このタスクガイドに従って、DataWorks で機密データ保護の初期設定を完了します。
このガイドの終わりまでに、以下のことができるようになります。
DataWorks テナントの機密データ管理タイプを選択済み。
機密データを分類するための業種テンプレートを選択しました。
データをサンプリングしてスキャンするデータ識別タスクを作成済み。
機密データの表示方法を制御するマスキングルールを適用済み。
データアクセス動作を監視するリスク検出ルールを有効化済み。
制限事項
エディション: Standard Edition、Professional Edition、および Enterprise Edition — セキュリティセンターで新しいデータセキュリティ機能を有効にしている場合。
サポートされているリージョン: 中国 (杭州)、中国 (上海)、中国 (北京)、中国 (張家口)、中国 (ウランチャブ)、中国 (深セン)、中国 (成都)、中国 (香港)、日本 (東京)、シンガポール、および インドネシア (ジャカルタ)。
サポートされているコンピュートエンジン: MaxCompute、および Hologres。
前提条件
開始する前に、次の項目を確認してください。
機密データ管理タイプの選択がまだ完了していない DataWorks テナント。
次のいずれかの条件を満たす Alibaba Cloud アカウント (root ユーザー) または RAM ユーザー。
AliyunDataWorksFullAccessポリシーがアタッチされている。DataWorks のテナントセキュリティ管理者ロールが割り当てられている。
DataWorks のテナント管理者ロールが割り当てられている。
機密データ保護の選択
DataWorks コンソールにログインします。DataWorks コンソールの上部ナビゲーションバーで、対象リージョンを選択します。左側ナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。
ポップアップウィンドウで、[機密データ保護] を [セキュリティセンター] のタイプとして選択します。システムはデフォルトで [セキュリティ状況] > [セキュリティの概要] になります。
この選択は初回アクセス時のみ必要であり、一度確認すると変更できません。
ステップ1: 業界テンプレートの選択
[プレビュー] をクリックすると、テンプレートのデータ分類とカテゴリ分類の詳細が表示されます。適切なテンプレートを選択し、[次のステップ] をクリックします。
業界テンプレートを選択した後、変更することはできません。
選択後、次の操作を実行できます。
機密データの種類を追加。
データ分類とカテゴリ化をカスタマイズ。
ご利用の組織に適用されないデータの種類を無効化。
ステップ2: データ識別タスクの構成
指定されたアカウントを使用して、指定されたプロジェクトでデータをサンプリングおよび検出する単一タスクを作成します。このタスクは、各フィールドの分類とカテゴリ化を評価します。
| パラメーター | 説明 |
|---|---|
| タスク名 | タスクの名称です。 |
| タスクタイプ | タスクガイドでは 単一タスク のみがサポートされています。ガイドの完了後は、データ分類およびカテゴリ化 ページから自動トリガー型のタスクを作成してください。 |
| 検出範囲 | タスクが対象とするデータの範囲です。最小単位は 1 つのデータテーブルです。 |
| サンプリング件数 | タスク実行時に各カラムから取得するデータ件数です。サンプリング件数を増やすと検出精度が向上しますが、タスクの持続時間が延長します。最大値:200 件。 |
| データサンプリングに使用するアカウント | タスク実行中にデータにアクセスするために使用するアカウントです。このアカウントに必要な権限が付与されていない場合、サンプリングおよび検出は失敗します。検出範囲内のテーブル名、カラム名、カラムの説明、およびカラムのデータにアクセス可能な権限が、該当アカウントに付与されていることを確認してください。 |
パラメーターを設定した後、[次のステップ] をクリックして、[マスキングルールの設定] に進みます。
ステップ3: マスキングルールの設定
マスキングルールが有効になると、ユーザーは Data Studio、データ分析、またはデータマップから機密データにアクセスする際に、マスクされたデータのみを表示します。
DataWorks では、選択した業界テンプレートに基づき、一部のデータの型に対してマスキングルールがデフォルトで有効になります。これらのルールは、後ほど [機密データ保護] > [データの非識別化] ページで変更できます。
マスキングポリシーでは、ホワイトリストをサポートしています。ホワイトリストに登録されたユーザーは、生データを表示できます。ホワイトリストは、後で機密データ保護 > データの非識別化ページで設定できます。
次のマスキングポリシーパラメーターを構成します。
| パラメーター | 説明 |
|---|---|
| ディセンシタイゼーションポリシー名 | ポリシーの名前。 |
| 有効なユーザー範囲 | ポリシーが有効な RAM ユーザーと RAM ロール。ホワイトリストは、指定された RAM ユーザーと RAM ロールが含まれている場合にのみ有効になります。 |
| 有効なプロジェクト範囲 | ユーザーがアクセスする際に、リソースがマスキングの対象となるプロジェクト。 |
| 有効なワークスペース | データ開発またはデータ分析中にポリシーが有効な DataWorks ワークスペース。 |
マスキングが有効になる場合:
Data Studio とデータ分析: 有効なユーザー範囲、有効なプロジェクト範囲、および 有効なワークスペース の3つの条件すべてを満たす必要があります。
データマップ: 有効なユーザー範囲、および 有効なプロジェクト範囲 の2つの条件を満たす必要があります。
マスキングルールを設定した後、[次へ] をクリックして、[リスク検出ルールの設定] ページに移動します。
ステップ4: リスク検出ルールの設定
DataWorks は、ユーザーのデータアクセス動作に基づいてセキュリティリスクを検出します。セキュリティ要件に基づいて確認項目を有効にしてください。後で [セキュリティ状況] > [セキュリティリスク] ページでセキュリティリスクの確認項目をカスタマイズできます。
リスク検出ルールを設定した後、[送信] をクリックして、データ検出タスクを開始および初期化します。
[送信] をクリックする前に、いつでもガイドを中止できますが、最初から構成を再開する必要があります。[送信] をクリックした後、ガイドタスクはすぐに実行され、取り消すことはできません。
初期化には約1〜3分かかります。