Utiliser le Centre de confiance pour définir la classification des données sensibles¶

Le Centre de confiance vous permet de configurer la classification des données sensibles dans l’interface utilisateur de Snowsight, de sorte que vous n’avez pas à écrire de code SQL. Une fois configurée, la classification des données sensibles identifie automatiquement les données d’une base de données qui sont sensibles et qui doivent être protégées.

Prise en main¶

Note

Les étapes suivantes ne s’appliquent qu’au premier utilisateur qui accède à l’onglet Data Security dans le Centre de confiance. Si vous n’êtes pas le premier utilisateur et que vous souhaitez configurer la classification, consultez Configurer la classification avec des paramètres avancés.

Pour utiliser une interface Web afin de configurer la classification des données sensibles, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Get started.
Dans la boîte de dialogue Set up auto-classification, procédez comme suit :
1. Sélectionnez les bases de données que vous souhaitez catégoriser.
2. Indiquez si vous souhaitez appliquer automatiquement des balises au lieu de les recommander simplement. Pour plus d’informations sur les balises et les catégories, consultez Core concepts of sensitive data classification.
Sélectionnez Enable.
Sélectionnez Close.

Sur la base de cette configuration par défaut, la classification des données sensibles a le comportement suivant :

Recatégorise les objets précédemment classés tous les 30 jours.
Analyse les données pour toutes les catégories sémantiques natives.
Exclut les vues de la classification.
Base la classification sur un échantillon allant jusqu’à 10 000 lignes sélectionnées aléatoirement par table.

Lorsque le processus de classification est terminé, vous pouvez voir les résultats.

Configurer la classification avec des paramètres avancés¶

Pour configurer la classification des données sensibles avec des paramètres avancés, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Settings.
Effectuez au choix :
- Si vous affinez les paramètres de classification existants, recherchez le profil de classification qui contient les paramètres et sélectionnez » Edit. Si la première personne à configurer la classification a choisi les paramètres par défaut lors de la configuration, le profil est Default Snowflake profile.
- Si vous créez un nouveau profil de classification de sorte que différentes bases de données puissent être classifiées avec différents paramètres, sélectionnez Create New.
Sélectionnez les bases de données que vous souhaitez analyser à la recherche de données sensibles.

Si une base de données est grisée, elle est associée à un profil de classification existant et est déjà en cours de classification. Vous devrez modifier le profil de classification existant pour supprimer la base de données avant de pouvoir le catégoriser avec les paramètres d’un nouveau profil.
Sélectionnez Next.
Si votre compte catégorise les données sensibles en catégories personnalisées, sélectionnez celles que vous souhaitez utiliser.
Sélectionnez Next.
Si vous ne souhaitez pas que des balises soient automatiquement appliquées aux colonnes contenant des données sensibles, désélectionnez Auto-apply tags.
Si vous souhaitez appliquer une balise définie par l’utilisateur en plus d’une balise système aux colonnes correspondantes, procédez comme suit :
1. Dans la colonne Tag to apply, sélectionnez la paire balise/valeur définie par l’utilisateur que vous souhaitez appliquer aux données sensibles.
2. Dans la colonne Detected semantic categories, sélectionnez les valeurs de la balise SNOWFLAKE.CORE.SEMANTIC_CATEGORY. Il peut s’agir de catégories sémantiques natives ou personnalisées.
Par exemple, si vous sélectionnez PII = CONFIDENTIAL en tant que paire balise/valeur définie par l’utilisateur dans Tag to apply, puis que vous sélectionnez la catégorie sémantique NAME dans Detected semantic categories, lorsque Snowflake attribue la balise système SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME à une colonne, il applique également la balise PII = CONFIDENTIAL.
Sélectionnez Next.
Spécifiez la base de données, le schéma et le nom du profil de classification où tous vos paramètres seront enregistrés.
Sélectionnez la fréquence à laquelle les objets précédemment catégorisés sont recatégorisés.
Indiquez si vous souhaitez exclure certains objets du processus de classification. Pour plus d’informations sur l’exclusion d’objets spécifiques, consultez Excluding data from sensitive data classification.
Sélectionnez Enable.

Catégoriser des bases de données supplémentaires¶

Vous pouvez catégoriser d’autres bases de données avec les mêmes paramètres de classification en modifiant un profil de classification existant. Pour modifier un profil de classification, procédez comme suit :

Connectez-vous à l”Snowsight en tant qu’utilisateur ayant les privilèges requis.
Dans le menu de navigation, sélectionnez Governance & security » Trust Center.
Sélectionnez l’onglet Data Security.
Sélectionnez Settings.
Recherchez le profil de classification dans la liste et sélectionnez » Edit. Si la première personne à configurer la classification a utilisé les paramètres par défaut, le profil de classification est Default Snowflake profile.
Sur la première page qui apparaît, sélectionnez les bases de données supplémentaires.
Terminez la configuration.

Prochaines étapes¶

Pour voir les résultats de la classification des données sensibles, consultez Utiliser le Centre de confiance pour voir les résultats.

Exigences en matière de contrôle d’accès¶

Tâche	Privilèges/rôles exigés	Remarques
Configurer la classification d’une base de données	Un des éléments suivants : Rôle d’application SNOWFLAKE.DATA_SECURITY_ADMIN Rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN	Si vous ne voulez pas que quelqu’un accède à d’autres parties du Centre de confiance, accordez le rôle DATA_SECURITY_ADMIN.
	Privilège EXECUTE AUTO CLASSIFICATION sur le ACCOUNT
	Privilège APPLY TAG sur le ACCOUNT
	USAGE sur la base de données	Des privilèges plus puissants sur la base de données répondent à cette exigence.
Examiner les informations de classification et les objets catégorisés	Un des éléments suivants : Rôle d’application SNOWFLAKE.DATA_SECURITY_VIEWER Rôle d’application SNOWFLAKE.TRUST_CENTER_VIEWER Rôle d’application SNOWFLAKE.DATA_SECURITY_ADMIN Rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN	Si vous ne voulez pas que quelqu’un accède à d’autres sections du Centre de confiance, accordez le rôle DATA_SECURITY_VIEWER ou DATA_SECURITY_ADMIN.

Exemple : Autoriser un utilisateur à configurer une classification

Pour autoriser l’utilisateur mary à définir la classification des données sensibles et à examiner les résultats de la classification, exécutez les commandes suivantes :

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_ADMIN TO ROLE data_security_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE data_security_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE data_security_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE data_security_admin_role;

GRANT ROLE data_security_admin_role TO USER mary;

Copy

Exemple : Autoriser l’utilisateur à examiner les résultats de la classification

Si vous voulez que l’utilisateur joe puisse examiner les résultats de la classification, mais ne soit pas en mesure de configurer la classification ou d’accéder à d’autres pages du Centre de confiance, exécutez les commandes suivantes :

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_VIEWER TO ROLE data_security_viewer_role;

GRANT ROLE data_security_viewer_role TO USER joe;

Copy