當專案使用者具備查詢MaxCompute專案中某些敏感性資料許可權,但又不希望使用者看到完整的敏感性資料資訊時,可對查詢結果進行資料動態脫敏。本文為您介紹如何開啟MaxCompute的動態脫敏功能,並提供參考樣本。
背景資訊
MaxCompute本身不具備動態脫敏能力,依賴於DataWorks資料保護傘的資料脫敏功能。您需先開通DataWorks的資料保護傘服務,才可為目標MaxCompute專案開啟動態脫敏功能。開啟動態脫敏功能後,您可基於資料保護傘的資料識別規則,設定項目的脫敏規則(即對哪些敏感性資料進行脫敏)。
新版MaxCompute底層脫敏功能如下:
在資料保護傘設定脫敏規則後,在MaxCompute的專案入口(例如,使用JDBC串連、使用本地用戶端(odpscmd)串連)查詢敏感性資料時,脫敏規則也會生效。
若啟用MaxCompute底層脫敏並設定相應脫敏規則,查詢敏感性資料時,會將MaxCompute底層脫敏作為生效規則。
該功能可以有效保護諸如手機號、社會安全號碼、銀行卡號、車牌號、IP地址等敏感資訊。動態脫敏功能僅會對查詢結果進行脫敏,不會影響底層儲存的資料。
使用限制
僅DataWorks專業版及以上版本,才可使用此功能。DataWorks基礎版暫時無法使用此功能,如您的DataWorks為基礎版,請升級DataWorks為合適版本。詳情請參見版本升級。
僅華北2(北京)、華東2(上海)、華東1(杭州)、西南1(成都)、華南1(深圳)、華北2(北京政務雲)、華東2(上海金融雲)、中國(香港)、新加坡、德國(法蘭克福)、馬來西亞(吉隆坡)、美國(矽谷)、印尼(雅加達)地區支援使用MaxCompute底層脫敏。
若啟用MaxCompute底層脫敏並設定相應脫敏規則,則查詢敏感性資料時,會將MaxCompute底層脫敏作為生效規則;若未啟用MaxCompute底層脫敏或未配置相應脫敏規則,則查詢敏感性資料時,會將已配置的上層脫敏情境規則作為生效規則。
MaxCompute底層脫敏不支援對MaxCompute資料表的主鍵欄位進行脫敏。
僅當MaxCompute專案中已存在資料並且資料建立超過24小時,才能使用此功能。
準備工作
準備待脫敏的MaxCompute專案和資料。具體操作,請參見建立MaxCompute專案和匯入資料。
訪問資料保護傘服務並開通。具體操作,請參見進入資料保護傘。
在服務聲明頁面,勾選我已閱讀並接受以上協議條款,單擊立刻開通。
開啟資料脫敏功能
選擇脫敏情境。
在左側導覽列,單擊規則配置 > 資料脫敏管理,進入資料脫敏管理。
在脫敏情境地區選取項目。
說明如果需要在DataWorks介面上展示脫敏效果,需要開啟資料開發/資料地圖展示脫敏。建立資料脫敏情境更多內容請參見建立資料脫敏情境。
(可選)白名單配置。
若脫敏規則指定的資料不需要對某些使用者進行脫敏展示,您可配置脫敏規則白名單。
在資料脫敏管理頁面,單擊白名單配置。
單擊右上方的+白名單。
在建立白名單對話方塊,選擇敏感欄位類型、使用者組範圍和生效時間。
說明設定白名單生效時間後,若不在白名單脫敏時間的區間內,使用者在查詢該敏感資訊時將會繼續脫敏。
專案空間配置。
單擊MaxCompute引擎層脫敏_新,展示MaxCompute引擎層脫敏的所有MaxCompute專案空間。
單擊目標專案空間的狀態開關,即可使該專案空間的MaxCompute底層脫敏規則生效。
說明若啟用MaxCompute底層脫敏並設定相應脫敏規則,則查詢敏感性資料時,會將MaxCompute底層脫敏作為生效規則;若未啟用MaxCompute底層脫敏或未配置相應脫敏規則,則查詢敏感性資料時,會將已配置的上層脫敏情境規則作為生效規則。
查詢資料並確認脫敏結果
本文樣本在odpscmd介面通過SQL語句查詢資料並確認脫敏結果。
執行查詢SQL。
說明MaxCompute底層資料脫敏僅支援會話層級使用。
以杭州地區為例,完整實現MaxCompute底層資料脫敏指令碼如下所示。
select * from table;查看脫敏結果。
