Usar o Trust Center para configurar a classificação de dados confidenciais¶

O Trust Center permite que você configure a classificação de dados confidenciais na interface de usuário do Snowsight, para que você não precise escrever um código SQL. Depois de configurada, a classificação de dados confidenciais identifica automaticamente quais dados em um banco de dados são confidenciais e precisam ser protegidos.

Introdução¶

Nota

As etapas a seguir se aplicam somente ao primeiro usuário que acessa a guia Data Security no Trust Center. Se você não for o primeiro usuário e quiser configurar a classificação, consulte Definir a classificação com configurações avançadas.

Para usar uma interface da web para configurar a classificação de dados confidenciais, conclua as etapas a seguir:

Faça login no Snowsight como um usuário com os privilégios necessários.
No menu de navegação, selecione Governance & security » Trust Center.
Selecione a guia Data Security.
Selecione Get started.
Na caixa de diálogo Set up auto-classification, faça o seguinte:
1. Selecione os bancos de dados que você deseja classificar.
2. Especifique se deseja aplicar tags automaticamente em vez de apenas recomendá-las. Para obter mais informações sobre tags e categorias, consulte Principais conceitos da classificação de dados confidenciais.
Selecione Enable.
Selecione Close.

Com base nessa configuração padrão, a classificação de dados confidenciais tem o seguinte comportamento:

Reclassifica objetos já classificados a cada 30 dias.
Verifica os dados de todas as categorias semânticas nativas.
Exclui exibições da classificação.
Baseia a classificação em uma amostra de até 10.000 linhas selecionadas aleatoriamente por tabela.

Quando o processo de classificação estiver concluído, você estará pronto para visualizar os resultados.

Definir a classificação com configurações avançadas¶

Para definir a classificação de dados confidenciais com configurações avançadas, conclua as seguintes etapas:

Faça login no Snowsight como um usuário com os privilégios necessários.
No menu de navegação, selecione Governance & security » Trust Center.
Selecione a guia Data Security.
Selecione Settings.
Faça uma das seguintes opções:
- Se você está ajustando configurações de classificação existentes, encontre o perfil de classificação com as configurações e selecione » Edit. Se a primeira pessoa a configurar a classificação escolheu as configurações padrão durante a instalação, o perfil é Default Snowflake profile.
- Se você está criando um novo perfil de classificação para que diferentes bancos de dados possam ser classificados com configurações distintas, selecione Create New.
Selecione em quais bancos de dados você deseja verificar dados confidenciais.

Se um banco de dados está esmaecido, ele está associado a um perfil de classificação existente e já está sendo classificado. Você precisa editar o perfil de classificação existente para remover o banco de dados antes de classificá-lo com as configurações de um novo perfil.
Selecione Next.
Se a sua conta classifica dados confidenciais em categorias personalizadas, selecione as que você deseja usar.
Selecione Next.
Se não quiser que as tags sejam aplicadas automaticamente a colunas com dados confidenciais, desmarque Auto-apply tags.
Se quiser aplicar uma tag definida pelo usuário além de uma tag do sistema a colunas correspondentes, faça o seguinte:
1. Na coluna Tag to apply, selecione o par tag/valor definido pelo usuário que você deseja aplicar aos dados confidenciais.
2. Na coluna Detected semantic categories, selecione os valores da tag SNOWFLAKE.CORE.SEMANTIC_CATEGORY. Essas categorias semânticas podem ser nativas e personalizadas.
Por exemplo, se você selecionar PII = CONFIDENTIAL como o par tag/valor definido pelo usuário em Tag to apply e, em seguida, selecionar a categoria semântica NAME em Detected semantic categories, quando o Snowflake atribui a tag do sistema SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME a uma coluna, ele também aplica a tag PII = CONFIDENTIAL.
Selecione Next.
Especifique o banco de dados, o esquema e o nome do perfil de classificação em que todas as suas configurações serão salvas.
Selecione a cadência com que os objetos já classificados serão reclassificados.
Especifique se deseja excluir determinados objetos do processo de classificação. Para obter mais informações sobre a exclusão de objetos específicos, consulte Excluindo dados da classificação de dados confidenciais.
Selecione Enable.

Review classification results¶

Only tables that need a manual decision appear in the review workflow. If Auto-apply tags is enabled on the classification profile, Snowflake applies system tags and any user-defined tags you configured, and those objects are marked as reviewed. If Auto-apply tags is not enabled, objects with recommended classifications and tags appear as needing review.

On the Trust Center Data Security tab, select the Dashboard tab. The Objects that need review tile shows how many tables still need you to accept or change recommendations. Open the review experience from that tile (or the equivalent control on the dashboard) to open the Review classification dialog. In the dialog you can:

Use Search tables and the Database filter to find tables. Switch between the Pending review and Selected tabs to work through tables that need action or tables you have marked for batch updates.
Select a table to inspect each column’s recommended CLASSIFICATION CATEGORY, TAGS (system and user-defined), and SAMPLE VALUES so you can confirm detections.
Change recommended categories, add or adjust user-defined tags, and remove recommendations you do not want to apply.
Select one or more tables, then select Save and apply tags to selected tables to apply your choices.

For high-level dashboard metrics, the full Sensitive objects list, and related tasks, see Usar o Trust Center para visualizar os resultados da classificação.

Classificar bancos de dados adicionais¶

É possível classificar bancos de dados adicionais com as mesmas configurações de classificação editando um perfil de classificação existente. Para editar um perfil de classificação:

Faça login no Snowsight como um usuário com os privilégios necessários.
No menu de navegação, selecione Governance & security » Trust Center.
Selecione a guia Data Security.
Selecione Settings.
Encontre o perfil de classificação na lista e selecione » Edit. Se a primeira pessoa a configurar a classificação usou as configurações padrão, o perfil de classificação é Default Snowflake profile.
Na primeira página que aparece, selecione os bancos de dados adicionais.
Conclua a configuração.

Classification errors¶

When the classification process encounters errors for some objects, the Trust Center Dashboard tab shows a Classification errors tile with a count and warning indicator.

Select the Classification errors tile to open the Classification errors dialog. Use Search objects and the Database filter to narrow the list. The table lists each object, its database and schema, and the classification error message that explains why classification failed (for example data format issues, restrictions on secure objects, or SQL compilation errors for views). Select Close when you are finished.

For SQL examples that query the event table and other troubleshooting guidance, see Solução de problemas de classificação de dados confidenciais.

Próximos passos¶

After sensitive data classification is set up and running, use the Trust Center Data Security tab to monitor outcomes:

Review classification results and apply tags using the Dashboard tab and Objects that need review.
Inspect classification errors using the Classification errors tile.
For additional dashboards, the Sensitive objects list, and column detail, see Usar o Trust Center para visualizar os resultados da classificação.

Requisitos de controle de acesso¶

Nota

As funções de aplicativo DATA_SECURITY_* sozinhas não são suficientes para acessar a guia Data Security do Trust Center. Você deve ter a função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER ou SNOWFLAKE.TRUST_CENTER_ADMIN para usar a UI do Trust Center para classificação. Se a sua conta dependia das funções DATA_SECURITY_*, atualize as concessões de função de acordo com isso.


Tarefa	Privilégios/funções necessários	Notas
Configurar a classificação para um banco de dados	Um dos seguintes: Função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER Função de aplicativo SNOWFLAKE.TRUST_CENTER_ADMIN
	Privilégio EXECUTE AUTO CLASSIFICATION em ACCOUNT
	Privilégio APPLY TAG em ACCOUNT
	USAGE no banco de dados	Privilégios mais avançados no banco de dados atendem a este requisito.
Revisar os insights da classificação e os objetos classificados	Um dos seguintes: Função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER Função de aplicativo SNOWFLAKE.TRUST_CENTER_ADMIN

Exemplo: Permitir que um usuário configure a classificação

Para permitir que o usuário mary configure a classificação de dados confidenciais e revise os resultados da classificação, execute os seguintes comandos:

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE trust_center_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE trust_center_admin_role;

GRANT ROLE trust_center_admin_role TO USER mary;

Exemplo: permitir que o usuário revise os resultados da classificação

Se você quiser que o usuário joe possa revisar os resultados da classificação, mas não configurar a classificação, execute os seguintes comandos:

USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_viewer_role TO USER joe;