Kundenspezifische Datenklassifizierung¶
Unter diesem Thema werden Konzepte zur kundenspezifischen Datenklassifizierung in Snowflake vorgestellt.
Übersicht¶
Snowflake stellt die Klasse CUSTOM_CLASSIFIER im SNOWFLAKE.DATA_PRIVACY-Schema bereit, damit Data Engineers ihre Möglichkeiten zur Datenklassifizierung auf der Grundlage ihres eigenen Wissens über ihre Daten erweitern können. Nachdem Sie eine Instanz der Klasse erstellt haben, können Sie auf der Instanz Methoden aufrufen. Auf diese Weise können Sie eigene semantische Kategorien definieren, Datenschutzkategorien angeben sowie reguläre Ausdrücke zum Abgleichen von Spaltenwertmustern und optional zum Abgleichen des Spaltennamens angeben.
Durch das Erstellen und Verwenden kundenspezifischer Klassifizierungsinstanzen bietet folgende Vorteile:
Beschleunigen der Bemühungen um eigene Datenklassifizierungen.
Definieren branchen- und domänenspezifischer Tags für Spalten mit sensiblen Daten.
Nutzen von Snowflake, um mehr Kontrolle über Ihre Bemühungen zu haben, PII-Daten zu verfolgen.
Allgemeine Informationen zum Algorithmus für die kundenspezifische Klassifizierung¶
Snowflake verwendet einen Algorithmus für die kundenspezifische Klassifizierung, der im Vergleich zum Algorithmus für die Datenklassifizierung einzigartig ist. Mit den verschiedenen Klassifizierungsalgorithmen sollen stabile Ergebnisse sichergestellt werden, je nachdem, wie Sie Ihre Daten klassifizieren möchten.
Der Algorithmus für die kundenspezifische Klassifizierung verwendet eine Bewertungsregel, um zu bestimmen, welches System-Tag einer semantischen Kategorie empfohlen werden soll und welche Tags von semantischen Kategorien, falls vorhanden, als Alternativen vorgeschlagen werden sollen. Die Bewertungslogik wertet die regulären Ausdrücke aus, die Sie Ihrer Instanz hinzufügen und die Sie durch Aufrufen der Methode custom_classifier !ADD_REGEX für Ihre Instanz angeben.
Die Bewertungsregel verwendet einen Standard-Schwellenwert, der für ein hohes Vertrauen in das empfohlene Tag steht. Der Algorithmus vergleicht die Bewertung für eine Spalte mit dem Schwellenwert und empfiehlt ein Tag, das einer der folgenden Optionen entspricht:
Kundenspezifisches Klassifikator-Tag
Die folgende Tabelle gibt einen Überblick über den Bewertungsalgorithmus und das jeweils empfohlene Tag:
Namensabgleicher bereitgestellt |
Wert stimmt überein >= Schwellenwert |
Name stimmt überein |
Empfehlung |
---|---|---|---|
True |
True |
True |
Kundenspezifische Kategorie |
False |
True |
Snowflake-Kategorie |
|
True |
False |
Snowflake-Kategorie |
|
False |
False |
Snowflake-Kategorie |
|
False |
True |
Nicht anwendbar |
Kundenspezifische Kategorie |
False |
Nicht anwendbar |
Snowflake-Kategorie |
Einschränkungen¶
Derzeit können Sie kundenspezifische Klassifikatoren nur mit SQL ausführen. Sie können kundenspezifische Klassifikatoren nicht über Snowsight ausführen.
Verwenden von kundenspezifischen Klassifikatoren¶
Für die kundenspezifische Klassifizierung wird die Klasse CUSTOM_CLASSIFIER verwendet. Sie können eine Instanz der Klasse CUSTOM_CLASSIFIER erstellen und Instanzmethoden aufrufen, um mit der Instanz verbundene reguläre Ausdrücke zu verwalten. Die folgenden Methoden und SQL-Befehle werden unterstützt:
Befehle:
Methoden:
Außerdem können Sie die folgenden Rollen für die kundenspezifische Klassifizierung verwenden:
SNOWFLAKE.CLASSIFICATION_ADMIN: Datenbankrolle, mit der Sie eine kundenspezifische Klassifizierungsinstanz erstellen können.
custom_classifier
!PRIVACY_USER: Instanzrolle, mit der Sie die folgenden Aktionen durchführen können:Hinzufügen einer Kategorie zu der Instanz, indem die Methode ADD_REGEX auf der Instanz aufgerufen wird.
Löschen einer Kategorie aus einer Instanz, indem die Methode DELETE_CATEGORY auf der Instanz aufgerufen wird.
Mit der Kontorolle mit OWNERSHIP-Berechtigung für die Instanz können Sie Folgendes ausführen:
Löschen der Instanz mit einem DROP CUSTOM_CLASSIFIER-Befehl.
Auflisten der Instanzen mit einem SHOW CUSTOM_CLASSIFIER-Befehl.
Sie können die Instanzrollen an Kontorollen und Datenbankrollen vergeben, damit andere Benutzer mit kundenspezifischen Klassifizierungsinstanzen arbeiten können. Beispiel:
GRANT SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER ROLE <name>!USER TO ROLE <role_name> REVOKE SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER ROLE <name>!USER FROM ROLE <role_name> GRANT SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER ROLE <name>!USER TO DATABASE ROLE <database_role_name> REVOKE SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER ROLE <name>!USER FROM DATABASE ROLE <database_role_name>Wobei:
name
Gibt den Namen der kundenspezifischen Klassifizierungsinstanz an, die Sie erstellen.
role_name
Gibt den Namen einer Kontorolle an.
database_role_name
Gibt den Namen eine Datenbankrolle an.
Ähnlich wie bei anderen Snowflake-Objekten erhält die Rolle, die die kundenspezifische Klassifizierungsinstanz erstellt, automatisch die OWNERSHIP-Berechtigung für die Instanz.
Der allgemeine Ansatz zum Klassifizieren von Daten mit kundenspezifischen Klassifikatoren ist wie folgt:
Identifizieren Sie eine Tabelle zur Klassifizierung.
Verwenden Sie SQL, um Folgendes zu tun:
Erstellen Sie eine kundenspezifische Klassifizierungsinstanz.
Fügen Sie der Instanz die System-Tag-Kategorien und regulären Ausdrücke hinzu.
Klassifizieren Sie die Tabelle.
Beispiel¶
Führen Sie die folgenden Schritte aus, um einen kundenspezifischen Klassifikator zum Klassifizieren einer Tabelle zu erstellen:
Angenommen, wir haben eine Tabelle
data.tables.patient_diagnosis
, in der eine der Spalten Diagnosecodes enthält, z. B. ICD-10-Codes.+-------------+----------------------------------------------------------+ | ICD_10_CODE | DESCRIPTION | +-------------+----------------------------------------------------------+ | G30.9 | Alzheimer's disease, unspecified | | G80.8 | Other cerebral palsy | | S13.4XXA | Sprain of ligaments of cervical spine, initial encounter | +-------------+----------------------------------------------------------+
Diese Tabelle kann auch Spalten enthalten, über die Patienten, die in einer medizinischen Einrichtung behandelt wurden, identifiziert werden können, z. B. Vor- und Nachname, eindeutige Krankenversicherungsnummer und Geburtsdatum. Der Dateneigentümer kann die Tabelle klassifizieren, um sicherzustellen, dass die Spalten korrekt getaggt sind, sodass die Tabelle überwacht werden kann.
In diesem Beispiel verfügt der Dateneigentümer bereits über diese Berechtigungen, die seiner Rolle zugewiesen sind:
OWNERSHIP für die zu klassifizierende Tabelle
OWNERSHIP für das Schema, das die Tabelle enthält
USAGE für die Datenbank, die das Schema und die Tabelle enthält
Erlauben Sie dem Dateneigentümer das Klassifizieren der Tabelle, indem Sie der Dateneigentümerrolle die Datenbankrolle SNOWFLAKE.CLASSIFICATION_ADMIN zuweisen:
USE ROLE ACCOUNTADMIN; GRANT DATABASE ROLE SNOWFLAKE.CLASSIFICATION_ADMIN TO ROLE data_owner;
Erstellen Sie als Dateneigentümer ein Schema zum Speichern Ihrer kundenspezifischen Klassifizierungsinstanzen:
USE ROLE data_owner; CREATE SCHEMA data.classifiers;
Verwenden Sie den Befehl CREATE CUSTOM_CLASSIFIER, um eine kundenspezifische Klassifizierungsinstanz im Schema
data.classifiers
zu erstellen:USE SCHEMA data.classifiers; CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER medical_codes();
Aktualisieren Sie Ihren Suchpfad, um die Nutzung der Instanz zu vereinfachen.
Verwenden Sie den Befehl SHOW CUSTOM_CLASSIFIER-Befehl, um jede von Ihnen erstellte Instanz aufzulisten. Beispiel:
SHOW SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER;
Rückgabewerte:
+----------------------------------+---------------+---------------+-------------+-----------------+---------+-------------+ | created_on | name | database_name | schema_name | current_version | comment | owner | +----------------------------------+---------------+---------------+-------------+-----------------+---------+-------------+ | 2023-09-08 07:00:00.123000+00:00 | MEDICAL_CODES | DATA | CLASSIFIERS | 1.0 | None | DATA_OWNER | +----------------------------------+---------------+---------------+-------------+-----------------+---------+-------------+
Rufen Sie die Methode custom_classifier !ADD_REGEX auf der Instanz auf, um die System-Tags und den regulären Ausdruck zum Identifizieren von ICD-10-Codes in einer Spalte anzugeben. Der reguläre Ausdruck in diesem Beispiel entspricht allen möglichen ICD-10-Codes. Der reguläre Ausdruck für den Abgleich von Spaltenname,
ICD*
und Kommentar ist optional:CALL medical_codes!ADD_REGEX( 'ICD_10_CODES', 'IDENTIFIER', '[A-TV-Z][0-9][0-9AB]\.?[0-9A-TV-Z]{0,4}', 'ICD*', 'Add a regex to identify ICD-10 medical codes in a column' );
Rückgabewerte:
+---------------+ | ADD_REGEX | +---------------+ | ICD_10_CODES | +---------------+
Tipp
Testen Sie den regulären Ausdruck, bevor Sie der kundenspezifischen Klassifizierungsinstanz einen regulären Ausdruck hinzufügen. Beispiel:
SELECT icd_10_code FROM medical_codes WHERE icd_10_code REGEXP('[A-TV-Z][0-9][0-9AB]\.?[0-9A-TV-Z]{0,4}');
+-------------+ | ICD-10-CODE | +-------------+ | G30.9 | | G80.8 | | S13.4XXA | +-------------+
Bei dieser Abfrage werden nur gültige Werte zurückgegeben, die mit dem regulären Ausdruck übereinstimmen. Die Abfrage gibt keine ungültigen Werte wie
xyz
zurück.Weitere Details dazu finden Sie unter Zeichenfolgenfunktionen (reguläre Ausdrücke).
Rufen Sie die Methode custom_classifier !LIST auf der Instanz auf, um den regulären Ausdruck zu überprüfen, den Sie der Instanz hinzugefügt haben:
SELECT medical_codes!LIST();
Rückgabewerte:
+--------------------------------------------------------------------------------+ | MEDICAL_CODES!LIST() | +--------------------------------------------------------------------------------+ | { | | "ICD-10-CODES": { | | "col_name_regex": "ICD*", | | "description": "Add a regex to identify ICD-10 medical codes in a column", | | "privacy_category": "IDENTIFIER", | | "value_regex": "[A-TV-Z][0-9][0-9AB]\.?[0-9A-TV-Z]{0,4}" | | } | +--------------------------------------------------------------------------------+
Um eine Kategorie zu entfernen, rufen Sie die Methode custom_classifier !DELETE_CATEGORY auf der Instanz auf.
Verwenden Sie SQL, um die Tabelle zu klassifizieren. Weitere Details dazu finden Sie unter Verwenden von SQL zum Klassifizieren der Tabellen in einem Schema.
Wenn die Instanz nicht mehr benötigt wird, verwenden Sie den Befehl DROP CUSTOM_CLASSIFIER, um eine kundenspezifische Klassifizierungsinstanz aus dem System zu entfernen:
DROP SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER data.classifiers.medical_codes;