Dépannage de la classification des données sensibles¶

Afficher les erreurs de classification dans le Centre de confiance¶

Vous pouvez voir quels objets ont échoué à la classification et lire le message d’erreur pour chaque objet dans Snowsight sans utiliser le SQL. Procédez comme suit :

Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez l’onglet Dashboard.
Sélectionnez la vignette Classification errors.

Pour le workflow complet, voir Erreurs de classification dans Utiliser le Centre de confiance pour définir la classification des données sensibles.

Pourquoi une table peut ne pas être classée et comment trouver des erreurs¶

Une table peut ne pas être classée pour plusieurs raisons. La vérification la plus simple est de savoir si Snowflake peut interroger la table : exécuter une requête sur celle-ci (par exemple, SELECT * FROM my_table). Si une table ne peut pas être interrogée, elle ne peut pas être classifiée.

D’autres échecs peuvent inclure des problèmes de balisage ou de privilèges, des problèmes de format de données ou des restrictions sur les objets sécurisés ou certaines vues. Lorsque la classification échoue, vous pouvez trouver des détails à ces endroits :

Centre de confiance : Utilisez la vignette Classification errors comme décrit dans Afficher les erreurs de classification dans le Centre de confiance.
Tableau des événements : Snowflake enregistre un événement dans un tableau des événements. Par défaut, l’événement est enregistré dans le tableau des événements au niveau du compte. Si vous avez défini un tableau des événements pour la base de données de l’objet ayant échoué, l’événement y est enregistré à la place.
SQL : Interrogez le tableau des événements avec les exemples dans Listing des erreurs générales et Listing des erreurs de classification au niveau des objets. Pour les codes d’échec connus liés aux balises, voir Messages d’erreur liés aux balises.

En général, Snowflake attend un certain temps avant de tenter à nouveau de classifier l’objet. Chaque tentative supplémentaire qui échoue est consignée dans la tableau d’événements. Ce processus d’attente et de nouvelle tentative se poursuit jusqu’à ce que l’objet soit réparé ou retiré de la classification automatique.

Note

Pour éviter des coûts inutiles, Snowflake attend un certain temps avant de relancer la classification de certaines erreurs, comme les délais d’expiration. Pour ces erreurs de délais d’expiration, Snowflake ne relance pas la classification tant que tous les objets n’ont pas été re-classifiés ; la planification selon laquelle les objets sont re-classifiés est contrôlée par la clé maximum_classification_validity_days du profil de classification.

Si vous voulez empêcher l’enregistrement des événements de classification, définissez le paramètre de compte ENABLE_AUTOMATIC_SENSITIVE_DATA_CLASSIFICATION_LOG sur FALSE.

Listing des erreurs générales¶

La requête suivante renvoie les erreurs générales liées à la classification des données sensibles à partir du tableau des événements :

SELECT
  record_type,
  record:severity_text::string log_level,
  parse_json(value) error_message
  FROM <event_db>.<event_schema>.<event_table>
  WHERE record_type='LOG' and scope:name ='snow.automatic_sensitive_data_classification'
  ORDER BY log_level;

Pour voir un sous-ensemble des messages d’erreur possibles renvoyés par cette requête, consultez Messages d’erreur liés aux balises.

Listing des erreurs de classification au niveau des objets¶

La requête suivante sur le tableau d’événements renvoie des erreurs liées à la classification d’un objet spécifique : Par exemple, elle renvoie les erreurs qui se sont produites lorsque Snowflake a essayé de classifier une table spécifique.

SELECT
  RECORD_ATTRIBUTES:"object_name"::string AS object_name,
  parse_json(value):"error_message" error_message,
  PARSE_JSON(VALUE):"profile_name" classification_profile_name,
  timestamp,
  FROM <event_db>.<event_schema>.<event_table>
  WHERE record_type='LOG'
    AND scope:name ='snow.automatic_sensitive_data_classification'
    AND RECORD_ATTRIBUTES:"event_type" = 'CLASSIFICATION_ERROR'
  ORDER BY TIMESTAMP DESC;

Messages d’erreur liés aux balises¶


Erreur	"failure_reason":"NO_TAGGING_PRIVILEGE"
Cause	Le rôle utilisé pour la classification des données sensibles ne dispose pas des privilèges appropriés pour définir des balises.
Solution	Accorder les privilèges nécessaires au rôle utilisé pour la classification des données sensibles. Pour plus d’informations, voir Privilèges des balises.


Erreur	"failure_reason":"MANUALLY_APPLIED_VALUE_PRESENT"
Cause	Une autre balise est fixée manuellement sur la colonne.
Solution	Déterminez si vous souhaitez conserver la balise qui a été réglée manuellement sur la colonne. Si ce n’est pas le cas, désactivez la balise avant de classer la table à l’aide de la classification automatique ou de la procédure stockée SYSTEM$CLASSIFY.


Erreur	"failure_reason":"TAG_NOT_ACCESSIBLE_OR_AUTHORIZED"
Cause	Le rôle utilisé pour la classification ne peut pas accéder à la balise.
Solution	Si la balise n’existe pas, créez-la. Si la balise existe, accordez des privilèges sur la balise, ou sur la base de données ou le schéma qui contient la balise, au rôle qui a été utilisé pour classifier la base de données ou le schéma.

Pour plus d’informations sur les messages de la table des événements, voir Affichage des messages de journalisation.