数据保护规则定义基于属性的数据访问控制。 您可以创建数据保护规则，以定义如何根据用户的身份以及数据的属性或特征来保护敏感数据。 当用户访问受管目录中的资产时，将对数据保护规则进行强制评估。 规则的实施可能会影响数据的外观以及数据资产是否可以移出目录以供使用。

数据保护规则适用于受管目录中的数据资产，在某些情况下适用于项目和 Data virtualization中的数据资产。 当目录成员尝试查看或处理管理的目录中的数据资产，以阻止未经授权的用户访问敏感数据时，就会自动实施数据保护规则。 但是，如果尝试访问目录中的资产的用户是该资产的所有者 (缺省情况下是创建该资产的用户) ，那么将始终授予不受限制的访问权。

数据保护规则由条件和操作块组成。 条件可识别要控制的数据，并可包含请求访问数据的人员以及数据资产的属性。 条件可以由多个在布尔表达式中组合的谓词组成。 谓词可以包含用户属性和资产属性，例如分配给资产的数据类，分类，标记或业务术语。 操作块指定如何控制数据。 操作块可以由二进制操作 (例如，拒绝访问数据) 和数据转换操作 (例如，屏蔽列中的数据值或过滤行) 组成:

拒绝访问数据

受影响的用户无法预览任何数据值或使用数据资产。 适用于任何类型的数据资产。

编辑列

受影响的用户会看到值替换为一个重复字符的字符串。 应用于具有关系数据的数据资产。

对列进行模糊处理

受影响的用户会看到数据替换为类似的值并采用相同的格式。 应用于具有关系数据的数据资产。

替换列

受影响的用户看到数据已替换为散列值。 应用于具有关系数据的数据资产。

过滤行

受影响的用户会在数据集中看到部分行。 应用于具有关系数据的数据资产。

例如，您可以创建数据保护规则，以拒绝访问数据资产中包含除 Joe Blue 以外的所有用户的机密信息的数据。 该规则的定义由具有两个条件和一个操作的条件组成:

重写为句子，规则定义为: If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.

对于关系数据资产，您还可以根据分配的监管工件或列的其他属性来创建规则，以屏蔽资产列中的数据。 例如，您可以定义用于屏蔽电子邮件地址的规则，以便用户可以查看资产中除电子邮件地址的数据值以外的所有数据，这些值将替换为生成的值。

如果没有数据保护规则，那么对目录中数据资产的访问将受到该目录中数据资产的隐私设置的限制，并且仅限于作为目录中的合作者的用户。