Quando si progetta una regola di protezione dei dati, è necessario decidere i criteri per l'esecuzione della regola e la corrispondente azione di esecuzione. I criteri possono includere quali utenti sono interessati, la classificazione dell'asset di dati o altri metadati assegnati all'asset dati. L'azione di applicazione può essere quella di negare l'accesso a tutti i dati all'interno dell'asset, mascherare parti dei dati o filtrare le righe dai dati.
- Autorizzazioni richieste
- Proprietà delle regole di protezione dei dati
- Criteri
- Azioni
- Linee guida per il nome della colonna all'interno dell'azione di mascheramento o filtro
- predicati personalizzati
- Ulteriori informazioni
Autorizzazioni richieste
È necessario disporre di queste autorizzazioni utente:
- Per creare regole di protezione dei dati, è necessario disporre delle autorizzazioni Gestisci regole di protezione dei dati .
- Per includere gli artefatti di governance nelle tue regole, devi avere il permesso Accesso alla governance e devi essere un collaboratore nelle categorie degli artefatti di governance che si desidera utilizzare nella norma.
Se mancano i permessi, chiedi all'amministratore della piattaforma di darli a te.
Proprietà delle regole di protezione dei dati
Le proprietà e il comportamento delle regole di protezione dei dati differiscono significativamente da altri manufatti di governance.
| Proprietà o comportamento | Supporti? | Spiegazione |
|---|---|---|
| Deve avere nomi univoli? | Sì | Ogni regola di protezione dei dati deve avere un nome univoco. |
| Descrizione? | Sì | Descrivi cosa fa la regola in linguaggio naturale in modo che sia facile da capire. Includere parole e termini standard per semplificare la ricerca di questa regola. |
| Aggiungere relazioni ad altre regole? | N | Le regole di protezione dei dati non hanno relazioni tra loro. |
| Aggiungere relazioni ad altri artefatti di governance? | Sì | È possibile aggiungere artefatti di governance nelle definizioni delle regole di protezione dei dati. La regola di protezione dei dati appare quindi sulla scheda Contenuto correlato degli artefatti di governance inclusi nella sua definizione. È anche possibile aggiungere regole di protezione dei dati alle policy. Tuttavia, le regole di protezione dei dati vengono applicate indipendentemente dal fatto che siano incluse in eventuali politiche pubblicate. |
| Aggiungere la relazione all'asset? | Sì | Vedere Relazioni di asset nei cataloghi. |
| Aggiungere proprietà personalizzate? | N | Le regole di protezione dei dati non supportano le proprietà personalizzate. |
| Aggiungere relazioni personalizzate? | N | Le regole di protezione dei dati non supportano relazioni personalizzate. |
| Organizzare in categorie? | N | Le regole di protezione dei dati non sono controllate da categorie. Vengono applicati in tutti i cataloghi regolati sulla piattaforma e visibili a tutti gli utenti. |
| Importare da un file? | N | È necessario creare ogni regola di protezione dei dati singolarmente. |
| Esportare in un file? | N | Non è possibile esportare una regola di protezione dei dati. |
| Gestito dai flussi di lavoro? | N | Le regole di protezione dei dati sono pubblicate e attive dopo la creazione. |
| Specificare le date di inizio e fine? | N | Le regole di protezione dei dati sono attive dopo la creazione e fino a quando non vengono cancellate. |
| Assegnare un Steward? | N | Le regole di protezione dei dati non hanno steward. |
| Aggiungere tag? | Sì | Anche se non è possibile aggiungere tag come proprietà alle regole di protezione dei dati, è possibile includere tag nelle definizioni delle regole di protezione dei dati. |
| Assegnare ad un asset? | Sì | Sebbene non si possano assegnare manualmente le regole di protezione dei dati agli asset, le regole vengono applicate per gli asset quando gli asset corrispondono ai criteri della regola. |
| Assegnare a una colonna in un asset dati? | Sì | Sebbene non si possa assegnare manualmente una regola di protezione dei dati ad una colonna in un asset, le regole di protezione dei dati possono mascherare i valori di una colonna quando la colonna corrisponde ai criteri e alle direttive di blocco azione della regola. |
| Assegnazione automatizzata durante la profilazione o l'arricchimento? | N | Le regole di protezione dei dati vengono applicate quando un utente tenta di accedere ad un asset di dati. |
| Manufatti predefiniti nella categoria [ uncategorized] ? | N | È necessario creare tutte le regole di protezione dei dati. |
Le regole di protezione dei dati sono composte da due componenti:
Criteri
I criteri individuano le condizioni per l'applicazione della regola di protezione dei dati. Un criterio è costituito da una o più condizioni. Ogni condizione è composta da un predicato, un operatore di confronto e uno o più valori di input.
Il processo di configurazione di un criterio comporta la selezione del tipo di predicato per definire l'asset o l'attributo utente, l'operatore di confronto e i valori specifici del predicato con cui eseguire il confronto. È quindi possibile unire predicati e condizioni con gli operatori booleani AND o OR per creare strutture logiche nidificate con criteri precisi.
Tipi di predicati
| Predicato | Descrizione | Valori di input |
|---|---|---|
| Asset | Il GUID (globally unique identifier) dell'asset, ad esempio 4899251b-6073-4f25-9601-fc70fca1f9a9. |
Inserire uno o più ID risorsa, separati da virgole, utilizzando l'API Data and AI Common Core. |
| Nome asset | Il nome dell'asset, ad esempio SALES_LEADS. |
Immettere uno o più nomi asset, separati da virgole. |
| Proprietario asset | L'indirizzo email dell'utente proprietario dell'asset nel catalogo, ad esempio [email protected]. |
Cercare e quindi selezionare uno o più indirizzi email. |
| Schema asset | Lo schema dell'asset connesso, ad esempio db2_conn1. |
Immettere uno o più schemi di asset, separati da virgole. |
| Termine di business | Un termine di business assegnato all'asset o a una colonna, ad esempio work phone number. |
Cercare e quindi selezionare un termine aziendale pubblicato. |
| Catalogo | Il GUID (globally unique identifier) del catalogo contenente l'asset, ad esempio 46a19524-bfbf-4810-a1f0-b131f12bc773. |
Inserire uno o più ID catalogo, separati da virgole, utilizzando l'API Data and AI Common Core. |
| Classificazione | Il tipo di informazioni sensibili nell'asset, ad esempio Confidential o Personally Indentifiable Information. |
Ricercare e selezionare una o più classificazioni. |
| Nome colonna | Il nome di una colonna in un asset, ad esempio FNAME, LNAME, CLAIM_ID. |
Immettere uno o più nomi colonna separati da virgole. |
| Classe dati | La classe di dati assegnata a una colonna che classifica il contenuto dei dati, ad esempio, Customer Number, Date of Birtho City. |
Cercare e quindi selezionare una classe dati pubblicata. |
| Tag | Un tag assegnato all'asset o a una colonna, ad esempio Marketing, Client Informationo Claim. |
Inserire uno o più tag, separati da virgoli. |
| Nome utente | Il nome o l'indirizzo email di un utente, ad esempio [email protected]. |
Cercare e quindi selezionare uno o più indirizzi email. |
| Gruppo utenti | Il nome di un gruppo di utenti che è un collaboratore del catalogo, ad esempio people managers o finance group. |
Cercare e quindi selezionare uno o più gruppi di utenti. |
| predicati personalizzati | Un predicato definito dall'utente che si assota ad un attributo user personalizzato o ad un attributo di asset di dati personalizzati. | Creare predicati definiti dall'utente utilizzando il sito IBM Knowledge Catalog API. |
Operatori di confronto
| Operatore | Descrizione | Valori di input |
|---|---|---|
| uguale a | Un confronto di corrispondenze esatte, di solito utilizzato per gli ID di attributi come gli ID catalogo o gli ID asset. Ad esempio, "Approvazioni prestiti" e "Finanziamenti". | Cercare e inserire gli ID di uno o più valori separati da virgole utilizzando l'API Data and AI Common Core per gli ID delle risorse o gli ID dei cataloghi. |
| contiene | Filtra il tipo di predicato per gli asset che contengono uno qualsiasi dei valori elencati per tale attributo. Ad esempio, gli asset che contengono qualsiasi tag di "riservato", "sensibile" o "finanziario". | Ricercare e quindi immettere uno o più valori separati da virgole. |
| non contiene | Filtra il tipo di predicato per gli asset che non contiene nessuno dei valori elencati per tale attributo. Ad esempio, gli asset che non contengono tag "confidential", "sensitive" o "financial". | Ricercare e quindi immettere uno o più valori separati da virgole. |
| gradimento | Filtra il valore del predicato per un pattern specificato come espressione regolare, ad esempio "FINANCE. *" o "(USER | CUSTOMER). +" | Immettere espressioni regolari separate da virgole. |
Ad esempio, nidificare in modi diversi nei criteri può produrre risultati diversi con gli stessi predicati.
I seguenti criteri creano una regola che maschera i dati che hanno una classificazione specifica più una specifica classe di dati o un determinato termine aziendale.
I seguenti criteri creano una regola che maschera i dati che hanno una classificazione specifica più una specifica classe di dati o che ha un determinato termine di business:
Azioni
L'azione della regola di protezione dei dati definisce l'effetto di far rispettare la norma. L'azione impedisce ai membri del catalogo interessati di accedere o visualizzare i dati originali, come specificato dalle condizioni. Il proprietario dell'asset non è influenzato dalle regole di protezione dei dati.
È possibile scegliere tra i seguenti tipi di azioni.
| Azione | Ambito | Risultato: |
|---|---|---|
| Nega accesso | Tutti i valori dei dati in tutte le colonne dell'asset dati | Gli utenti interessati possono visualizzare i metadati dell'asset, ma non possono visualizzare in anteprima i valori dei dati, utilizzare i dati o eseguire azioni sull'asset. Gli utenti non sono inoltre in grado di scaricare gli asset o di aggiungerli ad un progetto. |
| Altera colonne | I valori nella colonna che corrispondono ai criteri di mascheramento | Gli utenti interessati vedono i valori sostituiti con una stringa di un carattere ripetuto. Vedere Mask data with data protection rules. La mascherazione può estendersi ai progetti. Consultare Maschiamento nei progetti. |
| Offusca colonne | I valori nella colonna che corrispondono ai criteri di mascheramento | Gli utenti interessati vedono i dati sostituiti con valori simili e nello stesso formato. Vedere Mask data with data protection rules. La mascherazione può estendersi ai progetti. Consultare Maschiamento nei progetti. |
| Sostituisci colonne | I valori nella colonna che corrispondono ai criteri di mascheramento | Gli utenti interessati vedono i dati sostituiti con un valore hash. Vedere Mask data with data protection rules. La mascherazione può estendersi ai progetti. Consultare Maschiamento nei progetti. |
| Filtra righe | Tutte le righe che corrispondono a criteri specifici | Gli utenti interessati possono visualizzare, o sono bloccati dalla visualizzazione, tutti i valori in righe specifiche in base ai ruoli del catalogo e al tipo di filtro scelto. Il filtro riga è un'inclusione o un'esclusione in base ai requisiti dell'asset di dati. Consultare Filtro delle righe. |
Linee guida per il nome della colonna all'interno dell'azione di mascheramento o filtro
I nomi colonna devono corrispondere esattamente al nome nello schema dell'asset di dati o la regola non è applicata. Inoltre, i nomi delle colonne sono sensibili al maiuscolo / minuscolo. Ad esempio, se si crea una regola per filtrare le righe in base al nome colonna di COLUMN9, la regola non filtra le righe specificate nelle colonne con il nome column9 e filtra solo le righe in base ai nomi colonna che corrispondono esattamente a COLUMN9.
Predicati personalizzati
È possibile utilizzare i predicati personalizzati quando i predicati standard, ad esempio le proprietà degli asset di dati o l'identificazione degli utenti, non sono sufficienti o non soddisfano le proprie esigenze aziendali.
I predicati che si creano sono mappati alle proprietà degli asset dati.
Per creare o eliminare i predicati personalizzati, è necessario utilizzare il comando IBM Knowledge Catalog API. Se si decide successivamente di aggiornare un predicato personalizzato, è necessario prima eliminare tutte le regole esistenti utilizzando il predicato personalizzato e quindi ricreare le nuove regole utilizzando il predicato personalizzato aggiornato.
Ulteriori informazioni
- Dati di maschera
- righe di filtraggio
- Valutazione delle regole di protezione dei dati
- Gestione delle regole di protezione dei dati
- API IBM Knowledge Catalog
Argomento principale: Norme di protezione dei dati