设计数据位置规则包括数据从一个位置移动到另一个位置的方向,实施规则的条件以及相应的实施操作。
试验性 这是试验性发行版,尚不支持在生产环境中使用。
对其实施规则的数据的方向可以是传入和/或传出。 当您将规则的数据方向指定为 "传入" 时,输入位置的数据将受到限制。 将规则的数据方向指定为传出时,将限制离开其位置的数据。 条件可以包括受影响的用户,数据资产的分类或分配给数据资产的其他元数据。 实施操作可以是拒绝或允许访问资产中的所有数据,或者屏蔽部分数据并允许访问资产中的其余数据。
必需的许可权
您必须具有以下 用户许可权:
- 要创建数据位置规则,您必须具有 管理数据保护规则 许可权。
- 要在规则中包含监管工件,您必须具有 访问监管工件 许可权,并且您必须是要在规则中使用的监管工件类别中的合作者。
如果您缺少许可权,请要求平台管理员向您提供这些许可权。
数据位置规则的设置
数据位置规则的设置会影响平台中的所有数据位置规则。 要配置数据位置规则的设置,请调用 https://api.dataplatform.cloud.ibm.com/v3/enforcement/settings
API。 请参阅 创建数据保护规则的先决条件。
- 启用数据位置规则
- 缺省情况下,数据位置规则处于禁用状态。 将
enable_data_location_rules
设置更改为true
。 - 数据访问约定
- 可以将缺省数据访问约定设置为下列其中一个选项:
AEAD: 缺省值。 遵循 "允许所有作者拒绝" 约定。 允许访问数据,除非规则拒绝该数据。 您可以编写拒绝访问数据的规则。
DEAA: 遵循 "拒绝所有作者允许" 约定。 除非规则允许,否则拒绝访问数据。 编写允许访问数据的规则。
数据位置规则的属性
数据位置规则的属性和行为与其他监管工件显着不同。
属性或行为 | 支持? | 说明 |
---|---|---|
必须具有唯一名称? | 是 | 每个数据保护规则都必须具有唯一名称。 |
描述? | 是 | 描述规则以自然语言执行的操作,以便易于理解。 包含标准字和词汇,以便于搜索此规则。 |
要将关系添加到其他规则吗? | False | 数据位置规则之间没有关系。 |
要将关系添加到其他监管工件吗? | 是 | 您可以在数据位置规则的定义中添加监管工件。 然后,数据位置规则将显示在其定义中包含的监管工件的 相关内容 选项卡上。 您还可以向策略添加数据位置规则。 但是,无论数据位置规则是否包含在任何已发布的策略中,都将实施这些规则。 |
要向资产添加关系吗? | 是 | 请参阅 目录中的资产关系。 |
要添加定制属性吗? | False | 数据位置规则不支持定制属性。 |
添加定制关系? | False | 数据位置规则不支持定制关系。 |
按类别组织? | False | 数据位置规则不受类别控制。 它们在平台上的所有受管目录中强制实施,并且对所有用户可见。 |
从文件导入? | False | 必须单独创建每个数据位置规则。 |
导出到文件? | False | 无法导出数据位置规则。 |
由工作流程管理? | False | 数据位置规则将在创建后发布并处于活动状态。 |
指定开始日期和结束日期? | False | 数据位置规则在创建后处于活动状态,直到将其删除为止。 |
要分配管理员吗? | False | 数据位置规则没有元数据管理员。 |
要添加标记吗? | 是 | 虽然无法将标记作为属性添加到数据位置规则,但可以在数据位置规则的定义中包含标记。 |
要分配给资产吗? | 是 | 虽然您无法手动将数据位置规则分配给资产,但当资产与规则的条件匹配时,会对资产实施规则。 |
要分配给数据资产中的列吗? | 是 | 虽然无法手动将数据位置规则分配给资产中的列,但当列与规则的条件和操作块伪指令相匹配时,数据位置规则可以屏蔽列的值。 |
在概要分析或扩充期间自动分配? | False | 当用户尝试访问数据资产时,将强制实施数据位置规则。 |
[uncategory] 类别中的预定义工件? | False | 必须创建所有数据位置规则。 |
数据位置规则由三个组件组成:
数据方向
您可以指定要对其实施规则的方向,或者接受两个方向的缺省值。 数据方向确定当数据进入或离开其物理或主权位置时是否需要限制数据。 当您指定数据方向为传入时,可以根据数据将要到达的位置来限制或允许对数据的访问。 将数据方向指定为传出时,可以根据数据来自的位置来限制或允许对数据的访问。
例如,假设美国的用户需要访问物理上位于德国的数据。 在此示例中,如果选择传入方向,那么您将定义一个规则来控制要发送到美国的数据。 如果选择传出方向,那么定义规则以控制来自德国的数据。
标准
该条件确定强制实施数据位置规则的条件。 条件由一个或多个条件组成。 条件由一个或多个谓词组成,这些谓词描述数据资产的属性或标识用户,并由操作程序组合。
选择谓词的类型,即 包含任何 或 不包含任何运算符以及谓词的特定值。 然后,可以使用 AND 或 OR 布尔运算符连接谓词和条件,以创建具有精确条件的嵌套逻辑结构。
谓词 | 描述 | 特定值 |
---|---|---|
目标主权 | 数据将要到达的主权位置。 例如,源自日本的数据要去德国。 德国是目标主权。 | 单击 添加主权 以选择一个或多个目标位置。 |
源主权 | 数据来自的主权位置。 例如,源自日本的数据要去德国。 日本是源头主权。 | 单击 添加主权 以选择一个或多个源位置。 |
资产所有者 | 在目录中拥有资产的用户的电子邮件地址,例如 [email protected]。 | 搜索并选择一个或多个电子邮件地址。 |
业务术语 | 分配给资产或列的业务术语。 | 搜索并选择已发布的业务术语。 |
数据类 | 分配到用于对数据内容 (例如,客户编号,出生日期或城市) 进行分类的列的数据类。 | 搜索并选择已发布的数据类。 |
标记 | 分配给资产或列的标记。 | 输入一个或多个以逗号分隔的标记。 |
用户名 | 现有目录合作者的名称或电子邮件地址,例如 [email protected]。 | 搜索并选择一个或多个电子邮件地址。 |
用户组 | 作为目录合作者的用户组的名称。 | 搜索并选择一个或多个用户组。 |
分类 | 分配给资产的分类工件。 | 搜索并选择已发布的分类。 |
例如,当数据方向传入时,设计为在到达日本之前对 PII 和 Address 列中的英国数据资产进行模糊处理的谓词可能如下所示:
If source sovereignty contains any United Kingdom
And
If the target sovereignty contains any Japan
Then
Obfuscate data in columns containing Column name
PII Address
操作
数据位置规则的操作定义了强制实施规则的效果。 此操作将阻止受影响的目录成员访问或查看由条件指定的原始数据。 如果评估规则时源和目标主权位置相同,那么不会强制实施该规则,并且允许数据访问。
您可以从三种类型的操作中进行选择。
操作 | 作用域 | 结果 |
---|---|---|
拒绝访问数据 | 数据资产的所有列中的所有数据值 | 受影响的用户无法预览任何数据值,查看资产概要文件或使用资产数据。 |
允许访问数据 | 数据资产的所有列中的所有数据值 | 受影响的用户可以预览任何数据值,查看资产概要文件,使用数据或对资产执行操作。 用户还可以下载资产或将其添加到项目。 |
编辑列 | 列中与屏蔽条件匹配的值 | 受影响的用户会看到值已替换为一个重复字符的字符串。 屏蔽可扩展至项目。 请参阅 在项目中屏蔽。 |
对列进行模糊处理 | 列中与屏蔽条件匹配的值 | 受影响的用户会看到数据替换为类似的值,并且格式相同。 掩码可扩展至项目。 请参阅 在项目中屏蔽。 |
替换列 | 列中与屏蔽条件匹配的值 | 受影响的用户会看到数据已替换为散列值。 屏蔽可扩展至项目。 请参阅 在项目中屏蔽。 |
屏蔽
要屏蔽数据,数据必须符合以下要求:
- 数据是结构化的。 数据必须在关系表或 CSV , Avro ,分区数据或 Parquet 文件中。
- 列标题仅包含字母数字字符 (a-z , A-Z 和 0-9)。 列标题不能包含不受支持的字符,例如多字节字符或特殊字符。
选择屏蔽操作时,必须指定屏蔽条件和屏蔽方法。
屏蔽条件
屏蔽条件标识要屏蔽的列。 选择列属性的类型,并指定该属性的一个或多个特定值,这些值在逻辑上与 OR 运算符组合。
列属性的类型 | 描述 | 特定值 |
---|---|---|
业务术语 | 分配给列的业务术语。 | 搜索并选择一个或多个已发布的业务术语。 |
数据类 | 分配给列的数据类。 | 搜索并选择一个或多个已发布的数据类。 |
标记 | 分配给资产中的列的标记。 | 输入一个或多个以逗号分隔的标记。 |
列名 | 列的名称。 | 输入一个或多个列名,以逗号分隔。 |
例如,假设您选择数据类的列属性以及加利福尼亚州驾驶执照和内华达州驾驶执照的特定值。 然后,会在分配有 "加利福尼亚州驾驶执照" 或 "内华达州驾驶执照" 数据类的列中屏蔽值。
屏蔽方法
屏蔽方法之间的主要区别在于数据的原始特征保留了多少。 保留的数据的原始特征越多,越有用,但安全性越低,屏蔽的数据就会变得越不安全。 选择屏蔽方法时,请考虑以下因素:
数据完整性: 是否对重复的原始值重复相同的掩码值,以保持表之间的引用完整性。
数据格式: 是否保留原始数据的格式。 保留格式意味着用大小写相同的字母替换字母,用数字替换数字,字符数相同。
下表描述了每种屏蔽方法如何影响这些特征。
方法 | 描述 | 是否保留完整性? | 是否保留数据格式? |
---|---|---|---|
Redact | 将值替换为十个 X 字符。 最安全的方法。 | False | False |
替换 | 将值替换为保留引用完整性的随机生成的值。 | 是 | False |
模糊处理 | 将值替换为保留引用完整性和原始数据格式的值。 最不安全的方法。 | 是 | 是 |
对于虚拟数据,根据数据字段定义,屏蔽行为略有不同。 请参阅屏蔽虚拟数据。
编辑
编辑方法将每个数据值替换为正好 10 个字母 X 的字符串。 通过编辑数据,不会保留数据格式和数据完整性。 Redact 是最安全的屏蔽方法,但会生成最不有用的屏蔽数据。
例如,电话号码 510-555-1234 将替换为 XXXXXXXXXX。 所有其他电话号码都将替换为相同的值。
您可以为基于具有 高级数据屏蔽的数据类的条件指定高级编辑选项。 但是,不会自动实施高级数据屏蔽。 您必须将其应用于项目中的所选数据资产,然后将掩码资产发布到目录。
替换
替代方法将数据替换为与原始格式不匹配的值。 但是,它会保留目录中所有资产的重复值的引用完整性。 替换值没有意义,无法确定值的原始格式。 替代方法在 Redact 和 Obfuscate 方法之间提供安全性和数据有效性。
例如,电话号码 510-555-1234 始终替换为 500ddcc98133703531re3456
。
模糊处理
模糊处理方法将数据值替换为与原始格式匹配的格式相似的值,并保留重复值的引用完整性。 因为模糊化的值具有类似的格式,所以它们可以是有效值。 模糊处理是最不安全的掩蔽方法,但会生成最有用的掩蔽数据。
例如,电话号码 510-555-1234 始终替换为 415 -987-6543。
但是,模糊处理方法仅限于已分配具有以下类型信息的数据类的列中的数据值:
- 个人信息,例如个人的基本属性,例如荣誉或姓名后缀。
- 联系详细信息,例如电子邮件地址、电话号码、州、邮政地址、纬度或经度。
- 财务帐户,例如信用卡、银行或其他财务帐号。
- 政府身份(例如由政府发放的个人标识号),如 SSN(美国社会安全号)和 CCN(信用卡号)。
- 个人人口统计信息,例如,宗教,种族,婚姻状况,爱好或员工状况。
- 连接数据,例如, IP 地址或 MAC 地址。
如果创建用于对数据进行模糊处理的规则,并且对未分配支持模糊处理的数据类的数据强制实施该规则,那么将改为使用替代方法。
您可以为基于具有 高级数据屏蔽的数据类的屏蔽条件指定高级模糊处理选项。 但是,不会自动实施高级数据屏蔽。 您必须将其应用于项目中的所选数据资产,然后将掩码资产发布到目录。
了解更多信息
父主题: 数据位置规则