データ保護ルールは、データの属性ベースのアクセス制御を定義します。 データ保護ルールを作成して、ユーザーの ID と、データのプロパティーまたは特性に基づいて機密データを保護する方法を定義できます。 データ保護ルールは、ユーザーが管理対象カタログ内の資産にアクセスするときに適用が評価されます。 ルールを適用すると、データの外観や、データ資産をカタログから移動して使用できるかどうかに影響を与える可能性があります。

データ保護ルールは、管理対象カタログ内のデータ資産に適用されます。また、場合によっては、プロジェクトおよびデータ仮想化内のデータ資産にも適用されます。 データ保護ルールは、カタログ・メンバーが管理対象カタログ内のデータ資産の表示や処理を試みると自動的に適用され、無許可のユーザーが機密データにアクセスするのを防ぎます。 ただし、カタログ内の資産にアクセスしようとしているユーザーが資産の所有者 (デフォルトでは、資産を作成したユーザー) である場合は、常に無制限のアクセス権限が付与されます。

データ保護ルールは、基準とアクション・ブロックで構成されます。 基準は、制御するデータを識別し、誰がデータおよびデータ資産のプロパティーへのアクセスを要求しているかを含めることができます。 基準は、ブール式で結合された複数の述部で構成できます。 述部には、ユーザー属性と資産プロパティー (資産に割り当てられているデータ・クラス、分類、タグ、ビジネス用語など) を含めることができます。 アクション・ブロックは、データの制御方法を指定します。 アクション・ブロックは、データへのアクセスの拒否などのバイナリー・アクションと、列内のデータ値のマスキングや行のフィルタリングなどのデータ変換アクションで構成できます。

データへのアクセスの拒否

影響を受けるユーザーは、データ値をプレビューすることも、データ資産を使用することもできません。 すべてのタイプのデータ資産に適用されます。

列の編集

影響を受けるユーザーには、1 つの反復文字のストリングで置き換えられた値が表示されます。 リレーショナル・データを持つデータ資産に適用されます。

列の難読化

影響を受けるユーザーには、同じ形式の類似した値で置き換えられたデータが表示されます。 リレーショナル・データを持つデータ資産に適用されます。

列の置換

影響を受けるユーザーには、ハッシュ値で置き換えられたデータが表示されます。 リレーショナル・データを持つデータ資産に適用されます。

行のフィルター

影響を受けるユーザーには、データ・セット内の行のサブセットが表示されます。 リレーショナル・データを持つデータ資産に適用されます。

例えば、Joe Blue 以外のすべてのユーザーの機密情報を含むデータ資産内のデータへのアクセスを拒否するデータ保護ルールを作成できます。 そのルールの定義は、以下の 2 つの条件と 1 つのアクションを持つ基準で構成されます：

文として書き直されました。ルール定義は If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.です。

リレーショナル・データ資産の場合、割り当てられたガバナンス成果物または列のその他のプロパティーに基づいて、資産列のデータをマスクするルールを作成することもできます。 たとえば、メール・アドレスをマスクするルールを定義すると、ユーザーはメール・アドレスのデータ値を除いて、アセット内のすべてのデータを表示できるようになり、その値は生成された値に置き換えられます。

データ保護ルールを使用しない場合、カタログ内のデータ資産へのアクセスは、そのカタログ内のデータ資産のプライバシー設定によって制限され、カタログ内のコラボレーターであるユーザーに制限されます。