Ausschließen von Daten von der Klassifizierung sensibler Daten¶
Durch die Klassifizierung sensibler Daten bestimmt Snowflake in regelmäßigen Abständen und ohne Benutzereingriff die Sensibilität von Daten. Sie können mit Einstellungen und System-Tags bestimmte Daten vom Klassifizierungsprozess ausschließen.
Nehmen wir als Beispiel an, dass die Datenbank my_db drei Tabellen umfasst: t1, t2 und t3. Standardmäßig werden bei der Klassifizierung von my_db``alle drei Tabellen automatisch klassifiziert. Sie können Snowflake so konfigurieren, dass ``t2 bei der Klassifizierung übersprungen wird, also nur Tabellen t1 und t3 klassifiziert werden.
Workflow¶
Der Ausschluss von Daten aus der Klassifizierung sensibler Daten erfolgt in zwei Schritten:
:ref:`Wenden Sie das Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION <label-auto_classify_exclude_tag>`auf jedes Objekt an, das von der Klassifizierung sensibler Daten ausgeschlossen werden soll.
Aktivieren Sie die Ausschlusseinstellung für den Tag-basierten Ausschluss sensibler Daten.
Festlegen von Tags auf Datenobjekte¶
Ein Objekt-Tag ist ein Objekt, das für ein anderes Objekt festgelegt werden kann. Snowflake stellt mit SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION ein systemdefiniertes Tag bereit, das Sie für Objekte festlegen können, die von der Klassifizierung sensibler Daten ausgeschlossen werden sollen. Wenn der Wert dieses Tags TRUE lautet, dann überspringt Snowflake das Objekt bei der Klassifizierung.
Sie können das Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION in einem Schema, einer Tabelle oder einer Spalte festlegen, um zu steuern, welche Daten von der Klassifizierung sensibler Daten ausgeschlossen werden sollen.
- Schließen Sie ein Schema aus
Sie können das Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION für ein Schema in der Datenbank festlegen, um das Schema vom Klassifizierungsprozess auszuschließen. Beispiel:
ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Schließen Sie eine Tabelle aus
Sie können das Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION in einer Tabelle in der Datenbank oder im Schema festlegen, um die Tabelle vom Klassifizierungsprozess auszuschließen. Beispiel:
ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Schließen Sie eine Spalte aus
Sie können das Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION in einer Spalte festlegen, sodass Snowflake es bei der Klassifizierung der Tabelle überspringt. Wenn Sie eine Spalte ausschließen, enthält das Klassifizierungsergebnis einen leeren Wert für die Spalte, auch wenn es sensible Daten enthält.
Angenommen, Sie möchten mit Ausnahme der Spalte
employee_idautomatisch alle Spalten einer Tabelle klassifizieren. Sie können den Befehl ALTER TABLE … ALTER COLUMN ausführen, um das systemdefinierte Tag in der Spalte zu setzen:ALTER TABLE my_table ALTER COLUMN employee_id SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Wenn Snowflake Daten in der Tabelle automatisch klassifiziert, ist das Feld
employee_idim JSON-Ergebnis leer.
Informationen zu den Zugangssteuerungsanforderungen für die Festlegung des Tags SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION finden Sie unter Anforderungen an die Zugriffssteuerung.
Aktivieren Sie die Ausschlusseinstellung¶
Das Einstellen des Tags SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION auf Objekten hat erst dann Auswirkungen, wenn Sie die Einstellung für den Tag-basierten Ausschluss sensibler Daten aktivieren.
Sie können diese Einstellung über die Benutzeroberfläche des Trust Centers oder mithilfe von SQL-Befehlen aktivieren.
Verwenden des Trust Centers zum Aktivieren des Tag-basierten Ausschlusses sensibler Daten¶
Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.
Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.
Wählen Sie die Registerkarte Data Security aus.
Wählen Sie die Registerkarte Settings aus.
Führen Sie eine der folgenden Aktionen aus:
Wenn Sie die Einstellung für ein bestehendes Klassifizierungsprofil aktivieren, suchen Sie das Profil und wählen Sie
» Edit.Wenn Sie zum ersten Mal ein erweitertes Klassifizierungsprofil einrichten, wählen Sie Create New aus.
Gehen Sie die Klassifizierungseinstellungen durch, bis Sie zur Seite Define classification criteria gelangen.
Wählen Sie im Abschnitt Exclusion criteria die Option Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects aus.
Verwenden von SQL, um den Tag-basierten Ausschluss sensibler Daten zu aktivieren¶
Ein Klassifizierungsprofil enthält die Einstellungen, die steuern, wie Snowflake Daten in einer Datenbank automatisch klassifiziert. Diese Einstellungen werden mit Schlüssel-Wert-Paaren in einem OBJECT angegeben.
Sie müssen den enable_tag_based_sensitive_data_exclusion-Schlüssel des Klassifizierungsprofils definieren, wenn Sie möchten, dass Daten von der Klassifizierung sensibler Daten ausgeschlossen werden.
Im Folgenden finden Sie ein Beispiel für ein Klassifizierungsprofil, das, wenn es für eine Datenbank festgelegt wurde, korrekt getaggte Objekte von der Klassifizierung sensibler Daten ausschließt:
CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
my_classification_profile(
{
'minimum_object_age_for_classification_days': 0,
'maximum_classification_validity_days': 30,
'auto_tag': true,
'enable_tag_based_sensitive_data_exclusion': true
});
Sie können auch die SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION-Methode ausführen, um die Einstellung für ein bestehendes Klassifizierungsprofil zu aktivieren.
Anforderungen an die Zugriffssteuerung¶
Standardmäßig können Benutzende mit der Möglichkeit, Klassifizierungseinstellungen zu aktivieren oder zu deaktivieren, das System-Tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION nur auf ihren eigenen Schemas und Tabellen festlegen.
Wenn Sie möchten, dass Benutzende das System-Tag für alle Objekte festlegen können (unabhängig von der Eigentümerschaft), führen Sie den folgenden Befehl aus:
GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;