Verwenden des Trust Centers, um die Klassifizierung sensibler Daten einzurichten¶

Mit Trust Center können Sie die Klassifizierung sensibler Daten in der Snowsight-Benutzeroberfläche einrichten, sodass Sie keinen SQL-Code schreiben müssen. Nach der Einrichtung identifiziert die Klassifizierung sensibler Daten automatisch, welche Daten in einer Datenbank sensibel sind und geschützt werden müssen.

Erste Schritte¶

Bemerkung

Die folgenden Schritte gelten nur für den ersten Benutzer, der auf die Registerkarte Data Security im Trust Center zugreift. Wenn Sie nicht der erste Benutzer sind und eine Klassifizierung einrichten möchten, lesen Sie Einrichten der Klassifizierung mit erweiterten Einstellungen.

Um eine Weboberfläche für die Klassifizierung sensibler Daten zu verwenden, führen Sie die folgenden Schritte aus:

Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.
Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.
Wählen Sie die Registerkarte Data Security aus.
Wählen Sie Get started aus.
Gehen Sie im Dialogfeld Set up auto-classification wie folgt vor:
1. Wählen Sie die Datenbanken aus, die Sie klassifizieren möchten.
2. Geben Sie an, ob Sie Tags automatisch anwenden möchten, anstatt sie nur zu empfehlen. Weitere Informationen zu Tags und Kategorien finden Sie unter Core concepts of sensitive data classification.
Wählen Sie Enable aus.
Wählen Sie Close aus.

Basierend auf dieser Standardeinstellung weist die Klassifizierung sensibler Daten das folgende Verhalten auf:

Neuklassifizierung von zuvor klassifizierten Objekten alle 30 Tage.
Durchsuchen der Daten für alle nativen semantischen Kategorien.
Ausschließen von Ansichten von der Klassifizierung.
Klassifizierung basierend auf einer Stichprobe von bis zu 10.000 zufällig ausgewählten Zeilen pro Tabelle.

Wenn der Klassifizierungsprozess abgeschlossen ist, können Sie die Ergebnisse anzeigen.

Einrichten der Klassifizierung mit erweiterten Einstellungen¶

Um die Klassifizierung sensibler Daten mit erweiterten Einstellungen einzurichten, führen Sie die folgenden Schritte aus:

Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.
Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.
Wählen Sie die Registerkarte Data Security aus.
Wählen Sie Settings aus.
Führen Sie eine der folgenden Aktionen aus:
- Wenn Sie ein Fine-Tuning bestehender Klassifizierungseinstellungen vornehmen, suchen Sie das Klassifizierungsprofil, das die Einstellungen enthält, und wählen Sie » Edit aus. Wenn die erste Person, die die Klassifizierung einrichtet, bei der Einrichtung die Standardeinstellungen gewählt hat, lautet das Profil Default Snowflake profile.
- Wenn Sie ein neues Klassifizierungsprofil erstellen, wählen Sie Create New aus, damit verschiedene Datenbanken mit unterschiedlichen Einstellungen klassifiziert werden können.
Wählen Sie die Datenbanken aus, die Sie auf sensible Daten durchsuchen möchten.

Wenn eine Datenbank ausgeblendet ist, ist sie mit einem bestehenden Klassifizierungsprofil verknüpft und wurde bereits klassifiziert. Sie müssen das bestehende Klassifizierungsprofil bearbeiten, um die Datenbank zu entfernen, bevor Sie sie mit den Einstellungen eines neuen Profils klassifizieren können.
Wählen Sie Next aus.
Wenn Ihr Konto sensible Daten in kundenspezifischen Kategorien klassifiziert, wählen Sie diejenigen aus, die Sie verwenden möchten.
Wählen Sie Next aus.
Wenn Sie nicht möchten, dass Tags automatisch auf Spalten mit sensiblen Daten angewendet werden, deaktivieren Sie Auto-apply tags.
Wenn Sie zusätzlich zu einem System-Tag ein kundenspezifisches Tag auf übereinstimmende Spalten anwenden möchten, gehen Sie wie folgt vor:
1. Wählen Sie in der Spalte Tag to apply das kundenspezifische Tag/Wert-Paar aus, das auf sensible Daten angewendet werden soll.
2. Wählen Sie in der Spalte Detected semantic categories die Werte des Tags SNOWFLAKE.CORE.SEMANTIC_CATEGORY aus. Dies können native und kundenspezifische semantische Kategorien sein.
Wenn Sie zum Beispiel PII = CONFIDENTIAL als kundenspezifisches Tag/Wert-Paar in Tag to apply und dann die semantische Kategorie NAME in Detected semantic categories auswählen, gilt das Tag PII = CONFIDENTIAL auch, wenn Snowflake das System-Tag SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME einer Spalte zuweist.
Wählen Sie Next aus.
Geben Sie die Datenbank, das Schema und den Namen des Klassifizierungsprofils an, in dem alle Ihre Einstellungen gespeichert werden.
Wählen Sie die Kadenz aus, mit der zuvor klassifizierte Objekte neu klassifiziert werden.
Geben Sie an, ob Sie bestimmte Objekte vom Klassifizierungsprozess ausschließen möchten. Informationen zum Ausschließen bestimmter Objekte finden Sie unter Excluding data from sensitive data classification.
Wählen Sie Enable aus.

Klassifizieren zusätzlicher Datenbanken¶

Sie können weitere Datenbanken mit denselben Klassifizierungseinstellungen klassifizieren, indem Sie ein vorhandenes Klassifizierungsprofil bearbeiten. So erstellen Sie ein Klassifizierungsprofil:

Melden Sie sich bei Snowsight als Benutzer mit den erforderlichen Berechtigungen an.
Wählen Sie im Navigationsmenü die Option Governance & security » Trust Center aus.
Wählen Sie die Registerkarte Data Security aus.
Wählen Sie Settings aus.
Suchen Sie das Klassifizierungsprofil in der Liste, und wählen Sie » Edit aus. Wenn die erste Person, die die Klassifizierung einrichtet, die Standardeinstellungen verwendet, lautet das Klassifizierungsprofil Default Snowflake profile.
Wählen Sie auf der ersten angezeigten Seite die zusätzlichen Datenbanken aus.
Schließen Sie die Einrichtung ab.

Nächste Schritte¶

Die Ergebnisse der Klassifizierung sensibler Daten finden Sie unter Verwenden des Trust Centers, um Ergebnisse anzuzeigen.

Anforderungen an die Zugriffssteuerung¶

Aufgabe	Erforderliche Berechtigungen/Rollen	Anmerkungen
Einrichten der Klassifizierung für eine Datenbank	Eine der folgenden Berechtigungen: SNOWFLAKE.DATA_SECURITY_ADMIN-Anwendungsrolle SNOWFLAKE.TRUST_CENTER_ADMIN-Anwendungsrolle	Wenn Sie nicht möchten, dass jemand auf andere Teile des Trust Centers zugreift, erteilen Sie die DATA_SECURITY_ADMIN-Rolle
	EXECUTE AUTO CLASSIFICATION-Berechtigung für ACCOUNT
	APPLY TAG-Berechtigung für ACCOUNT
	USAGE für die Datenbank	Umfassendere Berechtigungen für die Datenbank erfüllen diese Anforderung.
Überprüfen der Klassifizierungsergebnisse und klassifizierten Objekte	Eine der folgenden Berechtigungen: SNOWFLAKE.DATA_SECURITY_VIEWER-Anwendungsrolle SNOWFLAKE.TRUST_CENTER_VIEWER-Anwendungsrolle SNOWFLAKE.DATA_SECURITY_ADMIN-Anwendungsrolle SNOWFLAKE.TRUST_CENTER_ADMIN-Anwendungsrolle	Wenn Sie nicht möchten, dass jemand auf andere Teile des Trust Center zugreift, erteilen Sie die DATA_SECURITY_VIEWER- oder DATA_SECURITY_ADMIN-Rolle.

Beispiel: Einem Benutzer das Einrichten einer Klassifizierung erlauben

Um Benutzer mary zu erlauben, die Klassifizierung sensibler Daten einzurichten und die Ergebnisse der Klassifizierung zu überprüfen, führen Sie die folgenden Befehle aus:

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_ADMIN TO ROLE data_security_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE data_security_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE data_security_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE data_security_admin_role;

GRANT ROLE data_security_admin_role TO USER mary;

Copy

Beispiel: Einem Benutzer das Überprüfen der Ergebnisse der Klassifizierung zerlauben

Wenn Sie möchten, dass der Benutzer joe die Ergebnisse der Klassifizierung überprüfen kann, aber keine Klassifizierung einrichten oder auf andere Trust Center-Seiten zugreifen kann, führen Sie die folgenden Befehle aus:

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_VIEWER TO ROLE data_security_viewer_role;

GRANT ROLE data_security_viewer_role TO USER joe;

Copy