Excluding data from sensitive data classification

Com a classificação de dados confidenciais, o Snowflake classifica se os dados são confidenciais em intervalos regulares, sem intervenção do usuário. Você pode usar configurações e tags do sistema para excluir determinados dados desse processo de classificação.

For example, suppose a database my_db has three tables, t1, t2, and t3. By default, when you classify my_db, all three tables are automatically classified. You can configure Snowflake to skip t2 during classification so only tables t1 and t3 are classified.

Fluxo de trabalho

Excluding data from sensitive data classification is a two-step process:

  1. Apply the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag to every object that you want excluded from sensitive data classification.

  2. Habilitar a configuração de exclusão para exclusão de dados confidenciais baseada em tags.

Definir tag em objetos de dados

An object tag is an object that can be set on another object. Snowflake provides a system-defined tag, SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, that you can set on objects that you want excluded from sensitive data classification. When the value of this tag is TRUE, then Snowflake skips the object during classification.

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema, table, or column to control which data is excluded from sensitive data classification.

Excluir um esquema

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a schema in the database to exclude the schema from the classification process. For example:

ALTER SCHEMA my_schema SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
Excluir uma tabela

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a table in the database or schema to exclude the table from the classification process. For example:

ALTER TABLE my_table SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy
Excluir uma coluna

You can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on a column so that Snowflake skips it when classifying the table. If you exclude a column, the classification result contains an empty value for the column, even if it contains sensitive data.

Por exemplo, suponha que você queira classificar automaticamente todas as colunas de uma tabela, exceto a coluna employee_id. Você pode executar o comando ALTER TABLE … ALTER COLUMN para definir a tag definida pelo sistema na coluna:

ALTER TABLE my_table ALTER COLUMN employee_id
  SET TAG SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION = 'TRUE';
Copy

Quando o Snowflake classifica automaticamente os dados na tabela, o campo employee_id no resultado JSON fica vazio.

Para os requisitos de controle de acesso para definir a tag SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION, consulte Requisitos de controle de acesso.

Habilitar a configuração de exclusão

Setting the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION tag on objects has no effect until you enable the setting for tag-based sensitive data exclusion.

Você pode habilitar essa configuração usando a interface do usuário do Trust Center ou os comandos SQL.

Use the Trust Center to enable tag-based sensitive data exclusion

  1. Faça login no Snowsight como um usuário com os privilégios necessários.

  2. No menu de navegação, selecione Governance & security » Trust Center.

  3. Selecione a guia Data Security.

  4. Selecione a guia Settings.

  5. Faça uma das seguintes opções:

    • Se você está habilitando a configuração para um perfil de classificação existente, localize o perfil e selecione Três pontos verticais indicando mais opções » Edit.

    • Se você está configurando um perfil de classificação avançado pela primeira vez, selecione Create New.

  6. Percorra as configurações de classificação até chegar à página Define classification criteria.

  7. Na seção Exclusion criteria, selecione Exclude SKIP_SENSITIVE_DATA_CLASSIFICATION tagged objects.

Use SQL to enable tag-based sensitive data exclusion

A classification profile contains the settings that control how Snowflake automatically classifies data in a database. These settings are specified using key-value pairs in an OBJECT.

You must define the enable_tag_based_sensitive_data_exclusion key of the classification profile if you want data excluded from sensitive data classification.

The following is an example of a classification profile that, when set on a database, excludes properly tagged objects from sensitive data classification:

CREATE OR REPLACE SNOWFLAKE.DATA_PRIVACY.CLASSIFICATION_PROFILE
  my_classification_profile(
    {
      'minimum_object_age_for_classification_days': 0,
      'maximum_classification_validity_days': 30,
      'auto_tag': true,
      'enable_tag_based_sensitive_data_exclusion': true
    });
Copy

You can also execute the SET_ENABLE_TAG_BASED_SENSITIVE_DATA_EXCLUSION method to enable the setting for an existing classification profile.

Requisitos de controle de acesso

By default, a user with the ability to enable or disable classification settings can set the SNOWFLAKE.CORE.SKIP_SENSITIVE_DATA_CLASSIFICATION system tag only on their own schemas and tables.

If you want a user to be able to set the system tag on all objects, not just the ones they own, run the following command:

GRANT APPLY TAG ON ACCOUNT TO ROLE <classify_user>;
Copy