Utiliser le Centre de confiance pour définir la classification des données sensibles¶

Le Centre de confiance vous permet de configurer la classification des données sensibles dans l’interface utilisateur de Snowsight, de sorte que vous n’avez pas à écrire de code SQL. Une fois configurée, la classification des données sensibles identifie automatiquement les données d’une base de données qui sont sensibles et qui doivent être protégées.

Prise en main¶

Note

Les étapes suivantes ne s’appliquent qu’au premier utilisateur qui accède à l’onglet Data Security dans le Centre de confiance. Si vous n’êtes pas le premier utilisateur et que vous souhaitez configurer la classification, consultez Configurer la classification avec des paramètres avancés.

Pour utiliser une interface Web afin de configurer la classification des données sensibles, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Get started.
Dans la boîte de dialogue Set up auto-classification, procédez comme suit :
1. Sélectionnez les bases de données que vous souhaitez catégoriser.
2. Indiquez si vous souhaitez appliquer automatiquement des balises au lieu de les recommander simplement. Pour plus d’informations sur les balises et les catégories, consultez Concepts de base de la classification des données sensibles.
Sélectionnez Enable.
Sélectionnez Close.

Sur la base de cette configuration par défaut, la classification des données sensibles a le comportement suivant :

Recatégorise les objets précédemment classés tous les 30 jours.
Analyse les données pour toutes les catégories sémantiques natives.
Exclut les vues de la classification.
Base la classification sur un échantillon allant jusqu’à 10 000 lignes sélectionnées aléatoirement par table.

Lorsque le processus de classification est terminé, vous pouvez voir les résultats.

Configurer la classification avec des paramètres avancés¶

Pour configurer la classification des données sensibles avec des paramètres avancés, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Settings.
Effectuez au choix :
- Si vous affinez les paramètres de classification existants, recherchez le profil de classification qui contient les paramètres et sélectionnez » Edit. Si la première personne à configurer la classification a choisi les paramètres par défaut lors de la configuration, le profil est Default Snowflake profile.
- Si vous créez un nouveau profil de classification de sorte que différentes bases de données puissent être classifiées avec différents paramètres, sélectionnez Create New.
Sélectionnez les bases de données que vous souhaitez analyser à la recherche de données sensibles.

Si une base de données est grisée, elle est associée à un profil de classification existant et est déjà en cours de classification. Vous devrez modifier le profil de classification existant pour supprimer la base de données avant de pouvoir le catégoriser avec les paramètres d’un nouveau profil.
Sélectionnez Next.
Si votre compte catégorise les données sensibles en catégories personnalisées, sélectionnez celles que vous souhaitez utiliser.
Sélectionnez Next.
Si vous ne souhaitez pas que des balises soient automatiquement appliquées aux colonnes contenant des données sensibles, désélectionnez Auto-apply tags.
Si vous souhaitez appliquer une balise définie par l’utilisateur en plus d’une balise système aux colonnes correspondantes, procédez comme suit :
1. Dans la colonne Tag to apply, sélectionnez la paire balise/valeur définie par l’utilisateur que vous souhaitez appliquer aux données sensibles.
2. Dans la colonne Detected semantic categories, sélectionnez les valeurs de la balise SNOWFLAKE.CORE.SEMANTIC_CATEGORY. Il peut s’agir de catégories sémantiques natives ou personnalisées.
Par exemple, si vous sélectionnez PII = CONFIDENTIAL en tant que paire balise/valeur définie par l’utilisateur dans Tag to apply, puis que vous sélectionnez la catégorie sémantique NAME dans Detected semantic categories, lorsque Snowflake attribue la balise système SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME à une colonne, il applique également la balise PII = CONFIDENTIAL.
Sélectionnez Next.
Spécifiez la base de données, le schéma et le nom du profil de classification où tous vos paramètres seront enregistrés.
Sélectionnez la fréquence à laquelle les objets précédemment catégorisés sont recatégorisés.
Indiquez si vous souhaitez exclure certains objets du processus de classification. Pour plus d’informations sur l’exclusion d’objets spécifiques, consultez Exclusion de données de la classification des données sensibles.
Sélectionnez Enable.

Examiner les résultats de classification¶

Seules les tables qui nécessitent une décision manuelle apparaissent dans le workflow d’examen. Si Auto-apply tags est activé sur le profil de classification, Snowflake applique les balises système et toutes les balises définies par l’utilisateur que vous avez configurées, et ces objets sont marqués comme examinés. Si Auto-apply tags n’est pas activé, les objets avec les classifications et les balises recommandées apparaissent comme devant être examinés.

Dans l’onglet Data Security du Centre de confiance, sélectionnez l’onglet Dashboard. La vignette Objects that need review indique le nombre de tables pour lesquelles vous devez encore accepter ou modifier des recommandations. Ouvrez l’expérience d’examen à partir de cette vignette (ou le contrôle équivalent sur le tableau de bord) pour ouvrir la boîte de dialogue Review classification. À partir de la boîte de dialogue, vous pouvez :

Utiliser Search tables et le filtre Database pour trouver des tables. Basculer entre les onglets Pending review et Selected pour parcourir les tables qui nécessitent une action ou les tables que vous avez sélectionnées pour des mises à jour groupées.
Sélectionner une table pour inspecter les CLASSIFICATION CATEGORY, TAGS (définies par le système et par l’utilisateur) et SAMPLE VALUES recommandées pour chaque colonne afin de pouvoir confirmer les détections.
Modifier les catégories recommandées, ajouter ou ajuster les balises définies par l’utilisateur, et supprimer les recommandations que vous ne souhaitez pas appliquer.
Sélectionner une ou plusieurs tables, puis sélectionner Save and apply tags to selected tables pour appliquer vos choix.

Pour connaître les métriques de tableau de bord de haut niveau, la liste complète des Sensitive objects et les tâches associées, consultez Utiliser le Centre de confiance pour afficher les résultats de la classification.

Catégoriser des bases de données supplémentaires¶

Vous pouvez catégoriser d’autres bases de données avec les mêmes paramètres de classification en modifiant un profil de classification existant. Pour modifier un profil de classification, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Settings.
Recherchez le profil de classification dans la liste et sélectionnez » Edit. Si la première personne à configurer la classification a utilisé les paramètres par défaut, le profil de classification est Default Snowflake profile.
Sur la première page qui apparaît, sélectionnez les bases de données supplémentaires.
Terminez la configuration.

Erreurs de classification¶

Lorsque le processus de classification rencontre des erreurs pour certains objets, l’onglet Dashboard du Centre de confiance affiche une vignette Classification errors avec un indicateur de comptage et d’avertissement.

Sélectionnez la vignette Classification errors pour ouvrir la boîte de dialogue Classification errors. Utilisez Search objects et le filtre Database pour réduire la liste. La table répertorie chaque objet, sa base de données et son schéma, ainsi que le message d’erreur de classification qui explique pourquoi la classification a échoué (par exemple, problèmes de format de données, restrictions sur les objets sécurisés, ou erreurs de compilation SQL pour les vues). Sélectionnez Close lorsque vous avez terminé.

Pour obtenir des exemples SQL qui interrogent le tableau des événements et d’autres conseils de dépannage, consultez Dépannage de la classification des données sensibles.

Prochaines étapes¶

Une fois la classification des données sensibles configurée et exécutée, utilisez l’onglet Data Security du Centre de confiance pour surveiller les résultats :

Examinez les résultats de classification et appliquez les balises à l’aide de l’onglet Dashboard et de Objects that need review.
Inspectez les erreurs de classification à l’aide de la vignette Classification errors.
Pour voir des tableaux de bord supplémentaires, la liste des Sensitive objects et le détail des colonnes, consultez Utiliser le Centre de confiance pour afficher les résultats de la classification.

Exigences en matière de contrôle d’accès¶

Note

Les rôles d’application DATA_SECURITY_* seuls ne suffisent pas pour accéder à l’onglet Data Security du Centre de confiance. Vous devez avoir le rôle d’application SNOWFLAKE .TRUST_CENTER_VIEWER ouSNOWFLAKE .TRUST_CENTER_ADMIN pour utiliser le l’UI du Centre de confiance pour la classification. Si votre compte comportait auparavant les rôles``DATA_SECURITY_*``, mettez à jour en conséquence les rôles qui vous sont octroyés.


Tâche	Privilèges/rôles exigés	Remarques
Configurer la classification d’une base de données	Un des éléments suivants : Rôle d’application SNOWFLAKE.TRUST_CENTER_VIEWER Rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN
	Privilège EXECUTE AUTO CLASSIFICATION sur le ACCOUNT
	Privilège APPLY TAG sur le ACCOUNT
	USAGE sur la base de données	Des privilèges plus puissants sur la base de données répondent à cette exigence.
Examiner les informations de classification et les objets catégorisés	Un des éléments suivants : Rôle d’application SNOWFLAKE.TRUST_CENTER_VIEWER Rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN

Exemple : Autoriser un utilisateur à configurer une classification

Pour autoriser l’utilisateur mary à définir la classification des données sensibles et à examiner les résultats de la classification, exécutez les commandes suivantes :

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE trust_center_admin_role;

GRANT ROLE trust_center_admin_role TO USER mary;

Exemple : Autoriser l’utilisateur à examiner les résultats de la classification

Si vous voulez que l’utilisateur joe puisse examiner les résultats de la classification, mais ne soit pas en mesure de configurer la classification, exécutez les commandes suivantes :

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_viewer_role TO USER joe;