Excluding data from sensitive data classification

機密データの分類を使用することで、Snowflakeはユーザーの介入なしに定期的にデータを機密として分類します。設定とシステムタグを使用して、この分類プロセスから特定のデータを除外することができます。

For example, suppose a database my_db has three tables, t1, t2, and t3. By default, when you classify my_db, all three tables are automatically classified. You can configure Snowflake to skip t2 during classification so only tables t1 and t3 are classified.

ワークフロー

Excluding data from sensitive data classification is a two-step process:

  1. Apply the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag to every object that you want excluded from sensitive data classification.

  2. タグベースの機密データを除外するには 除外設定を有効にします

データオブジェクトにタグを設定する

An object tag is an object that can be set on another object. Snowflake provides a system-defined tag, SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, that you can set on objects that you want excluded from sensitive data classification. When the value of this tag is TRUE, then Snowflake skips the object during classification.

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema, table, or column to control which data is excluded from sensitive data classification.

スキーマを除外する

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema in the database to exclude the schema from the classification process. For example:

ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
テーブルを除外する

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a table in the database or schema to exclude the table from the classification process. For example:

ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
列を除外する

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a column so that Snowflake skips it when classifying the table. If you exclude a column, the classification result contains an empty value for the column, even if it contains sensitive data.

たとえば、テーブル内の列 employee_id を除くすべての列を自動的に分類するとします。ALTER TABLE ... ALTER COLUMN コマンドを実行すると、列にシステム定義タグを設定できます。

ALTER TABLE my_table ALTER COLUMN employee_id
  SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy

Snowflakeがデータベース内のデータを自動的に分類する際に、JSON の employee_id フィールドの結果は空になります。

SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION タグを設定するためのアクセス制御要件については、アクセス制御の要件 をご参照ください。

除外設定を有効にする

Setting the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on objects has no effect until you enable the setting for tag-based sensitive data exclusion.

この設定を有効にするには :ref:` トラストセンターのユーザーインターフェース <label-auto_classify_exclude_setting_trust_center>` または :ref:` SQL コマンド <label-auto_classify_exclude_setting_sql>` を使用します。

Use the Trust Center to enable tag-based sensitive data exclusion

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Settings タブを選択します。

  5. 次のいずれかを実行します。

    • 既存の分類プロファイルの設定を有効にしている場合は、プロファイルを見つけて 他のオプションを示す3つの垂直の点 » Edit を選択します。

    • 初めて詳細分類プロファイルをセットアップする場合は、 Create New を選択してください。

  6. Define classification criteria ページに達するまで、分類設定を行います。

  7. Exclusion criteria セクションで、 Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects を選択します。

Use SQL to enable tag-based sensitive data exclusion

A classification profile contains the settings that control how Snowflake automatically classifies data in a database. These settings are specified using key-value pairs in an OBJECT.

You must define the enable_tag_based_sensitive_data_exclusion key of the classification profile if you want data excluded from sensitive data classification.

The following is an example of a classification profile that, when set on a database, excludes properly tagged objects from sensitive data classification:

CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
  my_classification_profile(
    {
      'minimum_object_age_for_classification_days': 0,
      'maximum_classification_validity_days': 30,
      'auto_tag': true,
      'enable_tag_based_sensitive_data_exclusion': true
    });
Copy

You can also execute the SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION method to enable the setting for an existing classification profile.

アクセス制御の要件

By default, a user with the ability to enable or disable classification settings can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION system tag only on their own schemas and tables.

If you want a user to be able to set the system tag on all objects, not just the ones they own, run the following command:

GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;
Copy