée, les règles sont appliquées en fonction de l'utilisateur qui a ajouté l'actif au moment où il a été ajouté et apparaissent de la même manière pour tous les autres utilisateurs du projet.
- Les ressources dont l'application statique est conservée sont prévisualisées, téléchargées ou ouvertes dans leData Refinery outil. Data Refinery ne prend pas en charge les règles de protection des données pour le filtrage des lignes. Les travaux Data Refinery échouent si l'actif est régi par des règles de protection des données de filtrage de ligne. De plus, si vous ajoutez un actif d' IBM Knowledge Catalog à un projet qui est régi par des règles de protection des données de filtrage de ligne, le masquage ne sera pas appliqué dans Data Refinery.
Les actifs de données masqués par un flux de masquage sont définitivement masqués pour tous les utilisateurs. Voir Masquage dans les projets.
Data virtualization: Les règles sont appliquées lorsque toutes les conditions suivantes sont remplies:
- L'application des règles de protection des données est activée pour les tables virtualisées.
- L'objet est accessible suite à une requête.
- L'actif de données est publié dans un catalogue configuré pour appliquer les règles de protection des données.
Voir Masquage des données virtuelles.
Vérifiez également les problèmes connus pour d'autres situations où les règles de protection des données ne sont pas appliquées. Pour plus d'informations, voir Problèmes connus et limitations.
Les règles de protection des données peuvent masquer définitivement les données d'un actif avec un flux de masquage. Voir Masquage des données avec un flux de masquage.
Préceptes d'évaluation pour les règles de protection des données
Les règles de protection des données évaluent les demandes d'accès aux actifs de données à l'aide des préceptes décrits dans le tableau suivant.
| Précepte | Explication |
|---|---|
| N'appliquez pas de règles pour les propriétaires d'actifs | Si l'utilisateur qui tente d'accéder à l'actif est le propriétaire de l'actif (par défaut, l'utilisateur qui a créé l'actif), la règle n'est pas appliquée. |
| Limitez l'accès aux actifs lors du profilage | Si l'actif est profilé en même temps que les règles de protection des données qui dépendent du profilage sont en cours d'évaluation, seul le propriétaire peut accéder à l'actif. Si le profilage et l'évaluation ne sont pas terminés dans un délai de 24 heures, l'actif est bloqué pour tous les utilisateurs à l'exception du propriétaire de l'actif. |
| Autoriser ou refuser l'accès si aucune règle ne s'applique | Lorsque l'actif ne répond pas aux critères d'une règle de protection des données, le comportement dépend du paramètre de convention d'accès aux données: (valeur par défaut) Si la convention d'accès aux données est définie sur Déverrouillé, l'utilisateur est autorisé à accéder aux données. Si la convention d'accès aux données est définie sur Verrouillé, l'accès aux données est refusé à l'utilisateur. Voir Gestion des paramètres de règle. |
| Appliquer des règles sur les actifs en fonction d'un paramètre de modalité de locataire pour les alias | Deux actifs de données ayant la même clé de ressource sont perçus comme représentant les mêmes données sous-jacentes. Par conséquent, ces actifs sont appelés alias. Vous pouvez définir comment déterminer les alias à utiliser lors d'une opération d'évaluation de ressource par un paramètre de modalité de locataire. Appelez l' APIupdate tenant settings pour configurer l'option asset_dealiasing_item_selection sur l'une des valeurs suivantes:- Oldest (par défaut): Par date de création.- Latest: Par date de dernière modification.- Merge: Fusionne les annotations telles que les termes et les balises de tous les alias. |
| Appliquer l'action la plus sécurisée ou la plus indulgente | Lorsqu'un utilisateur qui n'est pas le propriétaire de l'actif tente d'accéder à l'actif, toutes les règles de protection des données sont évaluées. Si l'actif répond aux critères de plusieurs règles, le comportement dépend du paramètre de priorité de l'action de règle. (Par défaut) Si la priorité de l'action de règle est définie sur L'action la plus sécurisée l'emporte, l'ordre de priorité de sécurité suivant est appliqué: 1. Refuser l'accès 2. Masquer les colonnes ou filtrer les lignes 3. Autoriser l'accès Si la priorité de l'action de règle est définie sur L'action la plus clémente l'emporte, l'ordre de priorité suivant est appliqué: 1. Autorisez l'accès à 2. Masquer les colonnes ou filtrer les lignes 3. Refuser l'accès Voir Priorité de l'action de règle. |
| Masque avec la plus grande confidentialité ou la plus grande utilité | Lorsqu'un utilisateur qui n'est pas le propriétaire de l'actif tente d'accéder à l'actif, toutes les règles de protection des données sont évaluées. Si l'actif répond aux critères de plusieurs règles et que plusieurs règles masquent des données, la priorité de la méthode de masquage est appliquée. (valeur par défaut) Si la priorité de la méthode de masquage est définie sur La méthode avec le plus de confidentialité prévaut, l'ordre suivant de priorité de la confidentialité est appliqué: 1. Méthode Redact 2. Remplacez la méthode 3. Méthode de brouillage Si la priorité de la méthode de masquage est définie sur La méthode avec le plus d'utilitaire gagne, l'ordre suivant de la priorité de la plupart des utilitaires est appliqué: 1. Méthode de brouillage 2. Remplacez la méthode 3. Méthode Redact Pour plus d'informations, voir Masquage de la priorité de la méthode . |
Application du masquage
Le masquage a ces effets sur l'apparence d'un actif dans un catalogue, un projet ou l'espace de travail de virtualisation des données :
- L'aperçu des données affiche une icône de bouclier
dans l'en-tête des colonnes affectées et une infobulle affiche le nom de la règle. - L'aperçu des données affiche des valeurs masquées dans les colonnes affectées.
- La page Profil ne contient pas de détails de profilage pour les colonnes de données masquées.
- Si l'actif de données est téléchargeable, le fichier contient les valeurs masquées.
Les informations de schéma de l'actif reflètent toujours le nombre total de colonnes contenues dans l'actif d'origine.
Pour les données virtuelles, l'application du masquage dans la Data Virtualization comporte des restrictions et d'autres différences. Voir Masquage des données virtuelles.
Masquage dans les projets
Masquage des travaux de flux, écriture d'une copie masquée des données d'actif source dans les tables cible configurées.
Tous les projets nouvellement créés sont appliqués lorsqu'une solution d'application approfondie est configurée ou lorsque les deux conditions suivantes sont remplies:
- Si vous disposez d'actifs existants qui ont été précédemment ajoutés à partir d'un catalogue gouverné, les actifs peuvent conserver leur comportement d'application statique. Pour les actifs avec application statique conservée, les règles sont appliquées en fonction de l'utilisateur qui a ajouté l'actif au moment où il a été ajouté et apparaissent de la même manière pour tous les autres utilisateurs du projet.
- Les ressources dont l'application statique est conservée sont prévisualisées, téléchargées ou ouvertes dans leData Refinery outil. Data Refinery ne prend pas en charge les règles de protection des données pour le filtrage des lignes. Les travaux Data Refinery échouent si l'actif est régi par des règles de protection des données de filtrage de ligne. De plus, si vous ajoutez un actif d' IBM Knowledge Catalog à un projet qui est régi par des règles de protection des données de filtrage de ligne, le masquage ne sera pas appliqué dans Data Refinery.
En savoir plus
Rubrique parent : Règles de protection des données