使用 Trust Center 设置敏感数据分类

Trust Center 允许您在 Snowsight 用户界面中设置 敏感数据分类,因此您不必编写任何 SQL 代码。设置完成后,敏感数据分类会自动识别数据库中哪些数据属于敏感数据,需要受到保护。

开始使用

备注

以下步骤仅适用于首位访问 Trust Center 中 Data Security 选项卡的用户。如果您不是首位用户并且想要设置分类,请参阅 使用高级设置设置分类

要使用 Web 界面设置敏感数据分类,请完成以下步骤:

  1. 以具有 |sf-web-interface-link|所需权限 :ref:`<label-classify_trust_center_access_control> 的用户身份登录 `

  2. 在导航菜单中,选择 Governance & security » Trust Center

  3. 选择 Data Security 选项卡。

  4. 选择 Get started

  5. Set up auto-classification 对话框中,执行以下操作:

    1. 选择要分类的数据库。

    2. 指定是否要自动应用标签,而不仅仅是推荐标签。有关标签和类别的更多信息,请参阅 Core concepts of sensitive data classification

  6. 选择 Enable

  7. 选择 Close

根据此默认设置,敏感数据分类具有以下行为:

  • 每 30 天重新分类一次以前分类的对象。

  • 扫描数据以识别所有 原生语义类别

  • 从分类中排除视图。

  • 基于每个表中随机选择的最多 10,000 行的样本进行分类。

分类过程完成后,您就可以 查看结果

使用高级设置设置分类

要使用高级设置设置敏感数据分类,请完成以下步骤:

  1. 以具有 |sf-web-interface-link|所需权限 :ref:`<label-classify_trust_center_access_control> 的用户身份登录 `

  2. 在导航菜单中,选择 Governance & security » Trust Center

  3. 选择 Data Security 选项卡。

  4. 选择 Settings

  5. 执行下列操作之一:

    • 如果要微调现有分类设置,请找到包含这些设置的分类配置文件,然后选择 三个垂直点表示更多选项 » Edit。如果第一个设置分类的人员在设置过程中选择了默认设置,则该配置文件为 Default Snowflake profile

    • 如果您正在创建新的 分类配置文件,以便可以使用不同的设置对不同的数据库进行分类,请选择 Create New

  6. 选择要扫描敏感数据的数据库。

    如果数据库显示为灰色,则表示它已与现有分类配置文件相关联,并且已经在进行分类。您需要编辑现有的分类配置文件以移除该数据库,然后才能使用新配置文件的设置对其进行分类。

  7. 选择 Next

  8. 如果您的账户将敏感数据分类为 自定义类别,选请选择要使用的类别。

  9. 选择 Next

  10. 如果不希望将标签自动应用于包含敏感数据的列,请取消选择 Auto-apply tags

  11. 如果您想在匹配的列上应用系统标签之外的用户定义标签,请执行以下操作:

    1. Tag to apply 列中,选择要应用于敏感数据的用户定义标签/值对。

    2. Detected semantic categories 列中,选择 SNOWFLAKE.CORE.SEMANTIC_CATEGORY 标签的值。这些可以是原生和自定义语义类别。

    例如,如果您在 Tag to apply 中选择 PII = CONFIDENTIAL 作为用户定义的标签/值对,然后在 Detected semantic categories 中选择 NAME 语义类别,则当 Snowflake 将 SNOWFLAKE.CORE.SEMANTIC_CATEGORY = NAME 系统标签分配给列时,它还会应用 PII = CONFIDENTIAL 标签。

  12. 选择 Next

  13. 指定用于保存所有设置的 分类配置文件 的数据库、架构和名称。

  14. 选择对以前分类的对象进行重新分类的频率。

  15. 指定是否要从分类过程中排除某些对象。有关排除特定对象的信息,请参阅 Excluding data from sensitive data classification

  16. 选择 Enable

对其他数据库进行分类

您可以通过编辑现有的分类配置文件,使用相同的分类设置对其他数据库进行分类。编辑分类配置文件:

  1. 以具有 |sf-web-interface-link|所需权限 :ref:`<label-classify_trust_center_access_control> 的用户身份登录 `

  2. 在导航菜单中,选择 Governance & security » Trust Center

  3. 选择 Data Security 选项卡。

  4. 选择 Settings

  5. 在列表中找到分类配置文件,然后选择 三个垂直点表示更多选项 » Edit。如果首位设置分类的人员使用了默认设置,则分类配置文件为 Default Snowflake profile

  6. 在显示的第一页上,选择其他数据库。

  7. 完成设置。

后续步骤

要查看敏感数据分类结果,请参阅 使用 Trust Center 查看结果

访问控制要求

任务

所需权限/角色

备注

为数据库设置分类

以下其中一项:

  • SNOWFLAKE.DATA_SECURITY_ADMIN 应用程序角色

  • SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色

如果您不希望某人访问 Trust Center 的其他部分,请授予 DATA_SECURITY_ADMIN 角色。

ACCOUNT 的 EXECUTE AUTO CLASSIFICATION 权限

ACCOUNT 的 APPLY TAG 权限

数据库上的 USAGE

对数据库拥有更高级别的权限也可以满足此要求。

查看分类见解和已分类对象

以下其中一项:

  • SNOWFLAKE.DATA_SECURITY_VIEWER 应用程序角色

  • SNOWFLAKE.TRUST_CENTER_VIEWER 应用程序角色

  • SNOWFLAKE.DATA_SECURITY_ADMIN 应用程序角色

  • SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色

如果您不希望某人访问 Trust Center 的其他部分,请授予 DATA_SECURITY_VIEWER 或 DATA_SECURITY_ADMIN 角色。

示例:允许用户设置分类

要允许用户 mary 设置敏感数据分类并查看分类结果,请运行以下命令:

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_admin_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_ADMIN TO ROLE data_security_admin_role;
GRANT EXECUTE AUTO CLASSIFICATION ON ACCOUNT TO ROLE data_security_admin_role;
GRANT APPLY TAG ON ACCOUNT TO ROLE data_security_admin_role;
GRANT USAGE ON DATABASE mydb TO ROLE data_security_admin_role;

GRANT ROLE data_security_admin_role TO USER mary;
Copy

示例:允许用户查看分类结果

如果您希望用户 joe 能够查看分类结果,但无法设置分类或访问其他 Trust Center 页面,请运行以下命令:

USE ROLE ACCOUNTADMIN;
CREATE ROLE data_security_viewer_role;

GRANT APPLICATION ROLE SNOWFLAKE.DATA_SECURITY_VIEWER TO ROLE data_security_viewer_role;

GRANT ROLE data_security_viewer_role TO USER joe;
Copy
语言: 中文