Translation not up to date
Reguły ochrony danych są wymuszane w katalogach, gdy spełnione są wszystkie obowiązujące warunki wymuszania. Warunki wymuszania mogą obejmować ustawienia katalogu, tożsamość użytkownika, format danych oraz narzędzie, które odczytuje dane. Wymuszanie może w pewnych okolicznościach rozszerzyć się o projekty i zwirtualizowane tabele.
Jeśli reguła ochrony danych zostanie utworzona, jest ona wymuszana natychmiast, chyba że dany zasób ma podgląd buforowany. W takim przypadku wymuszanie reguły może być opóźnione do jednego dnia. Jeśli profil zasobu zostanie zmieniony w sposób, który wyzwala wymuszanie reguły ochrony danych, reguła jest wymuszana po odświeżeniu podglądu zasobu aplikacyjnego. Podgląd zasobu jest domyślnie odświeżany codziennie. Można również ręcznie odświeżyć podgląd.
Zakres stosowania
Reguły ochrony danych są wymuszane w następujących obszarach roboczych:
Katalogi: Reguły są wymuszane dynamicznie, gdy spełnione są oba te warunki:
- W katalogu włączono wymuszanie zarządzania, które jest włączone. Wymuszanie zarządzania jest ustawiane podczas tworzenia katalogu i nie może być zmieniane po utworzeniu katalogu.
- Użytkownik nie jest właścicielem zasobu. Właściciel zasobu zawsze widzi oryginalne dane i nie ma wpływu na regułę.
Projekty: Wymuszanie reguł jest przenoszone do projektów, gdy oba te warunki są spełnione:
- Zasób aplikacyjny zostanie dodany do projektu z katalogu zarządzanego przez użytkownika, który nie jest właścicielem zasobu. Reguła jest wymuszana na podstawie użytkownika, który dodaje zasób aplikacyjny i wydaje się taki sam dla wszystkich innych użytkowników w projekcie. Jeśli jednak zasób jest chroniony przez głębokie wymuszanie (na przykład Watson Query lub Guardium), a użytkownik nie ma maskowania ani reguły filtrowania wierszy, która jest stosowana względem zasobu danych przeniesionego z katalogu zarządzanego do projektu, wówczas podgląd zasobu aplikacyjnego projektu podlega kontroli dostępu i wymuszania reguł ochrony danych w przypadku głębokiego rozwiązania wymuszającego.
- Zasób jest wyświetlany wstępnie lub jest otwierany w narzędziu Data Refinery . Data Refinery nie obsługuje reguł ochrony danych dla filtrowania wierszy. Zadania Data Refinery mogą się nie powieść, jeśli zasób jest zarządzany przez reguły ochrony danych z filtrowaniem wierszy. Inne narzędzia w projektach nie obsługują dynamicznego maskowania lub filtrowania wierszy i pozwalają na pełny dostęp do oryginalnych danych. Dodatkowo, jeśli do projektu zostanie dodany zasób z Watson Knowledge Catalog , który jest zarządzany przez reguły ochrony danych z filtrowaniem wierszy, maskowanie nie będzie wymuszane w Data Refinery.
Zasoby danych, które są maskowane przez przepływ maskujący, są trwale maskowane dla wszystkich użytkowników. Patrz sekcja Maskowanie w projektach.
Data virtualization: Reguły są wymuszane, gdy spełnione są wszystkie poniższe warunki:
- Wymuszanie reguł ochrony danych jest włączone dla zwirtualizowanych tabel.
- Dostęp do obiektu jest uzyskiwany w wyniku zapytania.
- Zasób danych jest publikowany w katalogu, który jest skonfigurowany do wymuszania reguł ochrony danych.
Patrz Maskowanie danych wirtualnych.
Reguły ochrony danych nie są wymuszane w następujących sytuacjach:
- Jeśli użytkownik uzyskuje dostęp do zasobu w katalogu, który nie jest zarządzany.
- W przypadku skopiowania zamaskowanego lub filtrowanego zasobu aplikacyjnego do projektu, a następnie uzyskania dostępu do zasobu w inny sposób niż doprecyzowanie zasobu w Data Refinery, wyświetlenie podglądu zasobu lub profilu lub pobranie zasobu.
- Jeśli użytkownik uzyskuje dostęp do podstawowego zasobu danych w jego lokalizacji źródłowej przy użyciu metody, która pomija katalog.
- W przypadku uzyskiwania dostępu do danych za pomocą interfejsów API usług REST Watson powiązanych z produktem Watson Knowledge Catalog.
- Jeśli dodasz zasób, który jest zarządzany przez reguły ochrony danych z filtrowaniem wierszy do projektu z katalogu, i użyj go w Data Refinery. Data Refinery nie obsługuje reguł ochrony danych z filtrowaniem na poziomie wierszy.
Sprawdź również znane problemy w innych sytuacjach, w których reguły ochrony danych nie są wymuszane. Więcej informacji na ten temat zawiera sekcja Znane problemy i ograniczenia.
Reguły ochrony danych mogą trwale maskować dane w zasobie za pomocą przepływu maskowania. Więcej informacji na ten temat zawiera sekcja Maskowanie danych z przepływem maskowania.
Zasady dotyczące oceny ochrony danych
Reguły ochrony danych oceniają żądania dostępu do zasobów danych za pomocą prefabrykatów opisanych w poniższej tabeli.
| Prekursor | Objaśnienie |
|---|---|
| Nie wymuszaj reguł dla właścicieli zasobów | Jeśli użytkownik, który próbuje uzyskać dostęp do zasobu, jest właścicielem zasobu (domyślnie jest to użytkownik, który utworzył zasób), to reguła nie jest wymuszana. |
| Ogranicz dostęp do zasobów podczas profilowania | Jeśli zasób jest profilowany w tym samym czasie co reguły ochrony danych, które zależą od profilowania, to tylko właściciel może uzyskać dostęp do zasobu. Jeśli profilowanie i wartościowanie nie zakończy się w ciągu 24 godzin, zasób jest blokowany dla wszystkich użytkowników z wyjątkiem właściciela zasobu. |
| Zezwalaj lub odmawiaj dostępu, jeśli nie mają zastosowania żadne reguły | Jeśli zasób nie spełnia kryteriów dla żadnej reguły ochrony danych, zachowanie zależy od ustawienia konwencji dostępu do danych: (wartość domyślna) Jeśli konwencja dostępu do danych jest ustawiona na wartość Odblokowane, użytkownik ma dostęp do danych. Jeśli konwencja dostępu do danych jest ustawiona na wartość Zablokowane, użytkownikowi odmawia się dostępu do danych. Patrz sekcja Zarządzanie ustawieniami reguł. |
| Wymuś najbardziej bezpieczne lub najłagodniejsze działanie | Gdy użytkownik, który nie jest właścicielem zasobów, próbuje uzyskać dostęp do zasobu, wartościowane są wszystkie reguły ochrony danych. Jeśli zasób spełnia kryteria dla wielu reguł, to zachowanie zależy od ustawienia kolejności wykonywania czynności reguły. (Domyślne) Jeśli priorytet czynności reguły jest ustawiony na Najbardziej bezpieczne działanie wygrywa, stosowane jest następujące kolejność wykonywania zabezpieczeń: 1. Odmów dostępu 2. Maskuj kolumny lub przefiltruj wiersze 3. Zezwalaj na dostęp do Jeśli priorytet czynności reguły jest ustawiony na Najbardziej łagodne wygrane działania, stosowany jest następujący porządek łagodzenia sankcji: 1. Zezwól na dostęp 2. Maskuj kolumny lub przefiltruj wiersze 3. Odmów dostępu Patrz Kolejność działań reguł. |
| Maska z największą prywatnością lub większość programów narzędziowych | Gdy użytkownik, który nie jest właścicielem zasobów, próbuje uzyskać dostęp do zasobu, wartościowane są wszystkie reguły ochrony danych. Jeśli zasób spełnia kryteria dla wielu reguł, a więcej niż jedna z danych maskuje dane, stosowane jest pierwszeństwo metody maskowania. (wartość domyślna) Jeśli priorytet metody maskowania jest ustawiony na wartość Metoda z największą prywatnością wygrywa, stosowana jest następująca kolejność kolejności ochrony prywatności: 1. Metoda redact 2. Metoda zastępcza 3. Zfrezowanie metody Jeśli kolejność maskowania jest ustawiona na Metoda z najbardziej użytecznymi wygrywakami, stosowana jest następująca kolejność większości kolejności wykonywania programów narzędziowych: 1. Zaciemnienie metody 2. Metoda zastępcza 3. Metoda redact Więcej informacji na ten temat zawiera sekcja Pierwszeństwo przed metodą maskowania . |
Wymuszanie maskowania
Maskowanie ma wpływ na wygląd zasobu aplikacyjnego w katalogu, projekcie lub w obszarze roboczym Data virtualization :
- W podglądzie danych wyświetlana jest ikona tarczy
w nagłówku odpowiednich kolumn, a podpowiedź wyświetla nazwę reguły. - W podglądzie danych wyświetlane są maskowane wartości w kolumnach, których dotyczy problem.
- Na stronie Profil nie są wyświetlane szczegóły profilowania dla maskowanych kolumn danych.
- Jeśli zasób danych jest możliwy do pobrania, plik zawiera maskowane wartości.
Informacje o schemacie dla zasobu zawsze odzwierciedlają łączną liczbę kolumn, które znajdują się w oryginalnym zasobie.
W przypadku danych wirtualnych wymuszanie maskowania w programie Watson Query ma ograniczenia i inne różnice. Patrz Maskowanie danych wirtualnych.
Maskowanie w projektach
Maskowanie zadań przepływu, napisz maskowaną kopię danych zasobu źródłowego w skonfigurowanych tabelach docelowych.
Reguły ochrony danych są wymuszane przez niektóre narzędzia w projektach. Jednak wymuszanie jest oparte na użytkowniku, który skopiował zasób aplikacyjny z katalogu do projektu, a nie każdego użytkownika w projekcie.
Wymuszenia reguł ochrony danych mają zastosowanie w projektach, gdy spełnione są następujące warunki:
- Zasób aplikacyjny zostanie dodany do projektu z katalogu zarządzanego.
- Zasób spełnia kryteria reguły ochrony danych.
- Użytkownik, który dodał zasób aplikacyjny do projektu, nie jest właścicielem zasobu w katalogu.
Zasób maskowany przez reguły ochrony danych wydaje się taki sam dla wszystkich współpracowników projektu:
- Jeśli użytkownik, który nie jest właścicielem zasobu, doda zasób aplikacyjny do projektu z katalogu, zasób jest maskowany dla wszystkich innych współpracowników projektu.
- Jeśli właściciel zasobu w katalogu doda zasób aplikacyjny do projektu, zasób nie jest zamaskowany w projekcie dla dowolnego współpracownika projektu.
Maskowanie według reguł ochrony danych w projektach ma następujące skutki:
- Kolumna poszkodowana w podglądzie zasobu jest maskowana dla wszystkich współpracowników projektu.
- Zasób nie może zostać pobrany z projektu.
- Zasób nie może zostać opublikowany w innym katalogu.
- Maskowanie jest stosowane w narzędziu Data Refinery . Maskowanie danych jest stosowane do całej kolumny, której dotyczy dane, w zestawie danych, gdy uruchamiany jest przepływ Data Refinery . Współpracownicy projektu mogą następnie zapisać przepływ Data Refinery w celu utworzenia nowego zasobu danych z maskowanymi danymi w określonym celu. Data Refinery nie obsługuje reguł ochrony danych dla filtrowania wierszy. Zadania Data Refinery mogą się nie powieść, jeśli zasób jest zarządzany przez reguły ochrony danych z filtrowaniem wierszy. Dodatkowo, jeśli do projektu zostanie dodany zasób z Watson Knowledge Catalog , który jest zarządzany przez reguły ochrony danych z filtrowaniem wierszy, maskowanie nie będzie wymuszane w Data Refinery.
Narzędzia przetwarzania danych w projektach innych niż Data Refinery i przepływy maskujące nie obsługują maskowania według reguł ochrony danych.
Więcej inform.
Temat nadrzędny: Reguły ochrony danych