Conception de règles de protection des données
Lorsque vous concevez-vous une règle de protection des données, vous devez décider des critères d'application de la règle et de l'action d'exécution correspondante. Ces critères peuvent notamment porter sur les utilisateurs concernés, la classification de l'ensemble de données ou d'autres métadonnées associées à cet ensemble de données. La mesure d'application peut consister soit à refuser l'accès à l'ensemble des données contenues dans la ressource, soit à masquer certaines parties des données, soit à filtrer des lignes de données.
Exigences
- Pour créer des règles de protection des données, vous devez avoir le droit de gérer les règles de protection des données et avoir le rôle de propriétaire, d' administrateur ou d' éditeur pour au moins l'une des catégories existantes. Voir Gestion de l'accès à une catégorie.
- Pour inclure des artefacts de gouvernance dans vos règles, vous devez disposer du droit pour accéder aux artefacts de gouvernance et vous devez être un collaborateur dans les catégories des artefacts de gouvernance que vous souhaitez utiliser dans la règle.
Si vous ne disposez pas de droits d'accès, demandez à votre administrateur de la plateforme de vous les donner.
Propriétés des règles de protection des données
Les propriétés et le comportement des règles de protection des données diffèrent considérablement des autres artefacts de gouvernance.
| Propriété ou comportement | Prend en charge ? | Explication |
|---|---|---|
| Doit avoir des noms uniques ? | Oui | Chaque règle de protection des données doit avoir un nom unique. |
| Description? | Oui | Décrivez ce que la règle fait en langage naturel pour qu'elle soit facile à comprendre. Incluez des mots et des termes standard afin de pouvoir facilement chercher cette règle. |
| Ajouter des relations à d'autres règles ? | Non | Les règles de protection des données n'ont pas de relations entre elles. |
| Ajouter des relations à d'autres artefacts de gouvernance ? | Oui | Vous pouvez ajouter des artefacts de gouvernance dans les définitions de règles de protection des données. La règle de protection des données apparaît alors dans l'onglet Contenu associé des artefacts de gouvernance inclus dans sa définition. Vous pouvez également ajouter des règles de protection des données aux règles. Cependant, les règles de protection des données sont appliquées, qu'elles soient ou non incluses dans les politiques publiées. |
| Ajouter une relation à l'actif? | Oui | Voir Relations d'actifs dans les catalogues. |
| Ajouter des propriétés personnalisées? | Non | Les règles de protection des données ne prennent pas en charge les propriétés personnalisées. |
| Ajouter des relations personnalisées ? | Non | Les règles de protection des données ne prennent pas en charge les relations personnalisées. |
| Organiser en catégories ? | Non | Les règles de protection des données ne sont pas contrôlées par catégories. Ils sont appliqués sur tous les catalogues gérés sur la plateforme et visibles pour tous les utilisateurs. |
| Importer à partir d'un fichier ? | Non | Vous devez créer chaque règle de protection des données individuellement. |
| Exporter dans un fichier ? | Non | Vous ne pouvez pas exporter une règle de protection des données. |
| Géré par flux de travaux ? | Non | Les règles de protection des données sont publiées et actives après leur création. |
| Indiquez les dates de début et de fin ? | Non | Les règles de protection des données sont actives après la création et jusqu'à ce qu'elles soient supprimées. |
| Affecter un intendant ? | Non | Les règles de protection des données n'ont pas de ragodes. |
| Ajouter des étiquettes ? | Oui | Bien que vous ne puissiez pas ajouter de balises comme propriétés aux règles de protection des données, vous pouvez inclure des balises dans les définitions de règles de protection des données. |
| Affecter à un actif ? | Oui | Bien que vous ne pouvez pas affecter manuellement des règles de protection des données aux actifs, les règles sont appliquées pour les actifs lorsque les actifs correspondent aux critères de la règle. |
| Affecter à une colonne d'un actif de données ? | Oui | Bien que vous ne puissiez pas affecter manuellement une règle de protection des données à une colonne d'un actif, les règles de protection des données peuvent masquer les valeurs d'une colonne lorsque la colonne correspond aux critères et aux directives de bloc d'action de la règle. |
| Affectation automatisée lors du profilage ou de l'enrichissement ? | Non | Les règles de protection des données sont appliquées lorsqu'un utilisateur tente d'accéder à un actif de données. |
| Des artefacts prédéfinis dans la catégorie [ uncategorized ] ? | Non | Vous devez créer toutes les règles de protection des données. |
Les règles de protection des données sont composées de deux composants :
Critères
Les critères identifient les conditions d'application de la règle de protection des données. Un critère consiste en une ou plusieurs conditions. Chaque condition se compose d'un prédicat, d'un opérateur de comparaison et d'une ou plusieurs valeurs d'entrée.
Le processus de configuration d'un critère implique la sélection du type de prédicat pour définir l'actif ou l'attribut utilisateur, l'opérateur de comparaison et les valeurs spécifiques du prédicat à comparer. Vous pouvez ensuite vous joindre aux prédicats et aux conditions avec les opérateurs booléens ET ou OU pour créer des structures logiques imbriquées avec des critères précis.
Types de prédicat
| Prédicat | Descriptif | Valeurs d'entrée |
|---|---|---|
| Actif | Identificateur global unique (GUID) de l'actif, par exemple, 4899251b-6073-4f25-9601-fc70fca1f9a9. |
Saisissez un ou plusieurs identifiants d'actifs, séparés par des virgules, à l'aide de l'API du tronc commun de données et d'IA. |
| Nom de l'actif | Nom de l'actif, par exemple, SALES_LEADS. |
Entrez un ou plusieurs noms d'actif, séparés par des virgules. |
| Propriétaire d'actif | Adresse électronique de l'utilisateur qui possède l'actif dans le catalogue, par exemple, jblue@company.com. |
Recherchez, puis sélectionnez une ou plusieurs adresses électroniques. |
| Schéma des actifs | Schéma de l'actif connecté, par exemple, db2_conn1. |
Entrez un ou plusieurs schémas d'actif, séparés par des virgules. |
| Terme métier | Terme métier affecté à l'actif ou à une colonne, par exemple work phone number. |
Recherchez puis sélectionnez un terme métier publié. |
| Catalogue | Identificateur global unique (GUID) du catalogue contenant l'actif, par exemple 46a19524-bfbf-4810-a1f0-b131f12bc773. |
Saisissez un ou plusieurs identifiants de catalogue, séparés par des virgules, à l'aide de l'API Data and AI Common Core. |
| Classification | Type d'informations sensibles dans l'actif, par exemple Confidential ou Personally Indentifiable Information. |
Recherchez et sélectionnez une ou plusieurs classifications. |
| Nom de colonne | Nom d'une colonne dans un actif, par exemple FNAME, LNAME, CLAIM_ID. |
Entrez un ou plusieurs noms de colonne séparés par des virgules. |
| Classe de données | Classe de données affectée à une colonne qui classifie le contenu des données, par exemple Customer Number, Date of Birthou City. |
Recherchez puis sélectionnez une classe de données publiée. |
| Nom d'utilisateur | Nom ou adresse électronique d'un utilisateur, par exemple, jred@company.com. |
Recherchez et sélectionnez une ou plusieurs adresses électroniques, séparées par des virgules. |
| Groupe d'utilisateurs | Nom d'un groupe d'utilisateurs qui est un collaborateur de catalogue, par exemple people managers ou finance group. |
Recherchez puis sélectionnez un ou plusieurs groupes d'utilisateurs. |
| Rôle utilisateur | Rôle de l'utilisateur demandant l'accès à un actif, par exemple data steward ou business analyst. |
Recherchez puis sélectionnez un ou plusieurs rôles. |
| Prédicats personnalisés | Prédicat défini par l'utilisateur qui correspond à un attribut utilisateur personnalisé ou à un attribut d'actif de données personnalisé. | Créer des prédicats définis par l'utilisateur à l'aide de l'APIIBM Knowledge Catalog. |
Opérateurs de comparaison
| Opérateur | Descriptif | Valeurs d'entrée |
|---|---|---|
| égal à | Comparaison de correspondance exacte, généralement utilisée pour les ID d'attributs tels que les ID de catalogue ou les ID d'actif. Par exemple, "Approbation de prêts" et "Financement". | Recherchez puis saisissez les ID d'une ou plusieurs valeurs séparées par des virgules à l'aide de l'API du tronc commun de données et d'IA pour. |
| contient quelconque | Filtre le type de prédicat pour les actifs qui contiennent l'une des valeurs répertoriées pour cet attribut. Par exemple, les actifs qui contiennent une étiquette de type "confidentiel", "sensible" ou "financier". | Recherchez et entrez une ou plusieurs valeurs séparées par des virgules. |
| ne contient pas | Filtre le type de prédicat pour les actifs qui ne contiennent aucune des valeurs répertoriées pour cet attribut. Par exemple, les actifs qui ne contiennent pas de balise "confidentiel", "sensible" ou "financier". | Recherchez et entrez une ou plusieurs valeurs séparées par des virgules. |
| comme | Filtre la valeur de prédicat pour un modèle spécifié en tant qu'expression régulière, par exemple "FINANCE. *" ou "(USER | CUSTOMER). +" | Entrez des expressions régulières séparées par des virgules. |
Par exemple, l'imbrication de différentes manières dans les critères peut produire des résultats différents avec les mêmes prédicats.
Les critères suivants créent une règle qui masque les données ayant une classification spécifique, plus une classe de données spécifique ou un terme métier spécifique.
Les critères suivants créent une règle qui masque des données ayant une classification spécifique plus une classe de données spécifique ou ayant un terme métier spécifique :
Actions
Instructions de nom de colonne dans l'action de masquage ou de filtrage
Les noms de colonne doivent correspondre exactement au nom dans le schéma d'actif de données ou la règle n'est pas appliquée. En outre, les noms de colonne sont sensibles à la casse. Par exemple, si vous créez une règle pour filtrer les lignes en fonction du nom de colonne COLUMN9, la règle ne filtre pas les lignes spécifiées dans les colonnes portant le nom column9 et filtre uniquement les lignes en fonction des noms de colonne qui correspondent exactement à COLUMN9.
Prédicats personnalisés
Vous pouvez utiliser des prédicats personnalisés lorsque les prédicats standard, tels que les propriétés des actifs de données ou l'identification des utilisateurs, sont insuffisants ou ne répondent pas à vos besoins métier.
Il existe deux types de prédicats que vous pouvez créer: l'attribut utilisateur personnalisé et l'attribut d'actif de données personnalisé. Les attributs d'actif de données personnalisés sont mappés aux propriétés des actifs de données. Les attributs utilisateur personnalisés sont mappés aux propriétés définies par les utilisateurs.
Pour créer ou supprimer des prédicats personnalisés, vous devez utiliser l'APIIBM Knowledge Catalog. Si vous décidez ultérieurement de mettre à jour un prédicat personnalisé, vous devez d'abord supprimer toutes les règles existantes à l'aide du prédicat personnalisé, puis recréer les nouvelles règles à l'aide du prédicat personnalisé mis à jour.