データ保護ルールは、適用のためのすべての一般的な条件が満たされた場合に、管理対象カタログで適用されます。 適用の条件には、カタログ設定、ユーザーの ID、データ・フォーマット、およびデータを読み取るツールを含めることができます。 状況によっては、適用をプロジェクトおよび仮想表に拡張することができます。
データ保護ルールを作成すると、影響を受ける資産にキャッシュ・プレビューがない限り、即時に適用されます。 その場合、ルールの適用が最大 1 日まで遅延する可能性があります。 データ保護ルールの管理対象カタログで適用をトリガーする方法で資産のプロファイルを変更すると、資産プレビューが最新表示された後にルールが適用されます。 デフォルトでは、資産プレビューは毎日更新されます。 あるいは、プレビューを手動で最新表示することもできます。
適用範囲
データ保護ルールは、以下のワークスペースで適用されます。
カタログ: 以下の条件が両方とも該当する場合、ルールは動的に適用されます。
- カタログでガバナンスの適用が有効になっています。 ガバナンスの適用はカタログの作成時に設定され、カタログの作成後に変更することはできません。
- ユーザーは資産所有者ではありません。 資産所有者は常に元のデータを閲覧し、ルールの影響を受けません。
プロジェクト:
プロジェクト内の資産は、 詳細適用ソリューション が構成されている場合、または以下の条件が両方とも満たされている場合に適用されます。
- 管理対象カタログから以前に追加された既存の資産がある場合、その資産は静的な適用動作を保持する可能性があります。 静的適用が保持されている資産の場合、ルールは、資産が追加された時点でその資産を追加したユーザーに基づいて適用され、プロジェクト内の他のすべてのユーザーに対して同じように表示されます。
- 静的強制が保持されたアセットは、プレビュー、ダウンロード、またはData Refinery道具。 Data Refinery は、行フィルターのデータ保護ルールをサポートしません。 資産が行フィルタリング・データ保護ルールによって管理されている場合、 Data Refinery ジョブは失敗します。 また、行フィルタリング・データ保護ルールによって管理されているプロジェクトに IBM Knowledge Catalog から資産を追加する場合、マスキングは Data Refineryで適用されません。
マスキング・フローによってマスクされたデータ資産は、すべてのユーザーに対して永続的にマスクされます。 プロジェクトでのマスキングを参照してください。
Data virtualization: 以下のすべての条件が該当する場合に、ルールが適用されます。
- データ保護ルールの適用は、仮想表に対して有効になっています。
- オブジェクトは、照会の結果としてアクセスされます。
- データ資産は、データ保護ルールを適用するように構成されているカタログに公開されます。
仮想データのマスキングを参照してください。
また、データ保護ルールが適用されないその他の状況についても、既知の問題を確認してください。 詳しくは、 既知の問題と制限事項を参照してください。
データ保護ルールは、マスキング・フローを使用して資産内のデータを永続的にマスクできます。 マスキング・フローを使用したデータのマスキングを参照してください。
データ保護ルールの評価の前提条件
データ保護ルールは、以下の表で説明されている前提条件を使用して、データ資産へのアクセス要求を評価します。
| プリセプト | 説明 |
|---|---|
| 資産所有者にルールを適用しません | アセットにアクセスしようとしているユーザーがアセットの所有者 (デフォルトでは、アセットを作成したユーザー) である場合、ルールは適用されません。 |
| プロファイル作成時に資産へのアクセスを制限する | プロファイルに依存するデータ保護ルールが評価されるのと同時にアセットのプロファイルが作成される場合は、所有者のみがアセットにアクセスできます。 プロファイルと評価が 24 時間以内に完了できない場合、資産の所有者以外のすべてのユーザーに対して資産はブロックされます。 |
| ルールが適用されない場合にアクセスを許可または拒否する | 資産がデータ保護ルールの基準を満たしていない場合、動作はデータ・アクセス規則の設定によって異なります。 (デフォルト) データ・アクセス規則が 「アンロック済み」に設定されている場合、ユーザーはデータへのアクセスを許可されます。 データ・アクセス規則が 「ロック済み」に設定されている場合、ユーザーはデータへのアクセスを拒否されます。 「 ルール設定の管理」を参照してください。 |
| 別名のテナント・モダリティー設定に基づいて資産にルールを適用 | 同じリソース・キーを持つ 2 つのデータ資産は、同じ基礎データを表すと認識されるため、これらの資産は 別名と呼ばれます。 テナントのモダリティー設定により、リソース評価操作で使用する別名を決定する方法を設定できます。 update tenant settings API を呼び出して、 asset_dealiasing_item_selection オプションを以下のいずれかの値に構成します。- Oldest (デフォルト): By creation date.- Latest: By last modification date.- Merge: すべての別名の用語やタグなどのアノテーションをマージします。 |
| 最もセキュアまたは最も寛容なアクションを強制 | 資産の所有者ではないユーザーが資産にアクセスしようとすると、すべてのデータ保護ルールが評価されます。 資産が複数のルールの基準を満たす場合、動作はルール・アクションの優先順位設定によって異なります。 (デフォルト) ルール・アクションの優先順位が 「最もセキュアなアクションが優先される」に設定されている場合、セキュリティーの優先順位 1 が適用されます。 2 へのアクセスを拒否します。 列をマスクするか、行をフィルターに掛けます 3. アクセスを許可 ルール・アクションの優先順位が 「最も寛容なアクションが優先される」に設定されている場合は、以下の寛容の優先順位が適用されます。 1. 2 へのアクセスを許可します。 列をマスクするか、行をフィルターに掛けます 3. アクセスの拒否 「 ルール・アクションの優先順位」を参照してください。 |
| ほとんどのプライバシーまたはほとんどのユーティリティーを使用したマスク | 資産の所有者ではないユーザーが資産にアクセスしようとすると、すべてのデータ保護ルールが評価されます。 資産が複数のルールの基準を満たし、複数のルールがデータをマスクする場合は、マスキング方式の優先順位が適用されます。 (デフォルト) マスキング方式の優先順位が 「プライバシーが最も優先される方式」に設定されている場合、最も優先されるプライバシーの優先順位は次の順序で適用されます: 1。 リダクション方式 2。 代替方法 3. 難読化方式 マスキング方式の優先順位が 「ユーティリティーの優先順位が最も高い方式の優先順位」に設定されている場合、以下の最も高いユーティリティー優先順位が適用されます。 1. 難読化方式 2。 代替方法 3. Redact メソッド 詳しくは、「 マスキング・メソッドの優先順位 」を参照してください。 |
マスキングの適用
マスキングは、カタログ、プロジェクト、またはデータ仮想化ワークスペース内の資産の外観に以下の影響を与えます:
- データ・プレビューでは、影響を受ける列のヘッダーにシールド・アイコン
が表示され、ツールチップにルールの名前が表示されます。 - データ・プレビューには、影響を受ける列のマスクされた値が表示されます。
- プロファイル ページには、マスクされたデータ列のプロファイルの詳細は表示されません。
- データ資産がダウンロード可能な場合、ファイルにはマスクされた値が含まれます。
資産のスキーマ情報は常に、元の資産に含まれている列の総数を反映します。
仮想データについては、Data Virtualizationにおけるマスキングの実施には制限やその他の違いがある。 仮想データのマスキングを参照してください。
プロジェクトでのマスキング
フロー・ジョブをマスキングして、ソース資産データのマスクされたコピーを構成済みターゲット表に書き込みます。
新しく作成されたプロジェクトは、 ディープ・エンフォースメント・ソリューション が構成されている場合、または以下の条件が両方とも満たされている場合に適用されます。
- 管理対象カタログから以前に追加された既存の資産がある場合、その資産は静的な適用動作を保持する可能性があります。 静的適用が保持されている資産の場合、ルールは、資産が追加された時点でその資産を追加したユーザーに基づいて適用され、プロジェクト内の他のすべてのユーザーに対して同じように表示されます。
- 静的強制が保持されたアセットは、プレビュー、ダウンロード、またはData Refinery道具。 Data Refinery は、行フィルターのデータ保護ルールをサポートしません。 資産が行フィルタリング・データ保護ルールによって管理されている場合、 Data Refinery ジョブは失敗します。 また、行フィルタリング・データ保護ルールによって管理されているプロジェクトに IBM Knowledge Catalog から資産を追加する場合、マスキングは Data Refineryで適用されません。
もっと見る
親トピック: データ保護ルール