Lorsque vous concevez-vous une règle de protection des données, vous devez décider des critères d'application de la règle et de l'action d'exécution correspondante. Les critères peuvent inclure les utilisateurs concernés, la classification de l'actif de données ou d'autres métadonnées affectées à l'actif de données. L'action de mise en application peut être soit de refuser l'accès à toutes les données de l'actif, soit de masquer des parties des données, soit de filtrer les lignes des données.
- Autorisations requises
- Propriétés des règles de protection des données
- Critères
- Actions
- Instructions relatives aux noms de colonne dans l'action de masquage ou de filtrage
- Prédicats personnalisés
- En savoir plus
Droits requis
Vous devez disposer des droits utilisateursuivants:
- Pour créer des règles de protection des données, vous devez disposer des droits d'accès Gérer les règles de protection des données.
- Pour inclure des artefacts de gouvernance dans vos règles, vous devez disposer du droit pour accéder aux artefacts de gouvernance et vous devez être un collaborateur dans les catégories des artefacts de gouvernance que vous souhaitez utiliser dans la règle.
Si vous ne disposez pas de droits d'accès, demandez à votre administrateur de la plateforme de vous les donner.
Propriétés des règles de protection des données
Les propriétés et le comportement des règles de protection des données diffèrent considérablement des autres artefacts de gouvernance.
| Propriété ou comportement | Prend en charge ? | Explication |
|---|---|---|
| Doit avoir des noms uniques ? | Oui | Chaque règle de protection des données doit avoir un nom unique. |
| Description? | Oui | Décrivez ce que la règle fait en langage naturel pour qu'elle soit facile à comprendre. Ajoutez des mots et des termes standard pour faciliter la recherche de cette règle. |
| Ajouter des relations à d'autres règles ? | Non | Les règles de protection des données n'ont pas de relations entre elles. |
| Ajouter des relations à d'autres artefacts de gouvernance ? | Oui | Vous pouvez ajouter des artefacts de gouvernance dans les définitions de règles de protection des données. La règle de protection des données apparaît alors dans l'onglet Contenu associé des artefacts de gouvernance inclus dans sa définition. Vous pouvez également ajouter des règles de protection des données aux règles. Cependant, les règles de protection des données sont appliquées, qu'elles soient ou non incluses dans les politiques publiées. |
| Ajouter une relation à l'actif? | Oui | Voir Relations d'actifs dans les catalogues. |
| Ajouter des propriétés personnalisées? | Non | Les règles de protection des données ne prennent pas en charge les propriétés personnalisées. |
| Ajouter des relations personnalisées ? | Non | Les règles de protection des données ne prennent pas en charge les relations personnalisées. |
| Organiser en catégories ? | Non | Les règles de protection des données ne sont pas contrôlées par catégories. Ils sont appliqués sur tous les catalogues gérés sur la plateforme et visibles pour tous les utilisateurs. |
| Importer à partir d'un fichier ? | Non | Vous devez créer chaque règle de protection des données individuellement. |
| Exporter dans un fichier ? | Non | Vous ne pouvez pas exporter une règle de protection des données. |
| Géré par flux de travaux ? | Non | Les règles de protection des données sont publiées et actives après la création. |
| Indiquez les dates de début et de fin ? | Non | Les règles de protection des données sont actives après la création et jusqu'à ce qu'elles soient supprimées. |
| Affecter un intendant ? | Non | Les règles de protection des données n'ont pas de ragodes. |
| Ajouter des étiquettes ? | Oui | Bien que vous ne puissiez pas ajouter de balises comme propriétés aux règles de protection des données, vous pouvez inclure des balises dans les définitions de règles de protection des données. |
| Affecter à un actif ? | Oui | Bien que vous ne pouvez pas affecter manuellement des règles de protection des données aux actifs, les règles sont appliquées pour les actifs lorsque les actifs correspondent aux critères de la règle. |
| Affecter à une colonne d'un actif de données ? | Oui | Bien que vous ne puissiez pas affecter manuellement une règle de protection des données à une colonne d'un actif, les règles de protection des données peuvent masquer les valeurs d'une colonne lorsque la colonne correspond aux critères et aux directives de bloc d'action de la règle. |
| Affectation automatisée lors du profilage ou de l'enrichissement ? | Non | Les règles de protection des données sont appliquées lorsqu'un utilisateur tente d'accéder à un actif de données. |
| Des artefacts prédéfinis dans la catégorie [ uncategorized ] ? | Non | Vous devez créer toutes les règles de protection des données. |
Les règles de protection des données sont composées de deux composants :
Critères
Les critères identifient les conditions d'application de la règle de protection des données. Un critère consiste en une ou plusieurs conditions. Chaque condition se compose d'un prédicat, d'un opérateur de comparaison et d'une ou plusieurs valeurs d'entrée.
Le processus de configuration d'un critère implique la sélection du type de prédicat pour définir l'actif ou l'attribut utilisateur, l'opérateur de comparaison et les valeurs spécifiques du prédicat à comparer. Vous pouvez ensuite vous joindre aux prédicats et aux conditions avec les opérateurs booléens ET ou OU pour créer des structures logiques imbriquées avec des critères précis.
Types de prédicat
| Prédicat | Descriptif | Valeurs d'entrée |
|---|---|---|
| Actif | Identificateur global unique (GUID) de l'actif, par exemple, 4899251b-6073-4f25-9601-fc70fca1f9a9. |
Saisissez un ou plusieurs identifiants d'actifs, séparés par des virgules, à l'aide de l'API du tronc commun de données et d'IA. |
| Nom de l'actif | Nom de l'actif, par exemple, SALES_LEADS. |
Entrez un ou plusieurs noms d'actif, séparés par des virgules. |
| Propriétaire d'actif | Adresse électronique de l'utilisateur qui possède l'actif dans le catalogue, par exemple, [email protected]. |
Recherchez, puis sélectionnez une ou plusieurs adresses électroniques. |
| Schéma d'actif | Schéma de l'actif connecté, par exemple, db2_conn1. |
Entrez un ou plusieurs schémas d'actif, séparés par des virgules. |
| Terme métier | Terme métier affecté à l'actif ou à une colonne, par exemple work phone number. |
Recherchez puis sélectionnez un terme métier publié. |
| Catalogue | Identificateur global unique (GUID) du catalogue contenant l'actif, par exemple 46a19524-bfbf-4810-a1f0-b131f12bc773. |
Saisissez un ou plusieurs identifiants de catalogue, séparés par des virgules, à l'aide de l'API Data and AI Common Core. |
| Classification | Type d'informations sensibles dans l'actif, par exemple Confidential ou Personally Indentifiable Information. |
Recherchez et sélectionnez une ou plusieurs classifications. |
| Nom de colonne | Nom d'une colonne dans un actif, par exemple FNAME, LNAME, CLAIM_ID. |
Entrez un ou plusieurs noms de colonne séparés par des virgules. |
| Classe de données | Classe de données affectée à une colonne qui classifie le contenu des données, par exemple Customer Number, Date of Birthou City. |
Recherchez puis sélectionnez une classe de données publiée. |
| Balise | Balise affectée à l'actif ou à une colonne, par exemple Marketing, Client Informationou Claim. |
Entrez une ou plusieurs balises, séparées par des virgules. |
| Nom d'utilisateur | Nom ou adresse électronique d'un utilisateur, par exemple, [email protected]. |
Recherchez, puis sélectionnez une ou plusieurs adresses électroniques. |
| Groupe d'utilisateurs | Nom d'un groupe d'utilisateurs qui est un collaborateur de catalogue, par exemple people managers ou finance group. |
Recherchez puis sélectionnez un ou plusieurs groupes d'utilisateurs. |
| Prédicats personnalisés | Prédicat défini par l'utilisateur qui correspond à un attribut utilisateur personnalisé ou à un attribut d'actif de données personnalisé. | Créer des prédicats définis par l'utilisateur à l'aide de l' API IBM Knowledge Catalog. |
Opérateurs de comparaison
| Opérateur | Descriptif | Valeurs d'entrée |
|---|---|---|
| égal à | Comparaison de correspondance exacte, généralement utilisée pour les ID d'attributs tels que les ID de catalogue ou les ID d'actif. Par exemple, "Approbation de prêts" et "Financement". | Recherchez puis saisissez les identifiants d'une ou plusieurs valeurs séparées par des virgules à l'aide de l'API du tronc commun de données et d'IA pour les identifiants d'actifs ou de catalogues. |
| contient | Filtre le type de prédicat pour les actifs qui contiennent l'une des valeurs répertoriées pour cet attribut. Par exemple, les actifs qui contiennent une étiquette de type "confidentiel", "sensible" ou "financier". | Recherchez et entrez une ou plusieurs valeurs séparées par des virgules. |
| ne contient pas | Filtre le type de prédicat pour les actifs qui ne contiennent aucune des valeurs répertoriées pour cet attribut. Par exemple, les actifs qui ne contiennent pas de balise "confidentiel", "sensible" ou "financier". | Recherchez et entrez une ou plusieurs valeurs séparées par des virgules. |
| comme | Filtre la valeur de prédicat pour un modèle spécifié en tant qu'expression régulière, par exemple "FINANCE. *" ou "(USER | CUSTOMER). +" | Entrez des expressions régulières séparées par des virgules. |
Par exemple, l'imbrication de différentes manières dans les critères peut produire des résultats différents avec les mêmes prédicats.
Les critères suivants créent une règle qui masque les données ayant une classification spécifique, plus une classe de données spécifique ou un terme métier spécifique.
Les critères suivants créent une règle qui masque des données ayant une classification spécifique plus une classe de données spécifique ou ayant un terme métier spécifique :
Actions
L'action de la règle de protection des données définit l'effet de l'application de la règle. L'action empêche les membres de catalogue concernés d'accéder ou de visualiser les données d'origine, comme spécifié par les conditions. Le propriétaire de l'actif n'est pas affecté par les règles de protection des données.
Vous choisissez l'un des types d'action suivants.
| Opération | Portée | Résultat |
|---|---|---|
| Refuser l'accès | Toutes les valeurs de données dans toutes les colonnes de l'actif de données | Les utilisateurs affectés peuvent voir les métadonnées de l'actif, mais ne peuvent pas prévisualiser les valeurs de données, utiliser les données ou effectuer des actions sur l'actif. Les utilisateurs ne peuvent pas non plus télécharger les actifs ou les ajouter à un projet. |
| Occulter les colonnes | Les valeurs de la colonne qui correspondent aux critères de masquage | Les utilisateurs concernés voient les valeurs remplacées par une chaîne d'un caractère répété. Voir Masque des données avec des règles de protection des données. Le masquage peut s'étendre aux projets. Voir Masquage dans les projets. |
| Brouiller les colonnes | Les valeurs de la colonne qui correspondent aux critères de masquage | Les utilisateurs concernés voient les données remplacées par des valeurs similaires et dans le même format. Voir Masque des données avec des règles de protection des données. Le masquage peut s'étendre aux projets. Voir Masquage dans les projets. |
| Remplacer les colonnes | Les valeurs de la colonne qui correspondent aux critères de masquage | Les utilisateurs concernés voient les données remplacées par une valeur hachée. Voir Masque des données avec des règles de protection des données. Le masquage peut s'étendre aux projets. Voir Masquage dans les projets. |
| Filtrer les lignes | Toutes les lignes qui correspondent à un critère spécifique | Les utilisateurs affectés peuvent afficher ou ne peuvent pas afficher toutes les valeurs dans des lignes spécifiques en fonction de leurs rôles de catalogue et du type de filtrage choisi. Le filtrage des lignes est une inclusion ou une exclusion en fonction des exigences de l'actif de données. Voir Filtrage des lignes. |
Instructions de nom de colonne dans l'action de masquage ou de filtrage
Les noms de colonne doivent correspondre exactement au nom dans le schéma d'actif de données ou la règle n'est pas appliquée. En outre, les noms de colonne sont sensibles à la casse. Par exemple, si vous créez une règle pour filtrer les lignes en fonction du nom de colonne COLUMN9, la règle ne filtre pas les lignes spécifiées dans les colonnes portant le nom column9 et filtre uniquement les lignes en fonction des noms de colonne qui correspondent exactement à COLUMN9.
Prédicats personnalisés
Vous pouvez utiliser des prédicats personnalisés lorsque les prédicats standard, tels que les propriétés des actifs de données ou l'identification des utilisateurs, sont insuffisants ou ne répondent pas à vos besoins métier.
Les prédicats que vous créez sont mappés aux propriétés des actifs de données.
Pour créer ou supprimer des prédicats personnalisés, vous devez utiliser l' API IBM Knowledge Catalog. Si vous décidez ultérieurement de mettre à jour un prédicat personnalisé, vous devez d'abord supprimer toutes les règles existantes à l'aide du prédicat personnalisé, puis recréer les nouvelles règles à l'aide du prédicat personnalisé mis à jour.
En savoir plus
- Masquage des données
- Filtrage de lignes
- Evaluation des règles de protection des données
- Gestion des règles de protection des données
- IBM Knowledge Catalog API
Rubrique parent : Règles de protection des données