すべてのプロダクト
Search

このプロダクト

    DataWorks:データマスキングシナリオの作成

    ドキュメントセンター

    DataWorks:データマスキングシナリオの作成

    最終更新日:Dec 13, 2025

    DataWorks は、複数の組み込みレベル 1 データマスキングシナリオを提供します。これらのシナリオが要件を満たさない場合は、レベル 1 シナリオに基づいてカスタムのレベル 2 シナリオを作成できます。このトピックでは、データマスキングシナリオの作成方法について説明します。

    データマスキングシナリオの概要

    DataWorks は、静的および動的データマスキングシナリオを提供します。

    • 動的データマスキング:機密データをクエリすると、データはリアルタイムでマスキングされ、マスキングされた結果がクエリページに表示されます。これには、`DataStudio とデータマップでの表示データのマスキング`、`データ分析での表示データのマスキング`、`MaxCompute エンジンレイヤーでのデータマスキング`、および `Hologres エンジンレイヤーでのデータマスキング` などのシナリオが含まれます。

    • 静的データマスキング:指定されたデータベースの場所に保存される前にデータをマスキングします。例として、`Data Integration での静的データマスキング` シナリオがあります。

    DataWorks が提供する動的データマスキングシナリオ (`DataStudio とデータマップでの表示データのマスキング``データ分析での表示データのマスキング``MaxCompute エンジンレイヤーでのデータマスキング``Hologres エンジンレイヤーでのデータマスキング` など) および静的データマスキングシナリオ `Data Integration での静的データマスキング` は、すべてレベル 1 シナリオです。これらは固定シナリオであり、追加、編集、削除はできません。各レベル 1 シナリオに対して、DataWorks はデフォルトのレベル 2 データマスキングシナリオを提供します。要件に応じて、デフォルトのレベル 2 シナリオを編集したり、新しいシナリオを作成したりできます。次の表に、これらのシナリオについて説明します。

    説明

    • レベル 2 シナリオごとに操作は異なります。詳細については、ユーザーインターフェースの指示をご参照ください。

    • データマスキングシナリオは最大 2 レベルまで構成できます。

    レベル 1 データマスキングシナリオ

    レベル 2 データマスキングシナリオ

    説明

    `DataStudio とデータマップでの表示データのマスキング`

    • シナリオの最大数:30。

    • サポートされる操作:レベル 2 シナリオをカスタマイズできます。シナリオ名の長さは 1~30 文字で、任意の文字を使用できます。

    • 構成されたデータマスキングルールに基づいて、DataStudio およびデータマップでクエリしたデータをマスキングします。

    • データ範囲:MaxCompute および EMR エンジン。

    • 構成されたデータマスキングルールに基づいて、`データ分析``SQL クエリ` 機能のクエリ結果に含まれる機密データをマスキングします。

    説明

    • DataStudio/データマップシナリオの機密データマスキングルールは、ワークスペースのデータマスキングを有効にした後にのみ有効になります。

    • EMR エンジンの場合、データマップシナリオはワークスペースのデータマスキング設定の影響を受けません。データマスキングルールは構成後すぐに有効になります。

    • データマスキングを有効にするワークスペース設定は、DataStudio/データマップシナリオとデータ分析シナリオで共有されます。一方のシナリオの設定を変更すると、もう一方のシナリオの設定も変更されます。

    • Hologres は、DataStudio およびデータマップでの表示データのマスキングをサポートしていません。

    `データ分析での表示データのマスキング`

    • 構成されたデータマスキングルールに基づいて、`データ分析``SQL ノート` 機能のクエリ結果に含まれる機密データをマスキングします。

    • データ範囲:MaxCompute エンジン。

    説明

    • データ分析シナリオの機密データマスキングルールは、ワークスペースのデータマスキングを有効にした後にのみ有効になります。

    • データマスキングを有効にするワークスペース設定は、DataStudio/データマップシナリオとデータ分析シナリオで共有されます。一方のシナリオの設定を変更すると、もう一方のシナリオの設定も変更されます。

    `MaxCompute エンジンレイヤーでのデータマスキング`

    • MaxCompute コマンドライン、クライアント (odpscmd)、または Logview からデータをクエリする際に、プレゼンテーションレイヤーでデータをマスキングします。このメソッドは、エンジンのストレージレイヤーのデータを変更しません。

    • データ範囲:OPS データエンジンに適用可能です。

    • ワークスペースとユーザーグループの範囲:ドロップダウンリストから 1 つ以上の項目を選択します。

    • MaxCompute での動的データマスキングのベストプラクティスについては、「ベストプラクティス:MaxCompute での基盤となるデータマスキングの使用」をご参照ください。

    説明

    • MaxCompute エンジンレイヤーでのデータマスキングは、アプリケーションレイヤーのシナリオマスキングを補完します。このエンジンレイヤーのマスキングシナリオを有効にするには、対応するフィールドにデータマスキングルールも構成する必要があります。そうしない場合、アプリケーションレイヤーのマスキングルールが適用されます。

    `Hologres エンジンレイヤーでのデータマスキング`

    • シナリオの最大数:1。

    • サポートされる操作:デフォルトのレベル 2 シナリオのみ編集できます。新しいレベル 2 シナリオは追加できません。

    • 構成されたデータマスキングルールに基づいて、DataStudio で Hologres データをクエリする際に機密データをマスキングします。

    • データ範囲:Hologres エンジン。

    説明

    Hologres エンジンレイヤーでのデータマスキングは、仮名ベースのデータマスキングやホワイトリストをサポートしていません。このシナリオで仮名ベースのデータマスキングを構成した場合、機密データは「***」としてマスキングされます。

    `Data Integration での静的データマスキング`

    レベル 2 シナリオの編集と構成はサポートされていません。

    このシナリオは通常、データ統合中にオフラインデータをマスキングするために使用されます。機密データは、保存される前に構成されたルールに基づいて識別およびマスキングされます。マスキングされたデータは、指定されたデータベースの場所に保存されます。

    アクセス制御

    • データマスキングシナリオの追加、編集、削除:

      • `テナント管理者` および `テナントセキュリティ管理者` は、テナント内のすべてのワークスペースをデータ範囲として選択できます。

      • `ワークスペース管理者` および `ワークスペースセキュリティ管理者` は、権限を持つワークスペースのみをデータ範囲として選択できます。

    • データマスキングシナリオの表示:`テナント管理者``テナントセキュリティ管理者``ワークスペース管理者`、および `ワークスペースセキュリティ管理者` のみがデータマスキングシナリオを表示できます。

    これらの操作を実行するには、必要なロール権限が必要です。権限を付与する方法の詳細については、「ワークスペースレベルのモジュールに対する権限の管理」および「グローバルレベルのモジュールに対する権限の管理」をご参照ください。

    データマスキングシナリオ構成ページへの移動

    1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。

    2. 左側のナビゲーションウィンドウで [データ使用セキュリティ] > [機密データ管理] をクリックして、[データセキュリティガード] ページに移動します。

      説明

      • Alibaba Cloud アカウントに必要な権限が付与されている場合は、データセキュリティガードページに直接アクセスできます。

      • Alibaba Cloud アカウントに必要な権限が付与されていない場合は、データセキュリティガードの権限付与ページにリダイレクトされます。データセキュリティガードの機能は、Alibaba Cloud アカウントに必要な権限が付与された後にのみ使用できます。

    1. 左側のナビゲーションウィンドウで、[ルール構成] > [データマスキング管理] をクリックします。

    2. 左側の [データマスキングシナリオ] セクションで、[シナリオの追加] をクリックします。

    データマスキングシナリオの構成

    [新しいデータマスキングシナリオ] ダイアログボックスで、パラメーターを構成します:

    1. マスキングシナリオを選択して作成します。

      プライマリシナリオを選択し、セカンダリシナリオの名前を入力します。名前の長さは 1~30 文字で、任意の文字を使用できます。

    2. データ範囲の選択。

      データマスキングシナリオを適用するワークスペースを選択します。シナリオは、選択したワークスペース内のデータに対してのみ有効になります。

    3. (オプション) ユーザーグループ範囲の選択。

      データマスキングシナリオを特定のユーザーにのみ適用する場合は、これらのユーザーのユーザーグループを作成し、そのユーザーグループを選択できます。ユーザーグループの構成方法の詳細については、「ユーザーグループの構成」をご参照ください。

      説明

      デフォルトでは、このパラメーターは空のままです。これは、データマスキングシナリオが現在のテナント内のすべてのユーザーに適用されることを示します。

    4. [確認] をクリックして構成を完了します。

    次のステップ

    データマスキングシナリオを構成した後、シナリオに基づいてデータマスキングルールを作成できます。詳細については、「データマスキングルールの作成」をご参照ください。