データ保護ルールを設計する際には、ルールを適用するための基準と、それに対応する適用アクションを決定する必要があります。 この基準には、影響を受けるユーザー、データ資産の分類、またはデータ資産に割り当てられたその他のメタデータを含めることができます。 適用アクションは、資産内のすべてのデータへのアクセスを拒否するか、データの一部をマスクするか、またはデータから行をフィルタリングすることができます。
必要な権限
以下の ユーザー権限が必要です。
- データ保護ルールを作成するには、 データ保護ルールの管理 権限が必要です。
- ルールにガバナンス成果物を含めるには、 ガバナンス成果物へのアクセス 権限を持っている必要があります。また、ルールで使用したいガバナンス成果物のカテゴリーのコラボレーターでなければなりません。
権限がない場合は、プラットフォーム管理者に権限を付与するよう依頼してください。
データ保護ルールのプロパティー
データ保護ルールのプロパティーと動作は、他のガバナンス成果物とは大きく異なります。
| プロパティーまたは動作 | サポートしますか? | 説明 |
|---|---|---|
| 固有の名前が必要ですか? | はい | 各データ保護ルールには固有の名前が必要です。 |
| 説明? | はい | 理解しやすいように、自然言語でルールが何を行うかを記述します。 このルールの検索を容易にするために、標準的な用語を含めるようにしてください。 |
| 他のルールに関係を追加しますか? | いいえ | データ保護ルールは相互に関係がありません。 |
| 他のガバナンス成果物に関係を追加しますか? | はい | データ保護ルールの定義にガバナンス成果物を追加できます。 その後、その定義に含まれているガバナンス成果物の 関連コンテンツ タブにデータ保護ルールが表示されます。 ポリシーにデータ保護ルールを追加することもできます。 ただし、データ保護ルールは、公開されているポリシーに含まれているかどうかに関係なく適用されます。 |
| 資産に関係を追加しますか? | はい | カタログ内の資産関係を参照してください。 |
| カスタム・プロパティーを追加しますか? | いいえ | データ保護ルールはカスタム・プロパティーをサポートしません。 |
| カスタム関係を追加しますか? | いいえ | データ保護ルールでは、カスタム関係はサポートされません。 |
| カテゴリーに編成しますか? | いいえ | データ保護ルールはカテゴリーによって制御されません。 これらは、プラットフォーム上のすべての管理対象カタログに適用され、すべてのユーザーに表示されます。 |
| ファイルからインポートしますか? | いいえ | 各データ保護ルールは個別に作成する必要があります。 |
| ファイルにエクスポートしますか? | いいえ | データ保護ルールをエクスポートすることはできません。 |
| ワークフローによる管理しますか? | いいえ | データ保護ルールは、作成後に公開され、アクティブになります。 |
| 開始日と終了日を指定しますか? | いいえ | データ保護ルールは、作成後、削除されるまでアクティブになります。 |
| スチュワードを割り当てますか? | いいえ | データ保護ルールはスチュワードを持っていません。 |
| タグを追加しますか? | はい | タグをプロパティーとしてデータ保護ルールに追加することはできませんが、データ保護ルールの定義にタグを含めることはできます。 |
| 資産に割り当てますか? | はい | 資産にデータ保護ルールを手動で割り当てることはできませんが、資産がルールの基準に一致すると、その資産に対してルールが適用されます。 |
| データ資産内の列に割り当てますか? | はい | 資産内の列にデータ保護ルールを手動で割り当てることはできませんが、データ保護ルールは、列がルールの基準およびアクション・ブロック・ディレクティブと一致する場合に、列の値をマスクすることができます。 |
| プロファイル作成中またはエンリッチ中の自動割り当て | いいえ | ユーザーがデータ資産にアクセスしようとすると、データ保護ルールが適用されます。 |
| [uncategord] カテゴリーの事前定義成果物 | いいえ | すべてのデータ保護ルールを作成する必要があります。 |
データ保護ルールは、以下の 2 つのコンポーネントで構成されます:
基準
この基準は、データ保護ルールを適用するための条件を識別します。 基準は、1 つ以上の条件で構成されます。 各条件は、述部、比較演算子、および 1 つ以上の入力値で構成されます。
基準を構成するプロセスには、資産またはユーザー属性を定義する述部のタイプ、比較演算子、および比較対象の述部の特定の値を選択することが含まれます。 その後、 AND または OR ブール演算子を使用して述部と条件を結合し、正確な基準を使用してネストされた論理構造を作成できます。
述部タイプ
| 述部 | 説明 | 入力値 |
|---|---|---|
| 資産 | アセットのグローバル固有 ID (GUID)。例えば、 4899251b-6073-4f25-9601-fc70fca1f9a9などです。 |
Data and AI Common Core APIを使用して、1つまたは複数のアセットIDをカンマ区切りで入力します。 |
| 資産名 | アセットの名前 (例: SALES_LEADS)。 |
1 つ以上のアセット名をコンマで区切って入力します。 |
| 資産所有者 | カタログ内の資産を所有するユーザーの E メール・アドレス (例: [email protected])。 |
1 つ以上のメール・アドレスを検索して選択します。 |
| 資産スキーマ | 接続された資産のスキーマ (例: db2_conn1)。 |
1 つ以上のアセット・スキーマをコンマで区切って入力します。 |
| ビジネス用語 | 資産または列に割り当てられるビジネス用語 (例: work phone number)。 |
公開されたビジネス用語を検索して選択します。 |
| カタログ | 資産を含むカタログのグローバル固有 ID (GUID) (例: 46a19524-bfbf-4810-a1f0-b131f12bc773)。 |
Data and AI Common Core APIを使用して、1つ以上のカタログIDをカンマ区切りで入力する。 |
| 分類 | 資産内の機密情報のタイプ ( Confidential や Personally Indentifiable Informationなど)。 |
1 つ以上の分類を検索して選択します。 |
| 列名 | アセット内の列の名前 (例えば、 FNAME、 LNAME、 CLAIM_ID)。 |
1 つ以上の列名をコンマで区切って入力します。 |
| データ・クラス | データの内容を分類する列に割り当てられるデータ・クラス。例えば、 Customer Number、 Date of Birth、または Cityなど。 |
公開されたデータ・クラスを検索して選択します。 |
| タグ | 資産または列に割り当てられるタグ (例えば、 Marketing、 Client Information、または Claim)。 |
1 つ以上のタグをコンマで区切って入力します。 |
| ユーザー名 | ユーザーの名前または E メール・アドレス (例: [email protected])。 |
1 つ以上のメール・アドレスを検索して選択します。 |
| ユーザー・グループ | カタログ・コラボレーターであるユーザー・グループの名前 (例えば、 people managers または finance group)。 |
1 つ以上のユーザー・グループを検索して選択します。 |
| カスタム述部 | カスタム・ユーザー属性またはカスタム・データ資産属性にマップされるユーザー定義述部。 | IBM Knowledge Catalog API を使用して、ユーザー定義の述語を作成します。 |
比較演算子
| オペレーター | 説明 | 入力値 |
|---|---|---|
| 等しい | 完全一致比較。通常は、カタログ ID や資産 ID などの属性の ID に使用されます。 例えば、「ローン承認」や「ファイナンシング」などです。 | アセットIDまたはカタログIDのData and AI Common Core APIを使用して、1つまたは複数の値のIDを検索し、カンマ区切りで入力します。 |
| 次のいずれかを含む | その属性のリストされた値のいずれかを含む資産の述部タイプをフィルターに掛けます。 例えば、「confidential」、「sensitive」、または「financial」のタグが含まれている資産などです。 | 1 つ以上の値をコンマで区切って検索して入力します。 |
| 次のいずれも含まない | その属性についてリストされた値のいずれも含まない資産の述部タイプをフィルターに掛けます。 例えば、「confidential」、「sensitive」、または「financial」のタグが含まれていない資産などです。 | 1 つ以上の値をコンマで区切って検索して入力します。 |
| like | 正規表現として指定されたパターンの述部値をフィルターに掛けます (例:「FINANCE. *」)。 または "(USER | CUSTOMER). +" | 正規表現をコンマで区切って入力します。 |
例えば、基準に異なる方法でネストすると、同じ述部で異なる結果が生成される可能性があります。
以下の基準は、特定の分類と、特定のデータ・クラスまたは特定のビジネス用語のいずれかを持つデータをマスクするルールを作成します。
以下の基準は、特定の分類と特定のデータ・クラスを持つデータ、または特定のビジネス用語を持つデータをマスクするルールを作成します:
アクション
データ保護ルールのアクションによって、ルールを適用する効果が定義されます。 このアクションにより、影響を受けるカタログ・メンバーは、条件によって指定された元のデータにアクセスしたり、表示したりすることができなくなります。 資産所有者は、データ保護ルールの影響を受けません。
以下のタイプのアクションから選択します。
| アクション | 有効範囲 (Scope) | 結果 |
|---|---|---|
| アクセスを拒否 | データ資産のすべての列のすべてのデータ値 | 影響を受けるユーザーは資産メタデータを表示できますが、データ値をプレビューしたり、データを使用したり、資産に対してアクションを実行したりすることはできません。 ユーザーはアセットをダウンロードすることも、プロジェクトに追加することもできません。 |
| 列の編集 | マスキング基準に一致する列の値です | 影響を受けるユーザーには、1 つの反復文字のストリングに置き換えられた値が表示されます。 データ保護ルールを使用したデータのマスクを参照してください。 マスキングはプロジェクトに拡張できます。 プロジェクトでのマスキングを参照してください。 |
| 列の難読化 | マスキング基準に一致する列の値です | 影響を受けるユーザーには、同じ形式で類似した値に置き換えられたデータが表示されます。 データ保護ルールを使用したデータのマスクを参照してください。 マスキングはプロジェクトに拡張できます。 プロジェクトでのマスキングを参照してください。 |
| 列の置換 | マスキング基準に一致する列の値です | 影響を受けるユーザーには、ハッシュされた値に置き換えられたデータが表示されます。 データ保護ルールを使用したデータのマスクを参照してください。 マスキングはプロジェクトに拡張できます。 プロジェクトでのマスキングを参照してください。 |
| 行のフィルター | 特定の基準に一致するすべての行 | 影響を受けるユーザーは、カタログ役割および選択したフィルタリングのタイプに応じて、特定の行のすべての値を表示することも、表示をブロックすることもできます。 行フィルタリングは、データ資産の要件に応じて、包含または除外のいずれかになります。 「 行のフィルタリング」を参照してください。 |
マスキングまたはフィルタリング・アクション内の列名のガイドライン
列名は、データ資産スキーマ内の名前と正確に一致する必要があります。一致しない場合、ルールは適用されません。 さらに、列名では大/小文字が区別されます。 例えば、 COLUMN9という列名に基づいて行をフィルタリングするルールを作成した場合、そのルールでは、 column9 という名前の列に指定された行はフィルタリングされず、 COLUMN9に正確に一致する列名に基づいて行のみがフィルタリングされます。
カスタム述部
データ資産のプロパティーやユーザーの識別などの標準述部が不十分であるか、ビジネス・ニーズを満たしていない場合は、述部のカスタマイズを使用できます。
作成する述部は、データ資産のプロパティーにマップされます。
カスタム述語を作成または削除するには、 IBM Knowledge Catalog API を使用する必要があります。 後でカスタム述部を更新することにした場合は、まずそのカスタム述部を使用して既存の規則をすべて削除してから、更新されたカスタム述部を使用して新しい規則を再作成する必要があります。
もっと見る
親トピック: データ保護ルール