设计数据保护规则时,必须确定实施该规则的条件以及相应的实施操作。 条件可以包括受影响的用户,数据资产的分类或分配给数据资产的其他元数据。 实施操作可以是拒绝访问资产中的所有数据,屏蔽部分数据或从数据中过滤行。
必需的许可权
您必须具有以下 用户许可权:
- 要创建数据保护规则,您必须具有 管理数据保护规则 许可权。
- 要在规则中包含监管工件,您必须具有 访问监管工件 许可权,并且您必须是要在规则中使用的监管工件类别中的合作者。
如果您缺少许可权,请要求平台管理员向您提供这些许可权。
数据保护规则的属性
数据保护规则的属性和行为与其他监管工件显着不同。
| 属性或行为 | 支持? | 说明 |
|---|---|---|
| 必须具有唯一名称? | 是 | 每个数据保护规则都必须具有唯一名称。 |
| 描述? | 是 | 描述规则以自然语言执行的操作,以便易于理解。 包含标准字和词汇,以便于搜索此规则。 |
| 要将关系添加到其他规则吗? | False | 数据保护规则之间没有关系。 |
| 要将关系添加到其他监管工件吗? | 是 | 您可以在数据保护规则的定义中添加监管工件。 然后,数据保护规则将显示在其定义中包含的监管工件的 相关内容 选项卡上。 您还可以向策略添加数据保护规则。 但是,无论数据保护规则是否包含在任何已发布的策略中,都将实施这些规则。 |
| 要向资产添加关系吗? | 是 | 请参阅 目录中的资产关系。 |
| 要添加定制属性吗? | False | 数据保护规则不支持定制属性。 |
| 添加定制关系? | False | 数据保护规则不支持定制关系。 |
| 按类别组织? | False | 数据保护规则不受类别控制。 它们在平台上的所有受管目录中强制实施,并且对所有用户可见。 |
| 从文件导入? | False | 必须单独创建每个数据保护规则。 |
| 导出到文件? | False | 无法导出数据保护规则。 |
| 由工作流程管理? | False | 数据保护规则在创建后发布并处于活动状态。 |
| 指定开始日期和结束日期? | False | 数据保护规则在创建后处于活动状态,直到被删除为止。 |
| 要分配管理员吗? | False | 数据保护规则没有管理者。 |
| 要添加标记吗? | 是 | 虽然无法将标记作为属性添加到数据保护规则,但可以在数据保护规则的定义中包含标记。 |
| 要分配给资产吗? | 是 | 虽然您无法手动将数据保护规则分配给资产,但当资产与规则的条件匹配时,将对资产实施规则。 |
| 要分配给数据资产中的列吗? | 是 | 虽然您无法手动将数据保护规则分配给资产中的列,但当列与规则的条件和操作块伪指令相匹配时,数据保护规则可以屏蔽列的值。 |
| 在概要分析或扩充期间自动分配? | False | 当用户尝试访问数据资产时,将强制实施数据保护规则。 |
| [uncategory] 类别中的预定义工件? | False | 必须创建所有数据保护规则。 |
数据保护规则由两个组件组成:
标准
这些条件用于确定强制实施数据保护规则的条件。 条件由一个或多个条件组成。 每个条件都由谓词,比较运算符以及一个或多个输入值组成。
配置条件的过程涉及选择谓词类型以定义资产或用户属性,比较运算符以及要比较的谓词的特定值。 然后,可以使用 AND 或 OR 布尔运算符连接谓词和条件,以创建具有精确条件的嵌套逻辑结构。
谓词类型
| 谓词 | 描述 | 输入值 |
|---|---|---|
| 资产 | 资产的全局唯一标识 (GUID) ,例如 4899251b-6073-4f25-9601-fc70fca1f9a9。 |
使用数据和 AI 通用核心 API 输入一个或多个资产 ID,用逗号分隔。 |
| 资产名称 | 资产的名称,例如 SALES_LEADS。 |
输入一个或多个以逗号分隔的资产名称。 |
| 资产所有者 | 在目录中拥有资产的用户的电子邮件地址,例如 [email protected]。 |
搜索并选择一个或多个电子邮件地址。 |
| 资产模式 | 已连接资产的模式,例如 db2_conn1。 |
输入一个或多个以逗号分隔的资产模式。 |
| 业务术语 | 分配给资产或列的业务术语,例如 work phone number。 |
搜索并选择已发布的业务术语。 |
| 目录 | 包含资产的目录的全局唯一标识 (GUID) ,例如 46a19524-bfbf-4810-a1f0-b131f12bc773。 |
使用数据和 AI 通用核心 API 输入一个或多个目录 ID,用逗号分隔。 |
| 分类 | 资产中敏感信息的类型,例如 Confidential 或 Personally Indentifiable Information。 |
搜索并选择一个或多个分类。 |
| 列名 | 资产中列的名称,例如 FNAME, LNAME和 CLAIM_ID。 |
输入一个或多个以逗号分隔的列名。 |
| 数据类 | 分配给用于对数据内容进行分类的列的数据类,例如 Customer Number, Date of Birth或 City。 |
搜索并选择已发布的数据类。 |
| 标记 | 分配给资产或列的标记,例如 Marketing, Client Information或 Claim。 |
输入一个或多个以逗号分隔的标记。 |
| 用户名 | 用户的名称或电子邮件地址,例如 [email protected]。 |
搜索并选择一个或多个电子邮件地址。 |
| 用户组 | 作为目录合作者的用户组的名称,例如 people managers 或 finance group。 |
搜索并选择一个或多个用户组。 |
| 定制谓词 | 映射到定制用户属性或定制数据资产属性的用户定义谓词。 | 使用 IBM Knowledge Catalog API 创建用户定义的谓词。 |
比较运算符
| 运算符 | 描述 | 输入值 |
|---|---|---|
| 等于 | 精确匹配比较,通常用于属性的标识,例如目录标识或资产标识。 例如, "贷款审批" 和 "融资"。 | 使用数据和 AI 通用核心 API 搜索并输入一个或多个以逗号分隔的值的 ID(资产 ID或目录 ID)。 |
| 包含任一 | 过滤包含该属性的任何所列值的资产的谓词类型。 例如,包含任何 "机密" , "敏感" 或 "财务" 标记的资产。 | 搜索一个或多个以逗号分隔的值,然后输入这些值。 |
| 不包含任一 | 过滤不包含该属性的任何所列值的资产的谓词类型。 例如,不包含任何 "机密" , "敏感" 或 "财务" 标记的资产。 | 搜索一个或多个以逗号分隔的值,然后输入这些值。 |
| 喜欢 | 过滤指定为正则表达式的模式的谓词值,例如 "finance. *" 或 "(USER | CUSTOMER). +" | 输入以逗号分隔的正则表达式。 |
例如,在条件中以不同方式嵌套可能会产生具有相同谓词的不同结果。
以下条件创建一个规则,用于屏蔽具有特定分类以及特定数据类或特定业务术语的数据。
以下条件创建一个规则,用于屏蔽具有特定分类和特定数据类的数据或具有特定业务术语的数据:
操作
数据保护规则的操作定义了强制实施规则的效果。 此操作将阻止受影响的目录成员访问或查看由条件指定的原始数据。 资产所有者不受数据保护规则影响。
您可以从以下类型的操作中进行选择。
| 操作 | 作用域 | 结果 |
|---|---|---|
| 拒绝访问 | 数据资产的所有列中的所有数据值 | 受影响的用户可以查看资产元数据,但无法预览任何数据值,使用数据或对资产执行操作。 用户也无法下载资产或将其添加到项目。 |
| 编辑列 | 列中与屏蔽条件匹配的值 | 受影响的用户会看到值已替换为一个重复字符的字符串。 请参阅 使用数据保护规则来掩码数据。 屏蔽可扩展至项目。 请参阅 在项目中屏蔽。 |
| 对列进行模糊处理 | 列中与屏蔽条件匹配的值 | 受影响的用户会看到数据已替换为类似的值,并且格式相同。 请参阅 使用数据保护规则来掩码数据。 屏蔽可扩展至项目。 请参阅 在项目中屏蔽。 |
| 替换列 | 列中与屏蔽条件匹配的值 | 受影响的用户看到数据已替换为散列值。 请参阅 使用数据保护规则来掩码数据。 屏蔽可扩展至项目。 请参阅 在项目中屏蔽。 |
| 过滤行 | 与特定条件匹配的所有行 | 受影响的用户可以根据其目录角色和所选过滤类型来查看或阻止查看特定行中的所有值。 根据数据资产的需求,行过滤是包含或排除。 请参阅 过滤行。 |
屏蔽或过滤操作中的列名准则
列名必须与数据资产模式中的名称完全匹配,否则不会应用规则。 此外,列名区分大小写。 例如,如果创建规则以根据 COLUMN9的列名来过滤行,那么该规则不会过滤名称为 column9 的列中指定的行,而仅根据与 COLUMN9完全匹配的列名来过滤行。
定制谓词
当标准谓词 (例如,数据资产的属性或标识用户) 不足或不满足您的业务需求时,可以使用定制谓词。
您创建的谓词将映射到数据资产的属性。
要创建或删除自定义谓词,必须使用 IBM Knowledge Catalog API。 如果您决定稍后更新定制谓词,那么必须首先使用定制谓词删除所有现有规则,然后使用更新后的定制谓词重新创建新规则。
了解更多信息
父主题: 数据保护规则