Le regole di protezione dei dati vengono applicate nei cataloghi gestiti quando vengono soddisfatte tutte le condizioni prevalenti per l'applicazione. Le condizioni per l'applicazione possono includere le impostazioni del catalogo, l'identità dell'utente, il formato dei dati e lo strumento che sta leggendo i dati. L'applicazione può estendersi ai progetti e alle tabelle virtualizzate in alcune circostanze.
Quando si crea una regola di protezione dati, questa viene applicata immediatamente, a meno che l'asset interessato non abbia un'anteprima memorizzata nella cache. In tal caso, l'applicazione della regola potrebbe essere ritardata fino a un giorno. Se si modifica il profilo di un asset in un modo che attiva l'applicazione in un catalogo gestito di una regola di protezione dei dati, la regola viene applicata dopo l'aggiornamento dell'anteprima dell'asset. L'anteprima dell'asset viene aggiornata quotidianamente per impostazione predefinita. In alternativa, è possibile aggiornare manualmente l'anteprima.
Ambito di applicazione
Le regole di protezione dei dati vengono applicate nelle seguenti aree di lavoro:
Cataloghi: le regole vengono applicate dinamicamente quando si verificano entrambe le seguenti condizioni:
- Il catalogo ha l'applicazione della governance abilitata. L'applicazione della governance viene impostata durante la creazione del catalogo e non può essere modificata dopo la creazione del catalogo.
- L'utente non è il proprietario dell'asset. Il proprietario dell'asset visualizza sempre i dati originali e non è interessato dalla regola.
Progetti:
Gli asset nei progetti vengono applicati quando viene configurata una soluzione di applicazione approfondita oppure quando si verificano entrambe le seguenti condizioni:
- Se si dispone di asset esistenti che sono stati precedentemente aggiunti da un catalogo gestito, gli asset potrebbero conservare il comportamento di applicazione statico. Per gli asset con applicazione statica conservata, le norme vengono applicate in base all'utente che ha aggiunto l'asset nel momento in cui è stato aggiunto e appaiono uguali per tutti gli altri utenti nel progetto.
- Le risorse con applicazione statica mantenuta vengono visualizzate in anteprima, scaricate o aperte nel fileData Refinery attrezzo. Data Refinery non supporta le regole di protezione dei dati per il filtro di righe. I lavori di Data Refinery hanno esito negativo se l'asset è regolato da regole di protezione dati filtrate per riga. Inoltre, se si aggiunge un asset da IBM Knowledge Catalog a un progetto che è regolato dalle regole di protezione dei dati che filtrano le righe, il mascheramento non verrà applicato in Data Refinery.
Gli asset di dati mascherati da un flusso di mascheramento sono mascherati in modo permanente per tutti gli utenti. Consultare Maschiamento nei progetti.
Data virtualization: Le regole vengono applicate quando si verificano tutte le seguenti condizioni:
- L'applicazione della regola di protezione dati è abilitata per le tabelle virtualizzate.
- Si accede all'oggetto come risultato di una query.
- L'asset di dati viene pubblicato in un catalogo configurato per applicare le regole di protezione dati.
Vedi Maschiamento dei dati virtuali.
Controllare anche i problemi noti per altre situazioni in cui non vengono applicate le regole di protezione dei dati. Per ulteriori informazioni, vedi Problemi e limitazioni noti.
Le regole di protezione dati possono mascherare permanentemente i dati in un asset con il flusso di mascheramento. Vedere Masking data with Masking flow.
Principi di valutazione per le norme di protezione dei dati
Le regole di protezione dei dati valutano le richieste di accesso agli asset di dati utilizzando i precetti descritti nella seguente tabella.
| Precetto | Spiegazione |
|---|---|
| Non applicare le regole per i proprietari degli asset | Se l'utente che tenta di accedere all'asset è il proprietario dell'asset (per impostazione predefinita, l'utente che ha creato l'asset), la regola non viene applicata. |
| Limita l'accesso agli asset durante la creazione profili | Se il profilo dell'asset viene creato contemporaneamente alle regole di protezione dei dati che dipendono dalla creazione del profilo vengono valutate, solo il proprietario può accedere all'asset. Se la creazione profili e la valutazione non vengono completate entro 24 ore, l'asset viene bloccato per tutti gli utenti tranne il proprietario dell'asset. |
| Consenti o nega l'accesso se non si applicano regole | Quando l'asset non soddisfa i criteri per le regole di protezione dati, il funzionamento dipende dall'impostazione della convenzione di accesso ai dati: (Predefinito) Se la convenzione di accesso ai dati è impostata su Sbloccato, all'utente è consentito l'accesso ai dati. Se la convenzione di accesso ai dati è impostata su Bloccato, all'utente viene negato l'accesso ai dati. Consultare Gestione delle impostazioni delle regole. |
| Applica le regole sugli asset in base all'impostazione della modalità del tenant per gli alias | Due asset di dati con la stessa chiave di risorsa vengono percepiti per rappresentare gli stessi dati sottostanti, quindi questi asset vengono definiti alias. È possibile impostare il modo in cui determinare gli alias da utilizzare in base a un'operazione di valutazione della risorsa mediante un'impostazione della modalità tenant. Richiamare API update tenant settings per configurare l'opzione asset_dealiasing_item_selection su uno dei valori seguenti:- Oldest (valore predefinito): Per data di creazione.- Latest: Per data di ultima modifica.- Merge: Unisce annotazioni come termini e tag di tutti gli alias. |
| Applica l'azione più sicura o più indulgente | Quando un utente che non è il proprietario dell'asset tenta di accedere all'asset, vengono valutate tutte le regole di protezione dati. Se l'asset soddisfa i criteri per più regole, il comportamento dipende dall'impostazione di precedenza dell'azione della regola. (Impostazione predefinita) Se la precedenza dell'azione della regola è impostata su L'azione più sicura vince, viene applicato il seguente ordine di precedenza della sicurezza: 1. Negare l'accesso a 2. Mascherare le colonne o filtrare le righe 3. Consenti accesso Se la precedenza dell'azione della regola è impostata su L'azione più indulgente vince, viene applicato il seguente ordine di precedenza: 1. Consenti accesso 2. Mascherare le colonne o filtrare le righe 3. Negare l'accesso Consultare Precedenza dell'azione della regola. |
| Maschera con la maggior parte della privacy o la maggior parte delle utilità | Quando un utente che non è il proprietario dell'asset tenta di accedere all'asset, vengono valutate tutte le regole di protezione dati. Se l'asset soddisfa i criteri per più regole e più di una regola maschera i dati, viene applicata la precedenza del metodo di mascheramento. (Impostazione predefinita) Se la precedenza del metodo di mascheramento è impostata su Il metodo con la maggior parte della privacy vince, viene applicato il seguente ordine della maggior parte della precedenza della privacy: 1. Metodo Redact 2. Sostituire il metodo 3. Metodo di offuscamento Se la precedenza del metodo di mascheramento è impostata su Il metodo con il maggior numero di vittorie del programma di utilità, viene applicato il seguente ordine di precedenza del programma di utilità: 1. Metodo offuscamento 2. Sostituire il metodo 3. Metodo Redact Per ulteriori informazioni, consultare Precedenza del metodo Masking . |
Applicazione mascheramento
Il mascheramento ha questi effetti sull'aspetto di un asset in un catalogo, un progetto o lo spazio di lavoro Data virtualization :
- L'anteprima dei dati mostra un'icona scudo
nell'intestazione delle colonne interessate e un suggerimento visualizza il nome della regola. - L'anteprima dei dati mostra i valori mascherati nelle colonne interessate.
- La pagina Profilo non mostra i dettagli di creazione profili per le colonne di dati mascherati.
- Se l'asset di dati è scaricabile, il file contiene i valori mascherati.
Le informazioni sullo schema per l'asset riflettono il numero totale di colonne contenute nell'asset originale.
Per i dati virtuali, l'applicazione del mascheramento in Data Virtualization presenta restrizioni e altre differenze. Vedi Maschiamento dei dati virtuali.
Mascheramento nei progetti
Mascheramento dei lavori di flusso, scrittura di una copia mascherata dei dati dell'asset di origine nelle tabelle di destinazione configurate.
I progetti appena creati vengono applicati quando viene configurata una soluzione di applicazione approfondita oppure quando si verificano entrambe le seguenti condizioni:
- Se si dispone di asset esistenti che sono stati precedentemente aggiunti da un catalogo gestito, gli asset potrebbero conservare il comportamento di applicazione statico. Per gli asset con applicazione statica conservata, le norme vengono applicate in base all'utente che ha aggiunto l'asset nel momento in cui è stato aggiunto e appaiono uguali per tutti gli altri utenti nel progetto.
- Le risorse con applicazione statica mantenuta vengono visualizzate in anteprima, scaricate o aperte nel fileData Refinery attrezzo. Data Refinery non supporta le regole di protezione dei dati per il filtro di righe. I lavori di Data Refinery hanno esito negativo se l'asset è regolato da regole di protezione dati filtrate per riga. Inoltre, se si aggiunge un asset da IBM Knowledge Catalog a un progetto che è regolato dalle regole di protezione dei dati che filtrano le righe, il mascheramento non verrà applicato in Data Refinery.
Ulteriori informazioni
Argomento principale: Regole di protezione dati