Exclusion de données de la classification des données sensibles¶
Grâce à la classification des données sensibles, Snowflake classifie les données sensibles à intervalles réguliers, sans intervention de l’utilisateur. Vous pouvez utiliser des paramètres et des balises système pour exclure certaines données de ce processus de classification.
Par exemple, supposons qu’une base de données my_db comporte trois tables t1, t2 et t3. Par défaut, lorsque vous classifiez my_db, les trois tables sont classifiées automatiquement. Vous pouvez configurer Snowflake pour ignorer t2 lors de la classification, de sorte que seules les tables t1 et t3 soient classifiées.
Workflow¶
L’exclusion de données de la classification des données sensibles est un processus en deux étapes :
Appliquez la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur chaque objet que vous souhaitez exclure de la classification des données sensibles.
Activer le paramètre d’exclusion pour l’exclusion des données sensibles basée sur des balises.
Configurer une balise sur des objets de données¶
Une balise d’objet est un objet qui peut être configuré sur un autre objet. Snowflake fournit une balise définie par le système, à savoir SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, que vous pouvez configurer sur les objets que vous souhaitez exclure de la classification des données sensibles. Lorsque la valeur de cette balise est TRUE, Snowflake ignore l’objet lors de la classification.
Vous pouvez configurer la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur un schéma, une table ou une colonne pour contrôler quelles données sont exclues de la classification des données sensibles.
- Exclure un schéma
Vous pouvez configurer la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur un schéma dans la base de données pour exclure ce schéma du processus de classification. Par exemple :
ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Exclure une table
Vous pouvez configurer la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur une table dans la base de données ou le schéma pour exclure cette table du processus de classification. Par exemple :
ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Exécuter une colonne
Vous pouvez configurer la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur une colonne de sorte que Snowflake l’ignore lors de la classification de la table. Si vous excluez une colonne, le résultat de la classification contient une valeur vide pour cette colonne, même si celle-ci contient des données sensibles.
Par exemple, supposons que vous souhaitiez classifier automatiquement toutes les colonnes d’une table, à l’exception de la colonne
employee_id. Vous pouvez exécuter la commande ALTER TABLE … ALTER COLUMN pour configurer la balise définie par le système sur la colonne :ALTER TABLE my_table ALTER COLUMN employee_id SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Lorsque Snowflake classifie automatiquement les données dans la table, le champ
employee_iddans le résultat JSON est vide.
Pour connaître les exigences en matière de contrôle d’accès pour la configuration de la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, consultez Exigences en matière de contrôle d’accès.
Activer le paramètre d’exclusion¶
Le réglage de la balise SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION sur des objets n’a aucun effet tant que vous n’avez pas activé le paramètre d’exclusion des données sensibles basée sur les balises.
Vous pouvez activer ce paramètre en utilisant l’interface utilisateur du Centre de confiance ou en utilisant les commandes SQL.
Utiliser le Centre de confiance pour activer l’exclusion des données sensibles basée sur les balises¶
Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez l’onglet Settings.
Effectuez au choix :
Si vous activez le paramètre pour un profil de classification existant, recherchez le profil et sélectionnez
» Edit.Si vous configurez un profil de classification avancé pour la première fois, sélectionnez Create New.
Parcourez les paramètres de classification jusqu’à ce que vous arriviez à la page Define classification criteria.
Dans la section Exclusion criteria, sélectionnez Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects.
Utiliser SQL pour activer l’exclusion des données sensibles basée sur les balises¶
Un profil de classification contient les paramètres qui contrôlent la manière dont Snowflake classifie automatiquement les données d’une base de données. Ces paramètres sont spécifiés à l’aide de paires clé-valeur dans un OBJECT.
Vous devez définir la clé enable_tag_based_sensitive_data_exclusion du profil de classification si vous souhaitez que les données soient exclues de la classification des données sensibles.
Voici un exemple de profil de classification qui, lorsqu’il est configuré sur une base de données, exclut les objets correctement balisés de la classification des données sensibles :
CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
my_classification_profile(
{
'minimum_object_age_for_classification_days': 0,
'maximum_classification_validity_days': 30,
'auto_tag': true,
'enable_tag_based_sensitive_data_exclusion': true
});
Vous pouvez également exécuter la méthode SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION pour activer le paramètre d’un profil de classification existant.
Exigences en matière de contrôle d’accès¶
Par défaut, un utilisateur ayant la possibilité d’activer ou de désactiver les paramètres de classification peut définir la balise système SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION uniquement sur leurs propres schémas et tables.
Si vous souhaitez qu’un utilisateur puisse définir la balise système sur tous les objets et pas seulement ceux qu’il possède, exécutez la commande suivante :
GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;