Excluding data from sensitive data classification

민감한 데이터 자동 분류를 사용할 경우 Snowflake는 사용자 개입 없이 정기적으로 데이터의 민감도를 분류합니다. 설정 및 시스템 태그를 사용하여 이 분류 프로세스에서 특정 데이터를 제외할 수 있습니다.

For example, suppose a database my_db has three tables, t1, t2, and t3. By default, when you classify my_db, all three tables are automatically classified. You can configure Snowflake to skip t2 during classification so only tables t1 and t3 are classified.

워크플로

Excluding data from sensitive data classification is a two-step process:

  1. Apply the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag to every object that you want excluded from sensitive data classification.

  2. 태그 기반의 민감한 데이터를 제외하기 위한 :ref:`제외 설정을 활성화<label-auto_classify_exclude_setting>`합니다.

데이터 오브젝트에 태그 설정

An object tag is an object that can be set on another object. Snowflake provides a system-defined tag, SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, that you can set on objects that you want excluded from sensitive data classification. When the value of this tag is TRUE, then Snowflake skips the object during classification.

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema, table, or column to control which data is excluded from sensitive data classification.

스키마 제외

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema in the database to exclude the schema from the classification process. For example:

ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
테이블 제외

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a table in the database or schema to exclude the table from the classification process. For example:

ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
열 제외

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a column so that Snowflake skips it when classifying the table. If you exclude a column, the classification result contains an empty value for the column, even if it contains sensitive data.

예를 들어, 열 ``employee_id``를 제외한 테이블의 모든 열을 자동으로 분류한다고 가정해 보겠습니다. ALTER TABLE … ALTER COLUMN 명령을 실행하여 열에 시스템 정의 태그를 설정할 수 있습니다.

ALTER TABLE my_table ALTER COLUMN employee_id
  SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy

Snowflake가 테이블의 데이터를 자동으로 분류하면 JSON 결과의 employee_id 필드가 비어 있습니다.

SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION 태그 설정을 위한 액세스 제어 요구 사항에 대해서는 액세스 제어 요구 사항 섹션을 참조하세요.

제외 설정 활성화

Setting the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on objects has no effect until you enable the setting for tag-based sensitive data exclusion.

이러한 설정은 Trust Center 사용자 인터페이스 또는 :ref:`SQL 명령<label-auto_classify_exclude_setting_sql>`을 사용하여 활성화할 수 있습니다.

Use the Trust Center to enable tag-based sensitive data exclusion

  1. |sf-web-interface-link|요구 사항 권한이 있는 사용자로 :ref:` 에 로그인 <label-classify_trust_center_access_control>` 합니다.

  2. 탐색 메뉴에서 Governance & security » Trust Center 를 선택합니다.

  3. Data Security 탭을 선택합니다.

  4. Settings 탭을 선택합니다.

  5. 다음 중 하나를 수행하십시오.

    • 기존 분류 프로필에 대한 설정을 활성화하는 경우 프로필을 찾아 더 많은 옵션을 나타내는 세 개의 세로 점 » :ui:`Edit`를 선택합니다.

    • 고급 분류 프로필을 처음 설정하는 경우 :ui:`Create New`를 선택합니다.

  6. Define classification criteria 페이지에 도달할 때까지 분류 설정을 살펴봅니다.

  7. Exclusion criteria 섹션에서 Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects 을 선택합니다.

Use SQL to enable tag-based sensitive data exclusion

A classification profile contains the settings that control how Snowflake automatically classifies data in a database. These settings are specified using key-value pairs in an OBJECT.

You must define the enable_tag_based_sensitive_data_exclusion key of the classification profile if you want data excluded from sensitive data classification.

The following is an example of a classification profile that, when set on a database, excludes properly tagged objects from sensitive data classification:

CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
  my_classification_profile(
    {
      'minimum_object_age_for_classification_days': 0,
      'maximum_classification_validity_days': 30,
      'auto_tag': true,
      'enable_tag_based_sensitive_data_exclusion': true
    });
Copy

You can also execute the SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION method to enable the setting for an existing classification profile.

액세스 제어 요구 사항

By default, a user with the ability to enable or disable classification settings can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION system tag only on their own schemas and tables.

If you want a user to be able to set the system tag on all objects, not just the ones they own, run the following command:

GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;
Copy