全部产品
Search

搜索本产品

    DataWorks:Buat aturan penyamaran data

    文档中心

    DataWorks:Buat aturan penyamaran data

    更新时间:Dec 26, 2025

    DataWorks mendukung berbagai skenario penyamaran data. Topik ini menjelaskan cara memilih skenario, membuat aturan penyamaran data, dan melakukan kueri terhadap data yang telah disamarkan di DataWorks.

    Latar Belakang

    DataWorks menyediakan dua jenis penyamaran data: statis dan dinamis.

    • Penyembunyian data dinamis mencakup skenario seperti Data development / Data map display desensitization, Data analysis and display desensitization, Layer masking of the MaxCompute engine, dan Hologres layer masking.

    • Penyembunyian data statis digunakan untuk skenario integrasi data.

    Aturan penyamaran data secara default tidak aktif saat dibuat. Anda harus mengaktifkannya secara manual agar penyamaran data diterapkan secara otomatis pada skenario terkait.

    Catatan

    Prasyarat

    • (Opsional, hanya untuk penyamaran data dinamis) Konfigurasikan aturan deteksi data sensitif sesuai kebutuhan. Hal ini memungkinkan Anda mengaitkan bidang yang perlu disamarkan saat membuat aturan penyamaran data. Untuk informasi selengkapnya, lihat Aturan deteksi data sensitif.

    • (Opsional, hanya untuk penyamaran data dinamis) Anda dapat menggunakan daftar putih untuk mengizinkan pengguna tertentu melihat data mentah dalam periode tertentu. Untuk melakukannya, Anda harus menambahkan pengguna tersebut ke dalam kelompok pengguna. Untuk informasi selengkapnya, lihat Konfigurasi kelompok pengguna.

    • (Opsional, hanya untuk penyamaran data di lapisan mesin MaxCompute) Untuk mengonfigurasi penyamaran data di lapisan mesin MaxCompute, Anda harus menambahkan alamat IP Penjaga Keamanan Data ke daftar putih jaringan MaxCompute. Hal ini memungkinkan Anda memanggil fungsi penyamaran data untuk menyamarkan data sensitif dalam hasil kueri yang diperoleh dari sumber selain DataWorks, seperti client command line MaxCompute (odpscmd) atau Logview. Untuk informasi selengkapnya, lihat Contoh: Gunakan penyamaran data tingkat dasar di E-MapReduce.

    Kontrol akses

    • Izin untuk mengonfigurasi aturan penyamaran data (buat, edit, dan hapus):

      • Tenant administrators dan tenant security administrators dapat mengelola aturan penyamaran data di semua skenario.

      • Workspace administrators dan workspace security administrators hanya dapat mengelola aturan penyamaran data pada skenario tempat mereka memiliki izin.

    • Izin untuk mengonfigurasi daftar putih (buat, edit, dan hapus):

      • Tenant administrators and tenant security administrators dapat mengelola daftar putih di semua skenario.

      • Workspace administrators dan workspace security administrators hanya dapat mengelola daftar putih pada skenario tempat mereka memiliki izin.

    Anda harus memiliki izin role yang sesuai untuk melakukan operasi ini. Untuk informasi selengkapnya tentang otorisasi, lihat Kelola izin pada modul tingkat ruang kerja dan Kelola izin pada modul tingkat global.

    Titik masuk konfigurasi aturan penyamaran data

    1. Masuk ke Konsol DataWorks. Di bilah navigasi atas, pilih wilayah yang diinginkan. Di panel navigasi sebelah kiri, pilih Data Governance > Security Center. Pada halaman yang muncul, klik Go to Security Center.

    2. Di panel navigasi sebelah kiri, klik Data usage security > Sensitive data management untuk membuka halaman Data Security Guard.

      Catatan

      • Jika Akun Alibaba Cloud Anda telah diberikan izin yang diperlukan, Anda dapat langsung mengakses halaman Penjaga Keamanan Data.

      • Jika Akun Alibaba Cloud Anda belum diberikan izin yang diperlukan, Anda akan diarahkan ke halaman otorisasi Penjaga Keamanan Data. Anda hanya dapat menggunakan fitur Penjaga Keamanan Data setelah akun Anda diberikan izin yang sesuai.

    1. Di panel navigasi sebelah kiri, klik Rule Configuration > Data Masking Management.

    2. Di panel navigasi sebelah kiri, pilih skenario penyamaran data, lalu klik Masking Rule di sebelah kanan untuk membuat aturan pada skenario tersebut.

    Buat aturan penyamaran data dinamis: Penyamaran data tampilan di skenario Pengembangan Data dan Peta Data

    1. Pilih skenario penyamaran data.

      Pada halaman Data Masking Management, di bagian Masking Scene, pilih Data development / Data map display desensitization > Default Scenario. Lalu, klik + Masking Rule di sebelah kanan.

    2. Buat aturan penyamaran data.

      1. Pada dialog Create Data Masking Rule, konfigurasikan parameter aturan.

      2. image

        1. Pilih tipe bidang sensitif dan tentukan nama aturan.

          Parameter

          Deskripsi

          Sensitive Field Type

          Pilih tipe bidang yang akan disamarkan.

          • Anda dapat memilih tipe bidang sensitif bawaan atau tipe bidang sensitif kustom yang telah Anda tambahkan dalam deteksi data sensitif. Untuk informasi selengkapnya tentang cara menambahkan tipe bidang sensitif, lihat Aturan deteksi data sensitif.

          • Jika Anda telah membuat aturan penyamaran data untuk skenario yang sama, DataWorks akan menyaring tipe bidang sensitif yang telah dipilih untuk mencegah adanya aturan yang tidak konsisten untuk bidang sensitif yang sama dalam skenario yang sama.

          Data Masking Rule Name

          Secara default, nilai ini sama dengan Sensitive Field Type. Anda juga dapat menentukan nama kustom. Nama aturan harus unik.

        2. Konfigurasikan skenario penyamaran data.

          Pilih skenario tempat aturan ini berlaku. Secara default, skenario yang Anda pilih di Langkah 1 digunakan. Anda dapat mengubah skenario atau menambahkan skenario lain sesuai kebutuhan.

        3. Konfigurasikan metode penyamaran data.

          DataWorks mendukung beberapa metode, seperti Pseudonym, Masking out, HASH, Characters to replace, Range transform, Integer, dan Empty. Anda dapat memilih metode sesuai kebutuhan.

          Pseudonym

          Metode ini mengganti nilai dengan nilai tersamar yang memiliki karakteristik yang sama, sehingga format data tetap terjaga. Parameter berikut tersedia.

          Parameter

          Deskripsi

          (Opsional) Data watermark

          Watermark membantu melacak sumber data. Jika terjadi kebocoran data, Anda dapat mengidentifikasi sumber potensial kebocoran tersebut. Aktifkan atau nonaktifkan Data watermark sesuai kebutuhan.

          Catatan

          Hanya DataWorks Edisi Perusahaan yang mendukung fitur data watermark.

          Masking characteristic value

          Nilai karakteristik yang berbeda menghasilkan kebijakan penyamaran yang berbeda. Artinya, data sumber yang sama menghasilkan hasil penyamaran yang berbeda untuk nilai karakteristik yang berbeda. Jika nilai karakteristiknya sama, data sumber yang sama selalu menghasilkan hasil penyamaran yang sama.

          Sebagai contoh, jika data mentah adalah a123:

          • Jika nilai karakteristik diatur ke 0, data disamarkan menjadi b124.

          • Jika nilai karakteristik diatur ke 1, data disamarkan menjadi c234.

          Nilai default adalah 5. Rentang nilainya adalah 0 hingga 9.

          Substitution character set

          Jika Sensitive field type yang Anda pilih bukan tipe bawaan, Anda harus mengonfigurasi Substitution character set. Karakter dalam data sumber yang cocok dengan set ini akan diganti dengan karakter lain dari tipe yang sama.

          Sebagai contoh, jika data sensitif sebelum penyamaran terdiri dari angka 0 hingga 3 dan huruf a hingga d, data yang telah disamarkan juga akan terdiri dari angka dan huruf dalam rentang tersebut.

          Catatan

          Karakter dalam set diganti dengan karakter dari rentang yang sama. Set karakter mendukung huruf kapital, huruf kecil, dan angka. Pisahkan beberapa karakter dengan koma (,). Karakter Tionghoa tidak didukung. Jika data yang akan disamarkan tidak cocok dengan set karakter, data tersebut tidak akan disamarkan.

          Masking out

          Metode ini menyembunyikan sebagian informasi dengan mengganti karakter pada posisi tertentu dengan tanda bintang (*). Saat menggunakan metode ini, Anda harus memilih mode penyamaran. DataWorks menyediakan beberapa mode penyamaran bawaan dan mendukung mode kustom.

          Parameter (pilih salah satu)

          Deskripsi

          Recommended method

          Pilih metode penyamaran yang direkomendasikan dari daftar drop-down. Metode yang tersedia bervariasi tergantung pada bidang yang akan disamarkan.

          DataWorks menyediakan tiga metode bawaan. They include Show only the first and last characters, Show only the first three and last two characters, and Show only the first three and last four characters. Pilih metode dari daftar drop-down sesuai kebutuhan.

          Custom

          Ini memberikan cara yang lebih fleksibel untuk mengonfigurasi penyamaran. Konfigurasikan segmen dari kiri ke kanan dan tentukan apakah setiap segmen akan disamarkan serta jumlah karakter yang akan disamarkan (atau tidak disamarkan). Anda dapat menambahkan hingga 10 segmen. Anda harus memiliki setidaknya satu segmen, dan tepat satu segmen harus diatur sebagai Remaining characters.

          Sebagai contoh, samarkan 3 karakter pertama dan biarkan sisa karakter tidak disamarkan.

          HASH

          Saat menggunakan enkripsi HASH untuk penyamaran data, Anda harus mengonfigurasi parameter berikut.

          Parameter

          Deskripsi

          Data watermark

          Watermark membantu melacak sumber data. Jika terjadi kebocoran data, Anda dapat mengidentifikasi sumber potensial kebocoran tersebut. Aktifkan atau nonaktifkan Data watermark sesuai kebutuhan.

          Catatan

          Hanya DataWorks Edisi Perusahaan yang mendukung fitur data watermark.

          Encryption algorithm

          Mencakup MD5, SHA256, SHA512, dan SM3.

          Salt Value

          Tentukan nilai salt untuk algoritma enkripsi. Nilai default adalah 5. Rentang nilainya adalah 0 hingga 9.

          Catatan

          Salt adalah string spesifik yang disisipkan ke dalam data. Dalam kriptografi, menyisipkan string spesifik pada posisi tetap dalam password menghasilkan hash yang berbeda dari hash password aslinya. Proses ini disebut salting.

          Characters to replace

          Character to replace mengganti karakter pada posisi tertentu berdasarkan metode substitusi yang Anda pilih. Parameter berikut tersedia.

          Parameter

          Deskripsi

          (Wajib) Substitution position

          Dari daftar drop-down, Anda dapat memilih Substitute all, Substitute first 3 characters, atau Substitute last 4 characters. Anda juga dapat memilih Custom untuk menentukan posisi substitusi kustom.

          Jika Anda memilih Custom, Anda dapat menentukan segmen dari kiri ke kanan dan mengonfigurasi jumlah karakter yang akan disubstitusi serta metode substitusi untuk setiap segmen. Anda dapat menambahkan hingga 10 segmen. Anda harus memiliki setidaknya satu segmen, dan tepat satu segmen harus diatur sebagai Remaining characters.

          (Wajib) Substitution method

          Mencakup Random substitution, Sample value substitution, dan Static field substitution.

          • Random substitution: Mengganti karakter pada posisi yang ditentukan secara acak. Jumlah karakter tetap sama setelah substitusi.

          • Sample value substitution: Pilih pustaka sampel. Karakter pada posisi yang ditentukan akan diganti dengan nilai dari pustaka sampel yang dipilih.

          • Static field substitution: Pada kotak teks Substitution value, masukkan karakter yang akan digunakan untuk substitusi. Nilai dapat terdiri dari 1 hingga 100 karakter dan tidak boleh mengandung karakter null. Karakter pada posisi yang ditentukan akan diganti dengan nilai ini.

          Range transform

          Range transform digunakan untuk menyamarkan data numerik. Metode ini mengganti nilai dalam rentang numerik tertentu dengan nilai tetap. Anda dapat menentukan hingga 10 rentang.

          Parameter

          Deskripsi

          Original value range [m,n)

          Rentang numerik data mentah. Nilai harus lebih besar atau sama dengan 0 dan dapat memiliki hingga dua tempat desimal.

          Masked Value

          Nilai setelah penyamaran. Nilai harus lebih besar atau sama dengan 0 dan dapat memiliki hingga dua tempat desimal.

          Integer

          Integer hanya digunakan untuk menyamarkan data numerik.

          Parameter

          Description

          Raw data type

          Hanya tipe numerik yang didukung.

          Decimal places to keep

          Rentang nilainya adalah 0 hingga 5. Bagian yang tersisa dibulatkan. Misalnya, jika nilai aslinya adalah 3,1415 dan Anda menyimpan 2 tempat desimal, nilai yang dimasking menjadi 3,14.

          Empty

          Penyamaran Empty mengatur bidang sensitif yang bersangkutan menjadi string kosong.

      3. Verifikasi hasil penyamaran.

        Masukkan data mentah contoh (0 hingga 100 karakter) pada kotak teks Sample data. Klik Verify. Hasil penyamaran akan ditampilkan pada bidang Data Masking effect.

      4. Klik Save atau Save and Apply untuk membuat aturan penyamaran data.

    Setelah Anda membuat aturan:

    Buat aturan penyamaran data statis: Penyamaran data statis di skenario Integrasi Data

    1. Pada halaman Data Masking Management, di bawah Masking Scene, pilih Static desensitization of data integration > Default Scenario dan klik + Masking Rule di sebelah kanan.

    2. Buat aturan penyamaran data.

      1. Pada dialog Create Data Masking Rule, konfigurasikan parameter aturan.

        image

        1. Pilih tipe data sensitif dan tentukan nama aturan.

          Parameter

          Deskripsi

          Sensitive Data Type

          • Existing: Pilih tipe data sensitif yang sudah ada (bawaan atau kustom).

          • New type: Masukkan nama untuk tipe data sensitif baru. Nama harus unik dan tidak boleh sama dengan tipe yang sudah ada.

          Catatan

          Tipe data sensitif bawaan meliputi: Nomor ponsel, Nomor KTP, Nomor kartu bank, Email_Built-in, IP, Nomor plat kendaraan, Kode pos, Nomor telepon rumah, Alamat MAC, Alamat, Nama, Nama perusahaan, Etnis, Zodiak, Jenis kelamin, dan Kewarganegaraan.

          Data Masking Rule Name

          Secara default, nilai ini sama dengan Sensitive Data Type. Anda juga dapat menentukan nama kustom. Nama aturan harus unik.

        2. Konfigurasikan metode penyamaran data.

          DataWorks mendukung tiga metode: Pseudonym, Hash, dan Mask out. Anda dapat memilih metode yang sesuai.

          Pseudonym

          Metode ini mengganti nilai dengan nilai tersamar yang memiliki karakteristik yang sama, sehingga format data tetap terjaga. Pseudonimisasi hanya didukung untuk beberapa bidang yang sudah ada.

          • Jika Sensitive data type yang dipilih adalah tipe bawaan (seperti Mobile Phone Number, ID Card Number, Bank Card Number, Email_Built-in, IP, License Plate Number, Postal Code, Landline Number, MAC Address, Address, Name, atau Company Name), Anda harus mengonfigurasi Security domain.

            Security domain: Nilainya adalah bilangan bulat dari 0 hingga 9. Domain keamanan yang berbeda menggunakan kebijakan penyamaran yang berbeda, sehingga data sumber yang sama menghasilkan hasil penyamaran yang berbeda di domain keamanan yang berbeda. Sebagai contoh, jika data mentah adalah a123, data tersebut disamarkan menjadi b124 di domain keamanan 0, tetapi disamarkan menjadi c234 di domain keamanan 1. Dalam domain keamanan yang sama, data sumber yang sama selalu disamarkan menjadi hasil yang sama.

          • Jika Sensitive data type yang dipilih bukan tipe bawaan, Anda perlu mengonfigurasi Substitution character set.

            Substitution character set: Karakter dalam data sumber yang cocok dengan set ini akan diganti dengan karakter lain dari tipe yang sama. Set karakter mendukung huruf kapital, huruf kecil, dan angka. Gunakan koma (,) untuk memisahkan beberapa karakter. Karakter Tionghoa tidak didukung. Jika data yang akan disamarkan tidak mengandung karakter dari set ini, data tersebut tidak akan disamarkan. Sebagai contoh, jika set karakter substitusi terdiri dari angka 0 hingga 3 dan huruf a hingga d, angka yang cocok dalam data sumber akan diganti dengan angka lain dari 0 hingga 3, dan huruf yang cocok akan diganti dengan huruf lain dari a hingga d.

          Hash

          Metode Hash mengenkripsi data mentah menjadi nilai dengan panjang tetap dan mengharuskan Anda memilih Security domain.

          Security domain: Nilainya adalah bilangan bulat dari 0 hingga 9. Setiap domain keamanan menggunakan kebijakan penyamaran yang berbeda. Artinya, untuk data sumber yang sama, hasil penyamaran bervariasi tergantung pada domain keamanan. Namun, dalam domain keamanan yang sama, data sumber yang sama selalu menghasilkan hasil penyamaran yang sama.

          Sebagai contoh, jika data mentah adalah a123:

          • Jika domain keamanan diatur ke 0, data disamarkan menjadi b124.

          • Jika domain keamanan diatur ke 1, data disamarkan menjadi c234.

          Mask out

          Metode Mask out menyembunyikan sebagian informasi dengan mengganti karakter tertentu dengan tanda bintang (*). Metode ini mengharuskan Anda memilih mode penyamaran. DataWorks menyediakan beberapa mode penyamaran bawaan dan mendukung mode kustom.

          • Recommended method: Untuk beberapa bidang, Anda dapat memilih metode penyamaran yang direkomendasikan dari daftar drop-down. Metode yang tersedia bervariasi tergantung pada bidang yang dipilih. DataWorks menyediakan tiga metode bawaan: Show only the first and last characters, Show only the first three and last two characters, and Show only the first three and last four characters. Anda dapat memilih metode yang Anda butuhkan. Untuk beberapa bidang, hanya metode default yang dapat dipilih.

          • Custom: Opsi ini memberikan cara fleksibel untuk mengonfigurasi penyamaran. Anda dapat menentukan hingga 10 segmen dari kiri ke kanan. Untuk setiap segmen, Anda dapat menentukan apakah akan menerapkan penyamaran dan jumlah karakter yang akan disamarkan atau dibiarkan tidak disamarkan. Anda harus mengonfigurasi setidaknya satu segmen, dan tepat satu segmen harus diatur sebagai Remaining characters.

            • Contoh 1: Samarkan 3 karakter pertama dan biarkan sisa karakter tidak disamarkan.

            • Contoh 2: Samarkan 3 karakter terakhir dan biarkan sisa karakter tidak disamarkan.

      2. Verifikasi hasil penyamaran.

        Pada kotak teks Sample data, masukkan data mentah contoh (0 hingga 100 karakter) dan klik Verify. Hasil penyamaran akan ditampilkan pada bidang Data Masking effect.

      3. Klik OK untuk membuat aturan penyamaran data.

    Setelah Anda membuat aturan:

    • Secara default, aturan penyamaran data tidak aktif setelah dibuat. Anda harus mengaktifkan aturan tersebut secara manual agar dapat diterapkan pada skenario yang sesuai. Untuk informasi selengkapnya tentang cara mengubah status aturan, lihat Aktifkan atau nonaktifkan aturan penyamaran data.

    • Setelah membuat aturan penyamaran data untuk integrasi data, Anda dapat menggunakan aturan tersebut saat membuat tugas sinkronisasi real-time untuk tabel tunggal. Untuk informasi selengkapnya, lihat Konfigurasi penyamaran data.

    Konfigurasi daftar putih untuk aturan penyamaran data (hanya penyamaran data dinamis)

    Pada skenario penyamaran data dinamis, Anda dapat mengonfigurasi daftar putih untuk aturan penyamaran data. Setelah aturan diaktifkan, pengguna dalam daftar putih tidak terpengaruh oleh aturan tersebut dalam periode tertentu dan dapat melihat data mentah yang tidak disamarkan.

    Catatan

    Sebelum membuat daftar putih, Anda harus menambahkan pengguna ke dalam kelompok pengguna. Untuk informasi selengkapnya, lihat Konfigurasi kelompok pengguna.

    Untuk menambahkan daftar putih, lakukan langkah-langkah berikut:

    1. Pada halaman Data Masking Management, klik Configure Whitelist.

    2. Di pojok kanan atas, klik Whitelist.

    3. Pada dialog Create Whitelist, Anda dapat mengonfigurasi parameter.

      Catatan

      • Konfigurasi daftar putih tidak didukung dalam skenario Hologres layer masking atau Static desensitization of data integration.

      • Setelah Anda menetapkan periode efektif untuk daftar putih, data sensitif yang memenuhi kondisi daftar putih tidak akan disamarkan selama periode tersebut.

      image

      Parameter-parameter tersebut adalah sebagai berikut.

      Parameter

      Deskripsi

      Sensitive Field Type

      Anda hanya dapat memilih tipe bidang sensitif yang aktif dalam skenario penyamaran data yang saat ini dipilih.

      User Group Range

      Pilih kelompok pengguna yang telah dikonfigurasi. Anda dapat memilih hingga 50 kelompok pengguna. Setelah menambahkan kelompok pengguna ke daftar putih, akun dalam kelompok tersebut dapat mengambil data asli yang tidak disamarkan. Untuk informasi selengkapnya tentang cara mengonfigurasi kelompok pengguna, lihat Konfigurasi kelompok pengguna.

      Effective Time

      Tentukan periode efektif untuk daftar putih. Anda dapat memilih periode jangka pendek atau permanen. Opsi jangka pendek meliputi 30, 90, 180, dan 365 hari, atau periode kustom. Untuk periode kustom, Anda dapat memilih hari ini atau rentang waktu di masa depan.

      Jika pengguna melakukan kueri informasi sensitif di luar periode efektif daftar putih, data tersebut akan disamarkan.

      Catatan

      Jika Anda memilih periode jangka pendek, data tidak akan disamarkan mulai dari waktu saat ini hingga jumlah hari yang ditentukan berlalu.

    4. Klik Save untuk menyimpan konfigurasi daftar putih.

    Aktifkan atau nonaktifkan aturan penyamaran data

    Pada halaman Data Masking Rule, temukan aturan tersebut dan klik sakelar Status untuk mengaturnya ke Enable atau Disable.

    Setelah status diatur, Anda dapat mengedit atau menghapus aturan tersebut, atau melihat detailnya.

    Catatan

    • Anda tidak dapat Delete atau Edit aturan desensitisasi saat berada dalam status Enable. Untuk melakukannya, Anda harus terlebih dahulu mengubah statusnya menjadi Disable. Sebelum mengubah status, Anda harus memeriksa apakah aturan tersebut digunakan oleh tugas apa pun dan menghubungi administrator keamanan untuk konfirmasi.

    • Saat aturan berstatus Disable, Anda dapat mengedit atau menghapusnya, tetapi tidak dapat mengubah Sensitive data type atau Data masking rule name-nya.

    • Setelah melakukan perubahan, ubah kembali statusnya menjadi Enable. Hal ini memungkinkan tugas yang menggunakan aturan ini untuk melanjutkan penyamaran data.

    Contoh penerapan aturan penyamaran data