Datenklassifizierung verwenden

Unter diesem Thema finden Sie Informationen dazu, wie Tabellen in einem Schema klassifiziert, die Klassifizierungsergebnisse überprüft und System-Tags auf die Spalten in den Tabellen mit SQL oder über Snowsight gesetzt werden.

Übersicht

Ein Datenverwalter kann Tabellen in einem Schema klassifizieren, um Datenschutzbestimmungen zu erfüllen. Diese Tabellen enthalten die folgenden Szenarios:

  • Neue Tabellen in einem Schema.

  • Neue Spalten oder geänderte Spalten in einer Tabelle innerhalb desselben Schemas.

  • Zuvor klassifizierte Tabellen, die möglicherweise erneut klassifiziert werden müssen.

Durch Evaluierung dieser Szenarios können Datenverwalter sensible und personenbezogene Informationen klassifizieren. Durch das Setzen von System-Tags auf die Spalte wird die Überwachung der Daten vereinfacht. Anschließend können Data Engineers die personenbezogenen und sensiblen Daten mit einer Maskierungsrichtlinie oder einer Zeilenzugriffsrichtlinie über Snowsight oder mit SQL schützen.

Erste Schritte zum Klassifizieren von Daten

Bevor Sie eine einzelne Tabelle oder Tabellen in einem Schema klassifizieren, führen Sie folgende Schritte aus:

  • Wählen Sie einen Workflow:

  • Entscheiden Sie sich für das zu verwendende Warehouse. Verwenden Sie z. B. ein Warehouse, das der Kostenstelle oder dem Geschäftsbereich entspricht, zu dem Sie gehören, um eine präzise Berichterstattung und Budgetierung zu ermöglichen.

  • Berücksichtigen Sie die Latenz in Ihrem Workflow. Snowsight aktualisiert den Bereich Databases von Snowsight alle 12 Stunden. Ab diesem Zeitpunkt können die aktualisierten Tabellen klassifiziert werden.

  • Prüfen Sie die Konfiguration der Zugriffssteuerung für Ihre aktuelle Rolle:

    • Verwenden Sie eine SHOW GRANTS TO ROLE-Anweisung, um die Berechtigungen für Objekte anzuzeigen, auf die ein Benutzer mit dieser Rolle zugreifen kann. Die verwendete Rolle muss mindestens über die folgenden Berechtigungen verfügen:

      • USAGE für das Warehouse, das bei der Klassifizierung verwendet werden soll.

      • SELECT für die Tabelle, um den Klassifizierungsprozess zu starten.

      • Die Datenbankrolle SNOWFLAKE.CORE_VIEWER, mit der System-Tags auf Spalten gesetzt werden können.

      • Die Datenbankrolle SNOWFLAKE.GOVERNANCE_VIEWER zum Abfragen der Account Usage-Ansicht DATA_CLASSIFICATION_LATEST.

    • Weitere Kombinationen von Berechtigungen finden Sie unter Übersicht zu Datenklassifizierungs-Berechtigungen.

    • Das Zugriffssteuerungsmodell ermöglicht es, dass verschiedene Personas in die Workflows einbezogen werden können. Beispielsweise kann der Datenverwalter die Klassifizierung von Tabellen in einem Schema vornehmen, und der Data Engineer kann die Ergebnisse in Snowsight auswerten. Wählen Sie das Zugriffssteuerungsmodell und den Workflow, der am besten für Sie geeignet ist.

Verwenden von SQL zum Klassifizieren einzelner Tabellen

Bei diesem Ansatz wird SQL verwendet, um eine Tabelle zu klassifizieren und System-Tags auf Spalten in den Tabellen zu setzen. Prüfen Sie noch einmal Abschnitt Erste Schritte zum Klassifizieren von Daten. Stellen Sie sicher, dass die verwendete Rolle über die erforderlichen Berechtigungen für die Zugriffssteuerung verfügt, die zum Klassifizieren der Tabellen im Schema erforderlich sind.

Dieses Verfahren setzt voraus, dass Sie eine Rolle mit den entsprechenden Berechtigungen verwenden. Führen Sie die folgenden Schritte aus, um SQL zum Klassifizieren von Tabellen in einem Schema zu verwenden und System-Tags auf die Tabellenspalten zu setzen:

  1. Identifizieren Sie eine Tabelle zur Klassifizierung.

  2. Rufen Sie die gespeicherte Prozedur SYSTEM$CLASSIFY auf, um die Spalten in der Tabelle zu klassifizieren und zu taggen:

    CALL SYSTEM$CLASSIFY('hr.tables.empl_info', {'auto_tag': true});
    
    Copy
  3. Rufen Sie die Information Schema-Tabellenfunktion TAG_REFERENCES_ALL_COLUMNS auf, um die Tag-Zuweisungen für die Spalten der Tabelle zu bestätigen:

    SELECT *
    FROM TABLE(
      hr.INFORMATION_SCHEMA.TAG_REFERENCES_ALL_COLUMNS(
        'hr.tables.empl_info',
        'table'
    ));
    
    Copy
  4. Danach können Sie die Account Usage-Ansicht DATA_CLASSIFICATION_LATEST abfragen, um das letzte Klassifizierungsergebnis für die Tabelle anzuzeigen.

Wiederholen Sie diese Schritte für jede Tabelle, die Sie klassifizieren möchten.

Verwendung von SQL zur asynchronen Klassifizierung von Tabellen in einem Schema

Bei diesem Ansatz wird SQL verwendet, um alle Tabellen in einem Schema asynchron zu klassifizieren und System-Tags auf Spalten in jeder Tabelle zu setzen. Dieses Verfahren setzt Folgendes voraus:

  • Dieses Verfahren setzt voraus, dass Sie eine Rolle mit den entsprechenden Berechtigungen verwenden.

  • Wählen Sie ein Schema aus, das weniger als 1.000 Tabellenobjekte enthält. Sie können einen SHOW TABLES IN SCHEMA-Befehl verwenden, um die Anzahl der Tabellenobjekte im Schema zu ermitteln.

Führen Sie die folgenden Schritte aus, um mit SQL alle Tabellen in einem Schema zu klassifizieren und System-Tags auf jede Spalte in jeder Tabelle zu setzen:

  1. Identifizieren Sie ein Schema, das Tabellen zur Klassifizierung enthält.

  2. Rufen Sie die gespeicherte Prozedur SYSTEM$CLASSIFY_SCHEMA auf, um die Klassifizierung der Tabellen im Schema zu planen:

    CALL SYSTEM$CLASSIFY_SCHEMA('hr.tables', {'auto_tag': true});
    
    Copy

    Achten Sie darauf, dass Sie nicht zu viele Schemas gleichzeitig klassifizieren. Weitere Informationen dazu finden Sie in den Nutzungshinweisen.

  3. Um die Ergebnisse anzuzeigen, rufen Sie die Funktion SYSTEM$GET_CLASSIFICATION_RESULT für jede Tabelle im Schema auf:

    SELECT SYSTEM$GET_CLASSIFICATION_RESULT('hr.tables.empl_info');
    
    Copy
  4. Rufen Sie die Information Schema-Tabellenfunktion TAG_REFERENCES_ALL_COLUMNS auf, um die Tag-Zuweisungen für die Spalten der Tabelle zu bestätigen:

    SELECT *
    FROM TABLE(
      hr.INFORMATION_SCHEMA.TAG_REFERENCES_ALL_COLUMNS(
        'hr.tables.empl_info',
        'table'
    ));
    
    Copy
  5. Danach können Sie die Account Usage-Ansicht DATA_CLASSIFICATION_LATEST abfragen, um das letzte Klassifizierungsergebnis für die Tabelle anzuzeigen.

Wiederholen Sie diese Schritte für jedes Schema, das Tabellen enthält, die Sie klassifizieren möchten.

Tipp

Wenn Sie die Klassifizierung von Tabellen in einem Schema aufheben wollen, rufen Sie die Prozedur SYSTEM$CANCEL_CLASSIFY_SCHEMA auf.

Verwenden von Snowsight zum Klassifizieren der Tabellen in einem Schema

Bei diesem Ansatz wird Snowsight verwendet, um die Klassifizierung der Tabellen in einem Schema festzulegen und die Spalten jeder Tabelle im Schema automatisch zu taggen. Das Verfahren setzt voraus, dass Sie eine Rolle mit den entsprechenden Berechtigungen verwenden.

Um alle Tabellen in einem Schema zu klassifizieren und System-Tags auf jede Spalte in jeder im Schema enthaltenen Tabelle zu setzen, führen Sie die folgenden Schritte in Snowsight aus:

  1. Lösen Sie die Klassifizierung aus, und taggen Sie die Tabellen im Schema:

    1. Navigieren Sie in Snowsight mit dem Objekt-Explorer zu dem von Ihnen ausgewählten Schema.

    2. Wählen Sie im Menü More () die Option Classify and Tag Sensitive Data aus.

    3. Wählen Sie ein Warehouse aus, falls noch kein Warehouse verwendet wird.

    4. Wählen Sie die Tabellen aus, die Sie klassifizieren möchten. Standardmäßig sind Tabellen nicht ausgewählt.

    5. Bewerten Sie die Advanced Options und wählen Sie sie nach Bedarf aus:

      • Mit der Option Auto-tagging data können Sie den Spalten nach der Klassifizierung der Daten automatisch Tags zuweisen. Diese Option ist standardmäßig aktiviert und Sie können sie bei Bedarf deaktivieren.

      • Mit der Option Include custom classifiers können Sie die kundenspezifischen Klassifikatoren verwenden, auf die Sie zur Klassifizierung von Daten zugreifen können.

        Um die kundenspezifischen Klassifikatoren zu ermitteln, auf die Sie zugreifen können, wählen Sie View custom classifiers und führen Sie den Befehl im Arbeitsblatt aus.

  2. Wählen Sie Classify and Tag Sensitive Data aus.

    Sie können diese Option auswählen, um eine Tabelle erneut zu klassifizieren, die zuvor klassifiziert wurde.

    Snowsight klassifiziert bis zu 1.000 Tabellen.

    Alternativ können Sie auch ein Arbeitsblatt (Worksheet) öffnen und SYSTEM$CLASSIFY_SCHEMA aufrufen, wie unter Verwendung von SQL zur asynchronen Klassifizierung von Tabellen in einem Schema gezeigt wird. Wenn Sie diese Option wählen, navigieren Sie nach dem Aufrufen dieser gespeicherten Prozedur im Objekt-Explorer zurück zum Schema. Achten Sie darauf, wie oft Sie diese gespeicherte Prozedur in einem relativ kurzen Zeitraum aufrufen. Weitere Informationen dazu finden Sie in den Nutzungshinweisen.

  3. Warten Sie, bis der Klassifizierungsprozess abgeschlossen ist. Wenn der Vorgang abgeschlossen ist, wird in der Spalte CLASSIFICATION ein grünes Häkchen angezeigt.

  4. Wählen Sie View Results aus.

  5. Ändern Sie den Tag-Wert nach Bedarf. Verwenden Sie dazu eine Rolle, die über die Berechtigung IMPORTED PRIVILEGES für die SNOWFLAKE-Datenbank verfügt.

  6. Folgen Sie den Aufforderungen, um die Tabellen im Schema zu überprüfen und zu genehmigen. Aktualisieren Sie die Tag-Werte nach Bedarf.

  7. Wählen Sie Complete classification aus.

  8. Auf der Registerkarte Tables wird Classification results reviewed and applied (Klassifizierungsergebnisse geprüft und angewendet) angezeigt. Sie können die Tag-Zuweisungen wie folgt bestätigen:

    1. Wählen Sie die Tabelle aus.

    2. Navigieren Sie zur Registerkarte Columns.

    3. Prüfen Sie die Spalte TAGS.

    Alternativ können Sie auch Folgendes tun:

    1. Verwenden Sie ein Arbeitsblatt, um die Information Schema-Tabellenfunktion TAG_REFERENCES_ALL_COLUMNS aufzurufen und die Tag-Zuweisungen für eine Spalte in einer bestimmten Tabelle anzuzeigen. Weitere Optionen finden Sie unter Tracking von System-Tags.

    2. Überprüfen Sie die Datensätze in der Account Usage-Ansicht DATA_CLASSIFICATION_LATEST, indem Sie entweder mit dem Objekt-Explorer zur Ansicht navigieren oder die Ansicht in einem Arbeitsblatt abfragen.

  9. Wiederholen Sie diese Schritte für andere Schemas, die zu klassifizierende Tabellen enthalten.