Excluindo dados da classificação de dados confidenciais¶
Com a classificação de dados confidenciais, o Snowflake classifica se os dados são confidenciais em intervalos regulares, sem intervenção do usuário. Você pode usar configurações e tags do sistema para excluir determinados dados desse processo de classificação.
Por exemplo, suponha que um banco de dados my_db tenha três tabelas, t1, t2 e t3. Por padrão, quando você classifica my_db, todas as três tabelas são classificadas automaticamente. Você pode configurar o Snowflake para ignorar t2 durante a classificação, de modo que apenas as tabelas t1 e t3 sejam classificadas.
Fluxo de trabalho¶
A exclusão de dados da classificação de dados confidenciais é um processo de duas etapas:
Aplicar a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION a todos os objetos que você deseja excluir da classificação de dados confidenciais.
Habilitar a configuração de exclusão para exclusão de dados confidenciais baseada em tags.
Definir tag em objetos de dados¶
Uma tag de objeto é um objeto que pode ser definido em outro objeto. O Snowflake fornece uma tag definida pelo sistema, SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, que você pode definir em objetos que deseja excluir da classificação de dados confidenciais. Quando o valor dessa tag for TRUE, o Snowflake vai ignorar o objeto durante a classificação.
Você pode definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION em um esquema, uma tabela ou uma coluna para controlar quais dados serão excluídos da classificação de dados confidenciais.
- Excluir um esquema
Você pode definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION em um esquema no banco de dados para excluir o esquema do processo de classificação. Por exemplo:
ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Excluir uma tabela
Você pode definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION em uma tabela no banco de dados ou esquema para excluí-la do processo de classificação. Por exemplo:
ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
- Excluir uma coluna
Você pode definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION em uma coluna para que o Snowflake a ignore ao classificar a tabela. Se você excluir uma coluna, o resultado da classificação conterá um valor vazio para a coluna, mesmo que ela contenha dados confidenciais.
Por exemplo, suponha que você queira classificar automaticamente todas as colunas de uma tabela, exceto a coluna
employee_id. Você pode executar o comando ALTER TABLE … ALTER COLUMN para definir a tag definida pelo sistema na coluna:ALTER TABLE my_table ALTER COLUMN employee_id SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Quando o Snowflake classifica automaticamente os dados na tabela, o campo
employee_idno resultado JSON fica vazio.
Para os requisitos de controle de acesso para definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, consulte Requisitos de controle de acesso.
Habilitar a configuração de exclusão¶
A configuração da tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION em objetos não tem efeito até que você desabilite a configuração para exclusão de dados confidenciais baseada em tags.
Você pode habilitar essa configuração usando a interface do usuário do Trust Center ou os comandos SQL.
Usar o Trust Center para habilitar a exclusão de dados confidenciais baseada em tags¶
Faça login no Snowsight como um usuário com os privilégios necessários.
No menu de navegação, selecione Governance & security » Trust Center.
Selecione a guia Data Security.
Selecione a guia Settings.
Faça uma das seguintes opções:
Se você está habilitando a configuração para um perfil de classificação existente, localize o perfil e selecione
» Edit.Se você está configurando um perfil de classificação avançado pela primeira vez, selecione Create New.
Percorra as configurações de classificação até chegar à página Define classification criteria.
Na seção Exclusion criteria, selecione Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects.
Usar SQL para habilitar a exclusão de dados confidenciais baseada em tags¶
Um perfil de classificação contém as configurações que controlam como o Snowflake classifica automaticamente os dados em um banco de dados. Essas configurações são especificadas usando pares chave-valor em um OBJECT.
Você deve definir a chave enable_tag_based_sensitive_data_exclusion do perfil de classificação se quiser que os dados sejam excluídos da classificação de dados confidenciais.
Veja a seguir um exemplo de perfil de classificação que, quando definido em um banco de dados, exclui objetos devidamente marcados da classificação de dados confidenciais:
CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
my_classification_profile(
{
'minimum_object_age_for_classification_days': 0,
'maximum_classification_validity_days': 30,
'auto_tag': true,
'enable_tag_based_sensitive_data_exclusion': true
});
Você também pode executar o método SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION para habilitar a configuração em um perfil de classificação existente.
Requisitos de controle de acesso¶
Por padrão, um usuário com a capacidade de habilitar ou desabilitar configurações de classificação pode definir a tag do sistema SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION apenas nos próprios esquemas e tabelas.
Se você quiser que um usuário possa definir a tag do sistema em todos os objetos, não apenas nos que ele possui, execute o seguinte comando:
GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;