トラストセンターを使用して、機密データの分類を設定する

トラストセンターでは Snowsight ユーザーインターフェース内で :doc:` 機密データの分類 </user-guide/classify-intro>` を設定できるため、 SQL コードを記述する必要はありません。設定後、機密データの分類は、データベース内のどのデータが機密であり、保護する必要があるかを自動的に識別します。

始めましょう

注釈

次のステップは、トラストセンターの Data Security タブにアクセスする最初のユーザーにのみ適用されます。最初のユーザーではないが分類を設定したい場合は、 詳細設定による分類の設定 をご参照ください。

ウェブインターフェイスを使用して機密データの分類を設定するには、以下の手順を完了します。

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Get started を選択します。

  5. Set up auto-classification ダイアログで、次を実行します。

    1. 分類したいデータベースを選択します。

    2. タグを推奨するだけではなく、自動適用するかどうかを指定します。タグとカテゴリの詳細については、 機密データの分類の中心概念 をご参照ください。

  6. Enable を選択します。

  7. Close を選択します。

このデフォルト設定に基づくと、機密データの分類は以下のように動作します。

  • 30日ごとに以前に分類したオブジェクトを再分類します。

  • すべての :doc:` ネイティブセマンティックカテゴリ </user-guide/classify-native>` データをスキャンします。

  • 分類からビューを除外します。

  • テーブルごとにランダムに選択された最大10,000行のサンプルでの分類に基づきます。

分類プロセスが完了すると、 :doc:` 結果を表示 </user-guide/classify-results>` する準備が整います。

詳細設定による分類の設定

機密データの分類を詳細設定で設定するには、以下の手順を完了します。

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Settings を選択します。

  5. 次のいずれかを実行します。

    • 既存の分類設定を微調整している場合は、設定が含まれている分類プロファイルを見つけて、 他のオプションを示す3つの垂直の点 » Edit を選択します。分類を設定する最初の人が設定中にデフォルト設定を選択した場合、プロファイルは Default Snowflake profile になります。

    • 新しい :ref:` 分類プロファイル <label-classify_classification_profiles>` を作成して異なるデータベースを異なる設定で分類できるようにするには、 Create New を選択します。

  6. 機密データ用にスキャンするデータベースを選択します。

    データベースがグレー表示されている場合は、既存の分類プロファイルに関連付けられており、すでに分類されています。新しいプロファイルの設定で分類する前に、既存の分類プロファイルを編集してデータベースを削除する必要があります。

  7. Next を選択します。

  8. アカウントが機密データを :doc:` カスタムカテゴリ </user-guide/classify-custom>` に分類した場合は、使用するものを選択します。

  9. Next を選択します。

  10. 機密データを含む列にタグを自動的に適用したくない場合は、 Auto-apply tags の選択を解除します。

  11. 一致する列のシステムタグに加えて、ユーザー定義タグを適用する場合は、次を実行します。

    1. Tag to apply 列内で、機密データに適用するユーザー定義のタグと値のペアを選択します。

    2. Detected semantic categories 列内で、 SNOWFLAKE.CORE.SEMANTIC_CATEGORY タグの値を選択します。これらは、ネイティブおよびカスタムのセマンティックカテゴリにすることができます。

    たとえば、 Tag to apply 内のユーザー定義のタグ/値のペアとして PII = CONFIDENTIAL を選択し、さらに Detected semantic categoriesNAME セマンティックカテゴリを選択する場合、Snowflakeは列に SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME システムタグを割り当て、さらに PII = CONFIDENTIAL タグも適用します。

  12. Next を選択します。

  13. :ref:` 分類プロファイル <label-classify_classification_profiles>` のデータベース、スキーマ、および名前を指定し、そこにすべての設定が保存されます。

  14. 以前に分類されたオブジェクトが再分類される頻度を選択します。

  15. 分類プロセスから特定のオブジェクトを除外する場合に指定します。特定のオブジェクトの除外に関する詳細は、 機密データの分類からのデータの除外 をご参照ください。

  16. Enable を選択します。

追加データベースを分類する

既存の分類プロファイルを編集することにより、同じ分類設定で追加のデータベースを分類できます。分類プロファイルを編集するには:

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Settings を選択します。

  5. リストで分類プロファイルを見つけ、 他のオプションを示す3つの垂直の点 » Edit を選択します。分類を最初に設定した人がデフォルト設定を使用した場合、分類プロファイルは Default Snowflake profile になります。

  6. 表示される最初のページで、追加のデータベースを選択します。

  7. 設定を完了します。

次のステップ

機密データの分類結果を表示するには、 結果を表示するには、トラストセンターを使用します。 をご参照ください。

アクセス制御の要件

タスク

必要な権限/ロール

メモ

データベースの分類を設定する

次のいずれかを使用します。

  • SNOWFLAKE.DATA_SECURITY_ADMIN アプリケーションロール

  • SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール

トラストセンターの他の部分にアクセスすることを望まない場合は、 DATA_SECURITY_ADMIN ロールを付与します。

ACCOUNTに対する EXECUTE AUTO CLASSIFICATION 権限

ACCOUNT に対する APPLY TAG権限

データベースに対する USAGE

データベースに対するより強力な権限は、この要件を満たします。

分類インサイトと分類されたオブジェクトを精査する

次のいずれかを使用します。

  • SNOWFLAKE.DATA_SECURITY_VIEWER アプリケーションロール

  • SNOWFLAKE.TRUST_CENTER_VIEWER アプリケーションロール

  • SNOWFLAKE.DATA_SECURITY_ADMIN アプリケーションロール

  • SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール

トラストセンターの他の部分にアクセスすることを望まない場合は、 DATA_SECURITY_VIEWER または DATA_SECURITY_ADMIN ロールを付与します。

例:ユーザーによる分類の設定を許可する

ユーザー mary による機密データ分類の設定および分類調査結果の精査を許可するには、以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_ADMIN TO ROLE data_security_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE data_security_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE data_security_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE data_security_admin_role;

GRANT ROLE data_security_admin_role TO USER mary;
Copy

例:ユーザーによる分類調査結果の精査を許可する

ユーザー joe に対して、分類調査結果の精査はできるが、分類の設定や他のトラストセンターページへのアクセスはできないようにする場合は、以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_VIEWER TO ROLE data_security_viewer_role;

GRANT ROLE data_security_viewer_role TO USER joe;
Copy