0 / 0
Zurück zur englischen Version der Dokumentation
Regeleinstellungen verwalten
Letzte Aktualisierung: 13. Dez. 2024
Regeleinstellungen verwalten

Durch die Angabe der Vererbung von Geschäftsbegriffen, durch die Definition von Datenzugriffskonventionen, der Vorrangstellung von Regelaktionen und der Vorrangstellung von Maskierungsmethoden vor der Erstellung von Datenschutzregeln und Datenpositionsregeln wird das Verhalten und der konsistente Schutz von Daten optimiert.

Legen Sie fest, ob bei der Auswertung von Datenschutzregeln und Datenstandortregeln auch Geschäftsbegriffe berücksichtigt werden sollen, die abhängige Geschäftsbegriffe von haben.

Wählen Sie zwischen zwei Arten von Datenzugriffskonventionen für Datenschutzregeln und Datenpositionsregeln. Sie können den Zugriff auf Daten zulassen, wenn eine Regel dies nicht verhindert, oder Sie können den Zugriff auf Daten verweigern, wenn eine Regel dies nicht zulässt.

Sie können auch eine Rangfolge für Regeln und Maskierungsmethoden auswählen. Die Regelaktionsrangfolge wird angewendet, wenn mehrere Regeln unterschiedliche Aktionen haben, die für dieselben Datenwerte gelten. Die Maskierungsmethode wird angewendet, wenn mehrere Regeln mit unterschiedlichen Maskierungsmethoden auf dieselben Datenwerte angewendet werden.

Bevor Sie Datenschutzregeln und Datenstandortregeln erstellen, planen und bewerten Sie, wem die Regeln den Zugriff auf die Daten erlauben oder verweigern. Das Entwerfen Ihrer Regeln nach Ihrer sorgfältigen Planung bietet eine solide Grundlage für die Festlegung der Kriterien für die Durchsetzung der Regeln und der entsprechenden Durchsetzungsaktionen. Dieser sorgfältige Planungsprozess minimiert auch die Wahrscheinlichkeit für eine zukünftige Entscheidung, den Regelzugriff zu wechseln. Wenn Sie später Ihr Zugriffskonzept für Ihre Regeln ändern möchten, müssen Sie zuerst alle vorhandenen Regeln löschen und dann die neuen Regeln für diese Regelklasse neu erstellen.

Die folgenden Optionen, Konventionen und vorangestellten Geschäftsbegriffe gelten sowohl für Datenschutzregeln als auch für Datenpositionsregeln.

Erforderliche Berechtigungen

Sie müssen ein IBM Cloud -Kontoadministrator sein, um Regelkonventionen festzulegen.

Entscheidung zur Durchsetzung der Datenschutzvorschriften

Jede Aktivität, die eine Bewertungsentscheidung für den Datenzugriff abfragt, ist ein überprüfbares Ereignis. Die prüfbaren Ereignisse werden erzeugt und an den Audit-Protokollierungsdienst weitergeleitet. Sie können die folgenden Durchsetzungsentscheidungen als Audit-Ereignisse verfolgen, wenn das Kontrollkästchen Richtlinienbewertungen an Audit-Protokolle senden aktiviert ist:

  • wdp-policy-service.policy_item.evaluateItem - Bewerten Sie ein Element.
  • wdp-policy-service.policy_item.evaluateItems - Gegenstände auswerten.
  • wdp-policy-service.policy_resource.evaluateResource - Bewerten Sie eine Ressource.
  • wdp-policy-service.policy_resource.evaluateResources - Bewertung der Ressourcen.

Regeln und Übernahme von Geschäftsbegriffen auswerten

Wählen Sie Vererbung von Geschäftsbegriffen aus, wenn abhängige Geschäftsbegriffe einer hierarchischen Typbeziehung eingeschlossen werden sollen, wenn Datenschutzregeln und Datenpositionsregeln ausgewertet werden. Beispiel: Der Geschäftsbegriff Darlehen hat einen Typ von Beziehung zu Studentendarlehen und Privatdarlehen. Der Geschäftsbegriff Darlehen und seine Subtypen Studentenkredit und Privatkredit sind alle eingeschlossen, wenn die Datenschutzregeln und Datenstandortregeln ausgewertet werden. Weitere Informationen zu hierarchischen Typbeziehungen zwischen Geschäftsbegriffen finden Sie unter Geschäftsbegriffe entwerfen.

Zugriff auf Datenkonvention zulassen

Das Standardverhalten in der "allow access" -Konvention ist, dass der Datenzugriff erteilt wird. Wenn Sie bestimmte Daten schützen möchten, müssen Sie Regeln schreiben, die bestimmten Datenzugriff auf der Basis von Benutzer-oder Datenattributen explizit verweigern.

Mit der Konvention zum Zulassen von Zugriffsdaten haben Datenschutzregeln und Datenpositionsregeln die folgenden verfügbaren Aktionen:

  • Zugriff auf Daten verweigern
  • Daten maskieren
  • Zeilen filtern

Ein Beispiel für die Verwendung dieser Konvention ist die Erstellung von Datenschutzregeln, die allen Mitarbeitern des Unternehmens den Zugriff auf Mitarbeiterdaten im Allgemeinen ermöglichen, aber den Zugriff auf Lohnbuchhaltungsinformationen einschränken. Um dies zu erreichen, können Sie eine Regel schreiben, die angibt, dass jedes Asset, das Attribute enthält, die darauf hinweist, dass es sich auf Lohnbuchhaltungsdaten bezieht, allen Benutzern verweigert werden muss, die sich nicht in der Personalabteilung befinden. Daher sind alle Daten aller Typen zulässig, und nur die Ausnahme von Lohnbuchhaltungsdaten für Mitarbeiter, die nicht in der Personalabteilung sind, wird verweigert.

Die Konvention für den zulässigen Zugriff ist die Standarddatenkonvention für Datenschutzregeln.

Zugriff auf Datenkonvention verweigern

Das Standardverhalten für die Zugriffsverweigerungskonvention ist, den Zugriff auf Daten zu verweigern. Wenn Sie bestimmte Daten sichtbar machen wollen, müssen Sie Regeln schreiben, die bestimmten Benutzern explizit erlauben, die Daten anzuzeigen. In einer Umgebung, in der der Zugriff auf die meisten Daten eingeschränkt werden muss, können Sie mit der Deny-Konvention einige Regeln schreiben, in denen Daten zulässig sind, anstatt eine Regel für jeden Fall zu schreiben, in dem Daten eingeschränkt werden müssen.

Ein Beispiel für die Verwendung der Ablehnungskonvention für Datenschutzregeln könnte ein Katalog sein, der sensible personenbezogene Daten enthält, die zwischen Abteilungen nicht angezeigt werden dürfen. In diesem Fall muss jedes Datenasset, das als Marketing gekennzeichnet ist und auf das von einem anderen Benutzer als einem Mitglied der Marketinggruppe zugegriffen wird, zurückgewiesen werden. Ein Benutzer, der Mitglied der Marketingbenutzergruppe ist, kann jedoch Assets anzeigen, die als Marketinggekennzeichnet sind. Die Konvention führt dazu, dass allen Benutzern der Zugriff auf alle Daten verweigert wird, mit Ausnahme von Benutzern in der Marketingbenutzergruppe, die gemäß der Datenschutzregel auf Daten zugreifen dürfen, die als Marketing gekennzeichnet sind.

Das Beispiel gilt auch für Datenpositionsregeln und die Standarddatenkonvention für Datenpositionsregeln lautet 'Zugriff verweigern'.

Ein Beispiel für die Verwendung der Ablehnungskonvention für Datenpositionsregeln könnte ein Katalog sein, der sensible personenbezogene Daten enthält, die nicht länderübergreifend zulässig sind. Erstellen Sie in diesem Fall eine Datenpositionsregel, die angibt, dass alle Daten, die von einer Position an eine andere versetzt werden, verweigert werden sollen. Da es jedoch Zertifikate für die gemeinsame Datennutzung zwischen bestimmten Standorten gibt, würden alle Datenverschiebungen verweigert werden, mit Ausnahme einer Regel, die festlegt, dass Daten von einem Standort in Chile an einen Standort in Argentinien verschoben werden dürfen.

Mit der Datenkonvention 'Zugriff verweigern' haben Datenschutzregeln und Datenpositionsregeln die folgenden verfügbaren Aktionen:

  • Zugriff auf Daten zulassen
  • Daten maskieren
  • Zeilen filtern

Datenzugriffskonvention festlegen

Die Regelkonvention muss festgelegt werden, bevor Ihr Team Datenschutzregeln und Datenpositionsregeln erstellt. Sie müssen alle vorhandenen Regeln vor der Änderung der Konvention löschen. Wenn Sie die Konvention ändern, haben Regeln eine andere Gruppe zulässiger Aktionen.

Zum Festlegen der Regelkonventionen rufen Sie die Seite Regeleinstellungen verwalten auf, indem Sie Governance > Regeln auswählen und dann auf Regeleinstellungen verwaltenklicken. Alternativ können Sie auch die API für die Einstellung der Regeldurchsetzung aufrufen.

Die Regeleinstellungen

Regelkonvention für Datenschutzregeln

Um die Regelkonvention festzulegen, verwenden Sie die Benutzeroberfläche für die Verwaltung von Regeleinstellungen oder rufen Sie die API für die Durchsetzung von Regeln auf und setzen Sie " governance_access_type auf einen dieser Werte:

UI-Einstellung API-Einstellung Konvention
Entsperrt AEAD Standard. Entspricht der AEAD-Konvention ( allow everything author deny ). Ermöglicht den Zugriff auf Daten, sofern sie nicht von einer Regel verweigert werden. Sie schreiben Regeln, die den Zugriff auf Daten verweigern, Daten maskieren und Zeilen aus Daten filtern.
Gesperrt DEAA Folgt der DEAA-Konvention ( deny everything author allow ). Verweigert den Zugriff auf Daten, sofern eine Regel dies nicht zulässt. Sie schreiben Regeln, die den Zugriff auf Daten ermöglichen, Daten maskieren und Zeilen aus Daten filtern.
Tipp:

Wenn keine Transformationsregel ausgewertet werden kann, werden als Ergebnis standardmäßig die folgenden konventionsgemäß getroffenen Entscheidungen verwendet:

  • Deny Für Gesperrt
  • Allow für Unlocked

Regelkonvention für Datenpositionsregeln

Um die Regelkonvention festzulegen, verwenden Sie die Benutzeroberfläche für die Verwaltung von Regeleinstellungen oder rufen Sie die API für die Durchsetzung von Regeln auf und setzen Sie " governance_dlr_type auf einen dieser Werte:

UI-Einstellung API-Einstellung Konvention
Entsperrt AEAD Entspricht der AEAD-Konvention ( allow everything author deny ). Ermöglicht den Zugriff auf Daten, sofern sie nicht von einer Regel verweigert werden. Sie schreiben Regeln, die den Zugriff auf Daten verweigern, Daten maskieren und Zeilen aus Daten filtern.
Gesperrt DEAA Standard. Folgt der DEAA-Konvention ( deny everything author allow ). Verweigert den Zugriff auf Daten, sofern eine Regel dies nicht zulässt. Sie schreiben Regeln, die den Zugriff auf Daten ermöglichen, Daten maskieren und Zeilen aus Daten filtern.

Vorrangstellung für Regelaktionen und Maskierungsmethoden festlegen

Wenn Sie nach der Definition der Regelkonventionen eine Rangfolge für Regeln und Maskierungsmethoden festlegen, können Sie Folgendes ermitteln:

  • Die Aktion, die angewendet werden soll, wenn mehrere Regeln mit unterschiedlichen Aktionen auf dieselben Datenwerte angewendet werden.
  • Die Maskierungsmethode, die angewendet werden soll, wenn mehrere Regeln mit unterschiedlichen Maskierungsmethoden auf dieselben Datenwerte angewendet werden.

Rufen Sie zum Festlegen von Regelvorstellungen die Seite Regeleinstellungen verwalten auf, indem Sie Governance > Regeln auswählen und dann Regeleinstellungen verwaltenanklicken.

Rangfolge der Regelaktionen

Die Regelaktionsrangfolge gibt den sichersten, den tolerantesten oder den hierarchischen Durchsetzungszugriff an, den Benutzer auf ein Asset haben. Die Aktionen, in der Reihenfolge der Nachsicht, sind: Zugriff zulassen, Maske und Filter, Zugriff verweigern.

Ein Beispiel für die Anwendung dieser Vorrangstellung ist, dass Personalressourcen von der Personalabteilung gemeinsam genutzt werden. Die Regelkonvention ist so festgelegt, dass der Zugriff verweigert wird. Eine Regel gibt an, ob ein Asset als Personaldokument markiert ist, und wenn sich der Benutzer in der Benutzergruppe für Personalwesen befindet, erlauben Sie den Zugriff. Eine andere Regel besagt, dass diese Informationen maskiert werden müssen, wenn eine Regel Mitarbeiterfinanzinformationen enthält.

Die Finanzinformationen des Mitarbeiters werden in einer Datenbank mit Tabellen gespeichert, in denen Jobs, Gehälter und Rentendaten kombiniert werden. Die Tabelle "Jobs" enthält Daten für alle Mitarbeitertypen und eine Spalte RetireType , die den Außerbetriebnahmestatus von Mitarbeitern angibt. Eine dritte Regel schließt alle Zeilen aus, wenn der Wert der Spalte RetireType Retiredlautet.

Wenn alle Regeln in Kraft sind, wird die Entscheidung von Allow access aus der ersten Regel durch die Entscheidung, Daten der zweiten Regel zu maskieren, außer Kraft gesetzt, wenn Most secure action winsgilt. Die dritte Regel filtert alle Zeilen heraus, in denen RetireType auf Retiredgesetzt ist.

Hierarchiale Durchsetzung als Regelaktionsrangfolge

Die hierarchische Durchsetzung ist von besonderem Interesse, wenn Sie einen restriktiveren Datenzugriff benötigen und dennoch allgemeinere Regeln schreiben möchten. Das resultierende Verhalten ist jedoch möglich, indem für jede Zugriffskombination von Benutzer-und Datentypen unterschiedliche Regeln geschrieben werden. Die hierarchische Durchsetzungsoption als Vorrangstellung für Ihre Regelaktion bietet einen vereinfachten Denkprozess, indem sie als zwei separate Fragen betrachtet wird:

  1. Wer kann auf welches Asset zugreifen? Anschließend können Sie viele Fragen zur Maskierung bestimmter Datentypen entfernen und die Entscheidung in nur zwei Optionen vereinfachen: Allow oder Deny.

  2. Welche Daten müssen maskiert werden? Anschließend können Sie den Status der ersten Frage für die Erteilung des Zugriffs ignorieren. Sie können jetzt eine abstraktere Maskierungsregel schreiben, wie z. B. Wenn das Datenasset Spalten der Datenklasse enthält sensitive personal data , dann Spalten mit Datenklasse neu bearbeiten sensitive personal data. Diese Regel außerhalb einer hierarchischen Konfiguration enthält eine implizite Erteilung des Zugriffs auf das Asset mit angewendeter Maskierung.

Die Option zum Festlegen der Regelentscheidungsrangfolge auf Hierarchische Durchsetzung kann über den Assistenten Regeleinstellungen verwalten oder alternativ über das Festlegen des Werts HIERARCHICAL für die access_decision_precedence -APIfestgelegt werden. Die Einstellung Hierarchische Durchsetzung konfiguriert eine zweischichtige Auswertung für Datenschutzregeln. Die erste Schicht wertet die Regeln für eine Entscheidung aus, was zu Allow -oder Deny -Aktionen führt, ohne Maskierungsaktionen zu berücksichtigen. Dann wird nur dann, wenn die Entscheidung aus der ersten Ebene den Allow -Zugriff betrifft, eine zweite Ebene unter Berücksichtigung von Regeln mit einer Transform -Aktion ausgewertet. Um maskierte oder Rohdaten anzuzeigen, ist mindestens eine Allow -Entscheidung erforderlich.

  • Für die Locked -Konvention kann diese Entscheidung Allow nur mit einer Regel mit der Aktion Allow erreicht werden. Wenn Sie in der Locked -Konvention Regeln haben, die zu Transform -oder Mask -Entscheidungen führen, aber keine Allow -Regel haben, die Zugriff gewährt, bleibt das Ergebnis Deny. Wenn Sie jedoch mehrere Regeln mit den Aktionen Allow und Transformhaben, fährt Allow mit der Auswertung der Transform fort, und die resultierende kombinierte Entscheidung sind die resultierenden Maskierungsaktionen.
  • Bei der Unlocked -Konvention entspricht die hierarchische Vorrangstellung der Vorrangstellung Die sicherste Aktion gewinnt (RESTRICTIVE -API-Option), da eine Allow -Entscheidung aus der ersten hierarchischen Schicht nur ohne effektive Regeln erreichbar ist, die zu Denyführen. Wenn Sie also sowohl eine Deny -Aktion als auch eine Transform -Aktion haben, lautet das Ergebnis für die Aktion Hierarchical enforcement (API-OptionHIERARCHICAL ) und Most secure action wins (API-OptionRESTRICTIVE ) Deny .

Vorrangstellung der Maskierungsmethode

Die Vorrangstellung der Maskierungsmethode gibt die Umsetzung von Datenwerten aus dem meisten Datenschutz oder dem meisten Dienstprogramm an. Die Rangfolge wird angewendet, wenn eine Regelaktion "Maske" ist, und bestimmt, wie die Datenwerte maskiert werden. Die Maskierungsmethoden in der Datenschutzreihenfolge lauten wie folgt: Unkenntlich machen, Ersetzen, Verschleiern. Die Maskierungsmethoden in der Dienstprogrammreihenfolge lauten wie folgt: Verschleiern, Ersetzen, Unkenntlich machen.

Ein Beispiel für die Anwendung dieser Rangfolge ist ein Buchhalter, der eine Regel erstellt hat, die angibt, dass Kreditkartennummern verschlüsselt werden müssen. Durch das Maskieren der Zahlen können nur Schadenvertreter eine Kartennummer sehen, um Kunden zu helfen, die ihre Waren zurückgeben wollen. Der Buchhalter hat eine weitere Regel erstellt, die alle Kreditkartennummern neu bearbeitet, wenn Sie in der Verkaufsabteilung sind.

Wenn ein Mitarbeiter, der sowohl in der Vertriebsabteilung als auch in der Schadensabteilung auf dieselben Kreditkarteninformationen zugreift, reagieren beide Maskierungsmethoden auf dieselben Daten. Wenn die Regelkonvention am sichersten ist, bearbeitet die Maskierungsmethode die Informationen, auf die der Vertrieb zugreift, neu. Da sich der Mitarbeiter jedoch auch in der Schadensabteilung befindet, kann er die letzten vier Ziffern der verschlüsselten Kreditkartennummer sehen.

Szenario: Konventionen und Rangfolge anwenden

Im folgenden Beispiel werden die Regelkonvention, die Vorrangstellung der Regelaktion und die Vorrangstellung der Maskierungsmethode kombiniert. Zusammen schaffen sie flexible Optionen zum Schutz von Daten.

Clarice hat eine Mitarbeitertabelle erstellt und verwendet die Regeleinstellungen und Datenschutzregeln, um Mitarbeiterdaten aus anderen Teams in ihrem Unternehmen zu schützen. Sie schützt die Mitarbeiterdaten, indem sie zunächst Konventionen und Vorrangstellung für die von ihr erstellten Regeln festlegt und dann die Regeln entwirft.

Szenario: Konventionen und Rangfolge erstellen

Unter Regeleinstellungen verwaltenhat Clarice die folgenden Optionen ausgewählt:

  • Konvention: Unlocked -Datenzugriffskonvention, die der AEAD-Konvention ( allow everything author deny ) entspricht.
  • Vorrangstellung der Regelaktionen: Die toleranteste Aktion hat Vorrang
  • Vorrangstellung der Regelmaskierungsmethode: Methode mit den meisten Datenschutzgewinnen

Szenario: Datenschutzregeln erstellen

Clarice erstellt drei Regeln zum Schutz der Daten in der folgenden Mitarbeitertabelle:

Beispiel für ein Mitarbeiterarbeitsblatt

Regel 1: If the user group is the Sales team, then deny access to the data in the asset. Jeder aus dem Vertriebsteam kann keine Daten anzeigen, deren Eigner Clarice ist.

Regel 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. Im folgenden Beispiel werden die Spalten "Nachname" und "E-Mail-Adresse" in der Mitarbeitertabelle verschlüsselt, wenn jemand in der Finanzabteilung darauf zugreift.

Beispiel für die Verschleierung von Spalten mit dem Nachnamen und der E-Mail-Adresse

Regel 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. Das folgende Beispiel zeigt, wenn das Vertriebsteam auf das Arbeitsblatt zugreift, wird ihnen der Zugriff aufgrund der nachsichtigen Regelvorrangstellung nicht verweigert. Sie können die verschlüsselten Nachnamen sehen. Da Clarice jedoch die meisten privaten Maskierungsmethoden ausgewählt hat, werden die E-Mail-Adressen neu bearbeitet.

Beispiel für die Verschlüsselung des Nachnamens und die Neubearbeitung einer E-Mail-Adresse

Weitere Informationen

Übergeordnetes Thema: Verwaltung von IBM Knowledge Catalog

Generative KI-Suche und -Antwort
Diese Antworten werden von einem großen Sprachmodell in watsonx.ai basierend auf dem Inhalt der Produktdokumentation generiert. Weitere Informationen