Verwenden des Trust Centers, um die Klassifizierung sensibler Daten einzurichten¶

Erste Schritte¶

Um eine Weboberfläche für die Klassifizierung sensibler Daten zu verwenden, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.

2. Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.

3. Wählen Sie die Registerkarte Data Security aus.

4. Wählen Sie Get started aus.

5. Gehen Sie im Dialogfeld Set up auto-classification wie folgt vor:

   1. Wählen Sie die Datenbanken aus, die Sie klassifizieren möchten.

   2. Geben Sie an, ob Sie Tags automatisch anwenden möchten, anstatt sie nur zu empfehlen. Weitere Informationen zu Tags und Kategorien finden Sie unter Zentrale Konzepte für die Klassifizierung sensibler Daten.

6. Wählen Sie Enable aus.

7. Wählen Sie Close aus.

Basierend auf dieser Standardeinstellung weist die Klassifizierung sensibler Daten das folgende Verhalten auf:

• Neuklassifizierung von zuvor klassifizierten Objekten alle 30 Tage.

• Durchsuchen der Daten für alle nativen semantischen Kategorien.

• Ausschließen von Ansichten von der Klassifizierung.

• Klassifizierung basierend auf einer Stichprobe von bis zu 10.000 zufällig ausgewählten Zeilen pro Tabelle.

Wenn der Klassifizierungsprozess abgeschlossen ist, können Sie die Ergebnisse anzeigen.

Einrichten der Klassifizierung mit erweiterten Einstellungen¶

Um die Klassifizierung sensibler Daten mit erweiterten Einstellungen einzurichten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.

2. Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.

3. Wählen Sie die Registerkarte Data Security aus.

4. Wählen Sie Settings aus.

5. Führen Sie eine der folgenden Aktionen aus:

   • Wenn Sie ein Fine-Tuning bestehender Klassifizierungseinstellungen vornehmen, suchen Sie das Klassifizierungsprofil, das die Einstellungen enthält, und wählen Sie » Edit aus. Wenn die erste Person, die die Klassifizierung einrichtet, bei der Einrichtung die Standardeinstellungen gewählt hat, lautet das Profil Default Snowflake profile.

   • Wenn Sie ein neues Klassifizierungsprofil erstellen, wählen Sie Create New aus, damit verschiedene Datenbanken mit unterschiedlichen Einstellungen klassifiziert werden können.

6. Wählen Sie die Datenbanken aus, die Sie auf sensible Daten durchsuchen möchten.

   Wenn eine Datenbank ausgeblendet ist, ist sie mit einem bestehenden Klassifizierungsprofil verknüpft und wurde bereits klassifiziert. Sie müssen das bestehende Klassifizierungsprofil bearbeiten, um die Datenbank zu entfernen, bevor Sie sie mit den Einstellungen eines neuen Profils klassifizieren können.

7. Wählen Sie Next aus.

8. Wenn Ihr Konto sensible Daten in kundenspezifischen Kategorien klassifiziert, wählen Sie diejenigen aus, die Sie verwenden möchten.

9. Wählen Sie Next aus.

10. Wenn Sie nicht möchten, dass Tags automatisch auf Spalten mit sensiblen Daten angewendet werden, deaktivieren Sie Auto-apply tags.

11. Wenn Sie zusätzlich zu einem System-Tag ein kundenspezifisches Tag auf übereinstimmende Spalten anwenden möchten, gehen Sie wie folgt vor:

    1. Wählen Sie in der Spalte Tag to apply das kundenspezifische Tag/Wert-Paar aus, das auf sensible Daten angewendet werden soll.

    2. Wählen Sie in der Spalte Detected semantic categories die Werte des Tags SNOWFLAKE.CORE.SEMANTIC_CATEGORY aus. Dies können native und kundenspezifische semantische Kategorien sein.

    Wenn Sie zum Beispiel PII = CONFIDENTIAL als kundenspezifisches Tag/Wert-Paar in Tag to apply und dann die semantische Kategorie NAME in Detected semantic categories auswählen, gilt das Tag PII = CONFIDENTIAL auch, wenn Snowflake das System-Tag SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME einer Spalte zuweist.

12. Wählen Sie Next aus.

13. Geben Sie die Datenbank, das Schema und den Namen des Klassifizierungsprofils an, in dem alle Ihre Einstellungen gespeichert werden.

14. Wählen Sie die Kadenz aus, mit der zuvor klassifizierte Objekte neu klassifiziert werden.

15. Geben Sie an, ob Sie bestimmte Objekte vom Klassifizierungsprozess ausschließen möchten. Informationen zum Ausschließen bestimmter Objekte finden Sie unter Ausschließen von Daten von der Klassifizierung sensibler Daten.

16. Wählen Sie Enable aus.

Review classification results¶

Only tables that need a manual decision appear in the review workflow. If Auto-apply tags is enabled on the classification profile, Snowflake applies system tags and any user-defined tags you configured, and those objects are marked as reviewed. If Auto-apply tags is not enabled, objects with recommended classifications and tags appear as needing review.

On the Trust Center Data Security tab, select the Dashboard tab. The Objects that need review tile shows how many tables still need you to accept or change recommendations. Open the review experience from that tile (or the equivalent control on the dashboard) to open the Review classification dialog. In the dialog you can:

• Use Search tables and the Database filter to find tables. Switch between the Pending review and Selected tabs to work through tables that need action or tables you have marked for batch updates.

• Select a table to inspect each column’s recommended CLASSIFICATION CATEGORY, TAGS (system and user-defined), and SAMPLE VALUES so you can confirm detections.

• Change recommended categories, add or adjust user-defined tags, and remove recommendations you do not want to apply.

• Select one or more tables, then select Save and apply tags to selected tables to apply your choices.

For high-level dashboard metrics, the full Sensitive objects list, and related tasks, see Verwenden des Trust Centers, um die Ergebnisse der Klassifizierung anzuzeigen.

Klassifizieren zusätzlicher Datenbanken¶

Sie können weitere Datenbanken mit denselben Klassifizierungseinstellungen klassifizieren, indem Sie ein vorhandenes Klassifizierungsprofil bearbeiten. So erstellen Sie ein Klassifizierungsprofil:

1. Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.

2. Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.

3. Wählen Sie die Registerkarte Data Security aus.

4. Wählen Sie Settings aus.

5. Suchen Sie das Klassifizierungsprofil in der Liste, und wählen Sie » Edit aus. Wenn die erste Person, die die Klassifizierung einrichtet, die Standardeinstellungen verwendet, lautet das Klassifizierungsprofil Default Snowflake profile.

6. Wählen Sie auf der ersten angezeigten Seite die zusätzlichen Datenbanken aus.

7. Schließen Sie die Einrichtung ab.

Classification errors¶

When the classification process encounters errors for some objects, the Trust Center Dashboard tab shows a Classification errors tile with a count and warning indicator.

Select the Classification errors tile to open the Classification errors dialog. Use Search objects and the Database filter to narrow the list. The table lists each object, its database and schema, and the classification error message that explains why classification failed (for example data format issues, restrictions on secure objects, or SQL compilation errors for views). Select Close when you are finished.

For SQL examples that query the event table and other troubleshooting guidance, see Fehlerbehebung bei der Klassifizierung sensibler Daten.

Nächste Schritte¶

After sensitive data classification is set up and running, use the Trust Center Data Security tab to monitor outcomes:

• Review classification results and apply tags using the Dashboard tab and Objects that need review.

• Inspect classification errors using the Classification errors tile.

• For additional dashboards, the Sensitive objects list, and column detail, see Verwenden des Trust Centers, um die Ergebnisse der Klassifizierung anzuzeigen.

Anforderungen an die Zugriffssteuerung¶

Beispiel: Einem Benutzer das Einrichten einer Klassifizierung erlauben

Um Benutzer mary zu erlauben, die Klassifizierung sensibler Daten einzurichten und die Ergebnisse der Klassifizierung zu überprüfen, führen Sie die folgenden Befehle aus:

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE trust_center_admin_role;

GRANT ROLE trust_center_admin_role TO USER mary;

Beispiel: Einem Benutzer das Überprüfen der Ergebnisse der Klassifizierung zerlauben

Wenn Sie möchten, dass der Benutzende joe die Ergebnisse der Klassifizierung überprüfen kann, aber keine Klassifizierung einrichten kann, führen Sie die folgenden Befehle aus:

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_viewer_role TO USER joe;