トラストセンターを使用して、機密データの分類を設定する

トラストセンターでは Snowsight ユーザーインターフェース内で :doc:` 機密データの分類 </user-guide/classify-intro>` を設定できるため、 SQL コードを記述する必要はありません。設定後、機密データの分類は、データベース内のどのデータが機密であり、保護する必要があるかを自動的に識別します。

始めましょう

注釈

次のステップは、トラストセンターの Data Security タブにアクセスする最初のユーザーにのみ適用されます。最初のユーザーではないが分類を設定したい場合は、 詳細設定による分類の設定 をご参照ください。

ウェブインターフェイスを使用して機密データの分類を設定するには、以下の手順を完了します。

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Get started を選択します。

  5. Set up auto-classification ダイアログで、次を実行します。

    1. 分類したいデータベースを選択します。

    2. タグを推奨するだけではなく、自動適用するかどうかを指定します。タグとカテゴリの詳細については、 機密データの分類の中心概念 をご参照ください。

  6. Enable を選択します。

  7. Close を選択します。

このデフォルト設定に基づくと、機密データの分類は以下のように動作します。

  • 30日ごとに以前に分類したオブジェクトを再分類します。

  • すべての :doc:` ネイティブセマンティックカテゴリ </user-guide/classify-native>` データをスキャンします。

  • 分類からビューを除外します。

  • テーブルごとにランダムに選択された最大10,000行のサンプルでの分類に基づきます。

分類プロセスが完了すると、 :doc:` 結果を表示 </user-guide/classify-results>` する準備が整います。

詳細設定による分類の設定

機密データの分類を詳細設定で設定するには、以下の手順を完了します。

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Settings を選択します。

  5. 次のいずれかを実行します。

    • 既存の分類設定を微調整している場合は、設定が含まれている分類プロファイルを見つけて、 他のオプションを示す3つの垂直の点 » Edit を選択します。分類を設定する最初の人が設定中にデフォルト設定を選択した場合、プロファイルは Default Snowflake profile になります。

    • 新しい :ref:` 分類プロファイル <label-classify_classification_profiles>` を作成して異なるデータベースを異なる設定で分類できるようにするには、 Create New を選択します。

  6. 機密データ用にスキャンするデータベースを選択します。

    データベースがグレー表示されている場合は、既存の分類プロファイルに関連付けられており、すでに分類されています。新しいプロファイルの設定で分類する前に、既存の分類プロファイルを編集してデータベースを削除する必要があります。

  7. Next を選択します。

  8. アカウントが機密データを :doc:` カスタムカテゴリ </user-guide/classify-custom>` に分類した場合は、使用するものを選択します。

  9. Next を選択します。

  10. 機密データを含む列にタグを自動的に適用したくない場合は、 Auto-apply tags の選択を解除します。

  11. 一致する列のシステムタグに加えて、ユーザー定義タグを適用する場合は、次を実行します。

    1. Tag to apply 列内で、機密データに適用するユーザー定義のタグと値のペアを選択します。

    2. Detected semantic categories 列内で、 SNOWFLAKE.CORE.SEMANTIC_CATEGORY タグの値を選択します。これらは、ネイティブおよびカスタムのセマンティックカテゴリにすることができます。

    たとえば、 Tag to apply 内のユーザー定義のタグ/値のペアとして PII = CONFIDENTIAL を選択し、さらに Detected semantic categoriesNAME セマンティックカテゴリを選択する場合、Snowflakeは列に SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME システムタグを割り当て、さらに PII = CONFIDENTIAL タグも適用します。

  12. Next を選択します。

  13. :ref:` 分類プロファイル <label-classify_classification_profiles>` のデータベース、スキーマ、および名前を指定し、そこにすべての設定が保存されます。

  14. 以前に分類されたオブジェクトが再分類される頻度を選択します。

  15. 分類プロセスから特定のオブジェクトを除外する場合に指定します。特定のオブジェクトの除外に関する詳細は、 機密データの分類からのデータの除外 をご参照ください。

  16. Enable を選択します。

分類結果を確認する

手動の決定が必要なテーブルだけがレビューワークフローに表示されます。Auto-apply tags分類プロファイル で有効になっている場合、Snowflakeは、システムタグと構成したユーザー定義タグを適用し、それらのオブジェクトはレビュー済みとしてマークされます。Auto-apply tags が有効になっていない場合、推奨分類とタグを持つオブジェクトはレビューが必要として表示されます。

Trust Centerの Data Security タブで、 Dashboard タブを選択します。Objects that need review タイルは、推奨事項を受け入れるか変更するために必要なテーブルの数を示します。そのタイル(またはダッシュボードの同等の制御)からレビューエクスペリエンスを開き、 Review classification ダイアログを開きます。ダイアログから、次を実行できます。

  • Search tables および Database フィルターを使用してテーブルを検索します。Pending review および Selected タブを切り替えて、アクションが必要なテーブルや、バッチ更新用にマークしたテーブルを処理します。

  • テーブルを選択して、各列の推奨 CLASSIFICATION CATEGORYTAGS`(システムおよびユーザー定義)、および :ui:`SAMPLE VALUES を確認し、検出結果を確認します。

  • 推奨カテゴリを変更し、ユーザー定義タグを追加または調整して、適用しない推奨事項を削除します。

  • 1つ以上のテーブルを選択してから、 Save and apply tags to selected tables を選択して選択を適用します。

高レベルのダッシュボードメトリック、完全な Sensitive objects リスト、および関連タスクについては、 Trust Centerを使用した分類結果の表示 をご参照ください。

追加データベースを分類する

既存の分類プロファイルを編集することにより、同じ分類設定で追加のデータベースを分類できます。分類プロファイルを編集するには:

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. Settings を選択します。

  5. リストで分類プロファイルを見つけ、 他のオプションを示す3つの垂直の点 » Edit を選択します。分類を最初に設定した人がデフォルト設定を使用した場合、分類プロファイルは Default Snowflake profile になります。

  6. 表示される最初のページで、追加のデータベースを選択します。

  7. 設定を完了します。

分類エラー

分類プロセスで一部のオブジェクトでエラーが発生した場合、Trust Center Dashboard タブはカウントと警告インジケーター付き Classification errors タイルを表示します。

Classification errors タイルを選択して Classification errors ダイアログを開きます。Search objects および Database フィルターを使用してリストを絞り込みます。テーブルには、各オブジェクト、そのデータベースとスキーマ、および分類が失敗した理由を説明する分類エラーメッセージがリストされます(例えば、データ形式の問題、セキュアオブジェクトの制限、またはビューの SQL コンパイルエラー)終了したら Close を選択します。

イベントテーブルをクエリする SQL の例やその他のトラブルシューティングガイダンスについては、 機密データ分類のトラブルシューティング をご参照ください。

次のステップ

機密データの分類が設定され実行されたら、Trust Center Data Security タブを使用して結果をモニターします。

アクセス制御の要件

注釈

Trust Centerの:ui:`Data Security`タブにアクセスするには、``DATA_SECURITY_*``アプリケーションロールだけでは不十分です。分類にTrust CenterのUIを使用するには、SNOWFLAKE.TRUST_CENTER_VIEWERまたはSNOWFLAKE.TRUST_CENTER_ADMINアプリケーションロールが必要です。アカウントが以前に``DATA_SECURITY_*``ロールを使用していた場合は、それに応じてロールの付与を更新してください。

タスク

必要な権限/ロール

メモ

データベースの分類を設定する

次のいずれかを使用します。

  • SNOWFLAKE.TRUST_CENTER_VIEWER アプリケーションロール

  • SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール

ACCOUNTに対する EXECUTE AUTO CLASSIFICATION 権限

ACCOUNT に対する APPLY TAG権限

データベースに対する USAGE

データベースに対するより強力な権限は、この要件を満たします。

分類インサイトと分類されたオブジェクトを精査する

次のいずれかを使用します。

  • SNOWFLAKE.TRUST_CENTER_VIEWER アプリケーションロール

  • SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール

例:ユーザーによる分類の設定を許可する

ユーザー mary による機密データ分類の設定および分類調査結果の精査を許可するには、以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE trust_center_admin_role;

GRANT ROLE trust_center_admin_role TO USER mary;

例:ユーザーによる分類調査結果の精査を許可する

ユーザー``joe``による分類調査結果の精査を許可し、分類の設定は許可しない場合は、以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_viewer_role TO USER joe;