민감한 데이터 자동 분류에서 데이터 제외¶
민감한 데이터 자동 분류를 사용할 경우 Snowflake는 사용자 개입 없이 정기적으로 데이터의 민감도를 분류합니다. 설정 및 시스템 태그를 사용하여 이 분류 프로세스에서 특정 데이터를 제외할 수 있습니다.
예를 들어, 데이터베이스 my_db``에 ``t1, t2, t3``이라는 세 테이블이 있다고 가정해 보겠습니다. 기본적으로 ``my_db``를 분류할 때 세 테이블 모두 자동으로 분류됩니다. 분류 중에 ``t2``를 건너뛰도록 Snowflake를 구성하여 ``t1 및 t3 테이블만 분류할 수 있습니다.
워크플로¶
민감한 데이터 분류에서 데이터를 제외하는 작업은 다음 2단계 프로세스로 진행됩니다.
데이터 오브젝트에 태그 설정¶
:doc:`오브젝트 태그</user-guide/object-tagging/introduction>`는 다른 오브젝트에 설정할 수 있는 오브젝트입니다. Snowflake는 민감한 데이터 분류에서 제외하려는 오브젝트에 설정할 수 있는 시스템 정의 태그 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION을 제공합니다. 이 태그의 값이 :code:`TRUE`인 경우 Snowflake는 분류 중에 해당 오브젝트를 건너뜁니다.
스키마, 테이블 또는 열에 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그를 설정하여 민감한 데이터 분류에서 제외할 데이터를 제어할 수 있습니다.
- 스키마 제외
데이터베이스의 스키마에 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그를 설정하여 분류 프로세스에서 해당 스키마를 제외할 수 있습니다. 예를 들면 다음과 같습니다.
ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- 테이블 제외
데이터베이스 또는 스키마의 테이블에 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그를 설정하여 분류 프로세스에서 해당 테이블을 제외할 수 있습니다. 예를 들면 다음과 같습니다.
ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- 열 제외
Snowflake가 테이블을 분류할 때 건너뛸 수 있도록 열에 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그를 설정할 수 있습니다. 열을 제외하면 민감한 데이터가 포함되어 있더라도 분류 결과에는 열에 대한 빈 값이 포함됩니다.
예를 들어, 열 ``employee_id``를 제외한 테이블의 모든 열을 자동으로 분류한다고 가정해 보겠습니다. ALTER TABLE … ALTER COLUMN 명령을 실행하여 열에 시스템 정의 태그를 설정할 수 있습니다.
ALTER TABLE my_table ALTER COLUMN employee_id SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Snowflake가 테이블의 데이터를 자동으로 분류하면 JSON 결과의
employee_id필드가 비어 있습니다.
SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그 설정을 위한 액세스 제어 요구 사항에 대해서는 액세스 제어 요구 사항 섹션을 참조하세요.
제외 설정 활성화¶
오브젝트에 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그를 설정해도 태그 기반의 민감한 데이터 제외에 대한 설정을 활성화할 때까지는 효과가 없습니다.
이러한 설정은 Trust Center 사용자 인터페이스 또는 :ref:`SQL 명령<label-auto_classify_exclude_setting_sql>`을 사용하여 활성화할 수 있습니다.
Trust Center를 사용하여 태그 기반의 민감한 데이터 제외 활성화¶
|sf-web-interface-link|요구 사항 권한이 있는 사용자로 :ref:` 에 로그인 <label-classify_trust_center_access_control>` 합니다.
탐색 메뉴에서 Governance & security » Trust Center 를 선택합니다.
Data Security 탭을 선택합니다.
Settings 탭을 선택합니다.
다음 중 하나를 수행하십시오.
Define classification criteria 페이지에 도달할 때까지 분류 설정을 살펴봅니다.
Exclusion criteria 섹션에서 Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects 을 선택합니다.
SQL을 사용하여 태그 기반의 민감한 데이터 제외 활성화¶
분류 프로필에는 Snowflake가 데이터베이스의 데이터를 자동으로 분류하는 방법을 제어하는 설정이 포함되어 있습니다. 이러한 설정은 :ref:`label-data_type_object`에서 키-값 페어를 사용하여 지정됩니다.
민감한 데이터 분류에서 데이터를 제외하려는 경우 분류 프로필의 enable_tag_based_sensitive_data_exclusion 키를 정의해야 합니다.
다음은 데이터베이스에서 설정할 때 올바르게 태그가 지정된 오브젝트를 자동 분류에서 제외하는 분류 프로필의 예제입니다.
CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
my_classification_profile(
{
'minimum_object_age_for_classification_days': 0,
'maximum_classification_validity_days': 30,
'auto_tag': true,
'enable_tag_based_sensitive_data_exclusion': true
});
SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION 메서드를 실행하여 기존 분류 프로필에 대한 설정을 활성화할 수도 있습니다.
액세스 제어 요구 사항¶
기본적으로 분류 설정을 활성화하거나 비활성화할 수 있는 사용자는 자신이 소유한 스키마 및 테이블에만 SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 시스템 태그를 설정할 수 있습니다.
사용자가 자신이 소유한 오브젝트뿐만 아니라 모든 오브젝트에 시스템 태그를 설정할 수 있도록 하려면 다음 명령을 실행합니다.
GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;