Data Security Center (DSC) は、静的データマスキングと動的データマスキングの方法をサポートしています。静的データマスキングの方法を使用する場合、マスキング対象のデータ資産、機密フィールドに一致するマスキングルール、および特定のフィールドを処理するためのマスキングアルゴリズム (墨消し、暗号化、置換など) を指定するデータマスキングタスクを作成する必要があります。また、マスキングされたデータの保存先も指定する必要があります。動的データマスキングの方法を使用する場合は、ExecDatamask オペレーションを呼び出して、特定のマスキングルールに基づいて JSON 形式の特定のフィールドをマスキングできます。
データマスキングの方法
データマスキングの方法 | データソース | シナリオ | 操作 |
静的データマスキング |
| 特定のデータソースを他のユーザーと共有したいが、機密フィールドは開示したくない場合。 静的データマスキングの方法を使用して特定のデータテーブルまたはファイルをマスキングする場合、マスキングされたデータを別のデータテーブルまたはファイルに保存してデータ共有を行うことができます。このようにして、元のデータは影響を受けません。 | DSC コンソールで、マスキングタスクを作成し、マスキングするデータ、マスキングルール、マスキングされたデータの保存先、およびタスクの実行サイクルを設定します。 |
動的データマスキング | 次の JSON 形式でデータソースを構築できます。 dataHeaderList は、マスキングするデータの列名を指定します。 dataList は、マスキングするデータを指定します。 dataList で指定された値は、dataHeaderList で指定された列名に対応している必要があります。 ruleList は、データマスキングルールを指定します。詳細については、ExecDatamask をご参照ください。 | 動的データマスキングの方法はより柔軟で、マスキングするデータソースを構築できます。 | API オンラインデバッグ、Alibaba Cloud SDK、またはカスタムカプセル化 API を使用して ExecDatamask オペレーションを呼び出し、データを動的にマスキングできます。詳細については、ExecDatamask をご参照ください。 |
データマスキング結果の例
DSC は、ハッシュ、墨消し、置換、丸め、暗号化、シャッフルなどのマスキングアルゴリズムをサポートしています。次の表は、さまざまなマスキングアルゴリズムに基づくデータマスキング結果の例を示しています。
ハッシュ
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 | 元のデータ | マスキングされたデータ |
データマスキングプロセスは不可逆的です。 一般的なハッシュアルゴリズムを使用し、salt 値を指定できます。 このタイプのアルゴリズムは、パスワード保護、または比較によってデータが機密かどうかを確認する必要があるシナリオに適用できます。
| MD5 | salt 値を | 123456 | d6f82c64df3dc34921d79e5f22e5d43a |
SHA-1 | 59056c7c6faa5eeb7151d30a01c17b25f35b021c | |||
SHA-256 | 84ca63076a5966e9b726490c8b6a5c9c6d6bdc018bb0a05df754c0c2770aca72 | |||
HMAC | ed029027322fedb0ac40b7759ac1521f0121cb018cf0f6f078e61764d810e00f |
墨消し
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 | 元のデータ | マスキングされたデータ |
データマスキングプロセスは不可逆的です。 このタイプのアルゴリズムは、機密データ内の指定されたテキストをアスタリスク (*) または番号記号 (#) で墨消しします。 このタイプのアルゴリズムは、機密データをユーザーインターフェースに表示したり、他の人と共有したりするシナリオに適用できます。
| 最初の n 文字と最後の m 文字を保持します。 | マスキングにアスタリスク ( | 123456 | 1****6 |
X 番目の位置から Y 番目の位置までの文字を保持します。 | マスキングにアスタリスク ( | **34** | ||
最初の n 文字と最後の m 文字を墨消しします。 | マスキングにアスタリスク ( | **34** | ||
X 番目の位置から Y 番目の位置までの文字を墨消しします。 | マスキングにアスタリスク ( | 1****6 | ||
アットマーク ( | & | 1@34&6 | ****&6 | |
アットマーク ( | @ | 1@**** |
置換
データは、マッピングテーブルの設定に依存するアルゴリズムに基づいてマスキングされます。各マスキング結果は異なります。たとえば、携帯電話番号「13900001234」をランダムな値に置き換えると、マスキングされた結果は「13271561461」、「18355370496」、または「18856540773」になる場合があります。
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 |
特定のアルゴリズムを使用すると、データマスキングプロセスは可逆的です。 このタイプのアルゴリズムは、マッピングテーブルを使用して、フィールドの値全体または一部をマップされた値に置き換えます。この場合、元のデータはマスキング後に取得できます。このタイプのアルゴリズムは、ランダムな間隔に基づいて、フィールドの値全体または一部をランダムに置き換えることもできます。この場合、元のデータはマスキング後に取得できません。 DSC は、複数の組み込みマッピングテーブルを提供し、カスタム置換アルゴリズムを作成できます。 このタイプのアルゴリズムは、ID カード番号などの固定形式のフィールドをマスキングするために使用できます。
| ID カード番号の特定の内容をマップされた値に置き換えます。 | 行政区画 ID を置換するためのマッピングテーブル |
ID カード番号の特定の内容をランダムに置き換えます。 | 行政区画 ID を置換するためのマッピングテーブル | |
軍人カード ID の特定の内容をランダムに置き換えます。 | 行政区画 ID を置換するためのマッピングテーブル | |
パスポート番号の特定の内容をランダムに置き換えます。 | 目的フィールドをランダムに置換するためのコードテーブル | |
香港とマカオへの出入国許可証の許可番号の特定の内容をランダムに置き換えます。 | 目的フィールドをランダムに置換するためのコードテーブル | |
銀行カード番号の特定の内容をランダムに置き換えます。 | 銀行識別番号 (BIN) をランダムに置換するためのコードテーブル | |
固定電話の電話番号の特定の内容をランダムに置き換えます。 | 行政区画 ID を置換するためのマッピングテーブル | |
携帯電話番号の特定の内容をランダムに置き換えます。 | モバイルネットワークコードをランダムに置換するためのコードテーブル | |
統一社会信用コードの特定の内容をランダムに置き換えます。 | 登録当局の ID をランダムに置換するためのコードテーブル、タイプコードをランダムに置換するためのコードテーブル、および行政区画の ID をランダムに置換するためのコードテーブル | |
マッピングテーブルに基づいて、ユニバーサル予約形式の特定の内容を置き換えます。 | 大文字を置換するためのマッピングテーブル、小文字を置換するためのマッピングテーブル、数字を置換するためのマッピングテーブル、および特殊文字を置換するためのマッピングテーブル | |
ユニバーサル予約形式の特定の内容をランダムに置き換えます。 | 大文字をランダムに置換するためのコードテーブル、小文字をランダムに置換するためのコードテーブル、数字をランダムに置換するためのコードテーブル、および特殊文字をランダムに置換するためのコードテーブル |
丸め
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 | 元のデータ | マスキングされたデータ |
特定のアルゴリズムを使用すると、データマスキングプロセスは可逆的です。 DSC は、2 種類の丸めアルゴリズムを提供します。1 つのアルゴリズムは数値と日付を丸め、元のデータはマスキング後に取得できません。もう 1 つのアルゴリズムはテキストをビットシフトし、元のデータはマスキング後に取得できます。 このタイプのアルゴリズムは、機密データセットの分析と統計の収集に使用できます。
| 数値の丸め: 数値は、小数点の前の N 桁に丸められます。N の有効な値: 1 ~ 19。 | N=4 // 丸め設定 | 12345.6789 | 12000 |
日付の丸め: 日付は、年、月、日、時、または分に丸められます。 | 時間 // 丸め設定 | 2023-04-15 14:30:45 | 2023-04-15 14:00:00 | |
文字オフセット: 特定のビットを左または右に移動する場所の数。 | 左に 3 ビット // オフセット設定 | test | ttes |
暗号化
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 | 元のデータ | マスキングされたデータ |
データマスキングプロセスは可逆的です。 一般的な対称暗号化アルゴリズムがサポートされています。 このタイプのアルゴリズムは、暗号化後に取得する必要がある機密フィールドを暗号化するために使用できます。
| Data Encryption Standard (DES) アルゴリズム | 暗号化キー: | 123456 | c2TwheTI+rw= |
Triple Data Encryption Standard (3DES) アルゴリズム | 暗号化キー: | XUwzslGadsk= | ||
Advanced Encryption Standard (AES) アルゴリズム | 暗号化キー: | YueDcm92UuqvKpVbeS+0Ng== |
シャッフル
該当する機密データとシナリオ | アルゴリズムの説明 | アルゴリズムの設定 |
データマスキングプロセスは不可逆的です。 このタイプのアルゴリズムは、ソーステーブルから指定された範囲のフィールドの値を抽出し、特定の列の値を再配置します。または、このタイプのアルゴリズムは、値の範囲内で特定の列から値をランダムに選択し、選択された値を再配置します。このようにして、値が混在してマスキングされます。 このタイプのアルゴリズムは、構造化データ列をマスキングするために使用できます。
| データをランダムにシャッフルします。 |
|
たとえば、デバイスグループの都市情報はランダムに再配置されます。
元のデータ | マスキングされたデータ | ||
デバイス ID | 都市 | デバイス ID | 都市 |
D001 | 中国 (上海) | D001 | 中国 (西安) |
D002 | 中国 (杭州) | D002 | 中国 (上海) |
D003 | 中国 (西安) | D003 | 中国 (成都) |
D004 | 中国 (成都) | D004 | 中国 (杭州) |
課金概要
DSC Enterprise Edition のみ、データマスキング機能をサポートしています。DSC Enterprise Edition を購入すると、データマスキング機能を使用できます。DSC は、サブスクリプション課金方式を使用します。詳細については、課金概要 をご参照ください。静的データマスキングの方法を使用すると、追加料金が発生する場合があります。
データマスキングの方法 | データソース | DSC 側の課金 | 追加料金 |
静的データマスキング |
| マスキング対象のデータ資産は、DSC にアクセス許可を付与する必要があります。購入した [データベース保護インスタンス] の数と [ストレージ保護容量] は、承認されたデータ資産に基づいて差し引かれます。 | マスキング対象のデータを提供するクラウドサービスが従量課金制を使用している場合、クラウドサービス側で読み書きするデータ量に基づいて課金されます。 |
ローカルコンピューターに保存されている構造化 TXT、CSV、XLSX、および XLS ファイル。 | インスタンスリソースは差し引かれません。 | 追加料金は発生しません。 | |
動的データマスキング | 自己構築データ | インスタンスリソースは差し引かれません。 | 追加料金は発生しません。 |
DSC の有効化
DSC を有効化していない場合、または DSC の Free Edition のみを有効化している場合は、DSC Enterprise Edition を購入できます。詳細については、DSC の購入 をご参照ください。
DSC の Free Edition を有効化していて、データマスキング機能を使用する場合は、DSC を Enterprise Edition にアップグレードする必要があります。詳細については、サブスクリプション DSC の仕様変更 をご参照ください。
静的データマスキングの方法を使用する場合は、DSC にデータ資産へのアクセス許可を付与する必要があります。十分なデータベース保護インスタンスと OSS 保護容量を購入していることを確認してください。
静的データマスキング
機能の説明
静的データマスキングタスクを作成するときに、設定済みのマスキングテンプレートを選択できます。また、マスキング対象の機密フィールドにマスキングアルゴリズムを設定することもできます。データマスキングテンプレートの設定方法の詳細については、「データマスキングテンプレートとアルゴリズムの設定」をご参照ください。
前提条件
静的データマスキングの方法を使用してデータベースまたは OSS オブジェクトをマスキングする場合は、マスキング対象のデータ資産に対するアクセス許可を DSC に付与する必要があります。詳細については、次のトピックをご参照ください。
DSC は、必要なデータ資産へのアクセスが承認されており、データ資産に対する読み取りおよび書き込み権限を持つアカウントを使用してデータ資産に接続されています。この前提条件は、マスキングされたデータを ApsaraDB RDS、PolarDB for Xscale (PolarDB-X)、MaxCompute、PolarDB、ApsaraDB for OceanBase、AnalyticDB for MySQL、または自己管理データベースのテーブルに保存する場合、またはマスキングされたデータを Object Storage Service (OSS) バケットに保存する場合に適用されます。マスキングされたデータを ApsaraDB RDS、PolarDB for Xscale (PolarDB-X)、PolarDB、ApsaraDB for OceanBase、または AnalyticDB for MySQL のデータベースに保存する場合は、アカウントベースの接続モードを使用する必要があります。
データマスキングタスクの作成
本番環境でデータマスキングを有効にすると、データベースのパフォーマンスが低下する可能性があります。
データマスキングタスクを作成して、データマスキングの範囲とルールを指定できます。
DSC コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[静的非識別化] タブで、[タスク設定] タブをクリックします。次に、[非識別化タスクの追加] タブをクリックします。
画面の指示に従って、データマスキングタスクのパラメーターを設定します。
[基本タスク情報] ステップ (非識別化タスクの追加ウィザード) のパラメーターを設定し、[次へ] をクリックします。
説明カスタムタスク名を指定できます。
非識別化ソース設定ステップ (非識別化タスクの追加ウィザード) のパラメーターを設定し、[次へ] をクリックします。
Apsaradb RDS テーブル、polardb-x テーブル、maxcompute テーブル、polardb テーブル、apsaradb For Oceanbase テーブル、analyticdb For Mysql テーブル、および自己管理データベーステーブル
パラメーター
必須
説明
[データストレージのタイプ]
はい
データマスキングのソースファイルのストレージタイプ。[apsaradb RDS テーブル/polardb-x テーブル/maxcompute テーブル/polardb テーブル/apsaradb For Oceanbase テーブル/analyticdb For Mysql テーブル/自己管理データベーステーブル] に設定します。
[ソースサービス]
はい
データマスキングのソーステーブルを提供するサービス。有効な値: [RDS]、[polardb-x]、[oceanbase]、[maxcompute]、[ADB-MYSQL]、[polardb]、および [ECS 自己構築データベース]。
[ソースデータベース/プロジェクト]
はい
ソーステーブルを格納するデータベースまたはプロジェクト。
[ソーステーブル名]
はい
ソーステーブルの名前。
[ソースパーティション]
いいえ
[ソースサービス] パラメーターを [maxcompute] に設定した場合、[ソースパーティション] パラメーターを設定できます。
ソーステーブル内のマスキング対象データを格納するパーティションの名前。このパラメーターを空のままにすると、DSC はソーステーブルのすべてのパーティションで機密データをマスキングします。
MaxCompute テーブルを作成するときにパーティションを指定できます。パーティションは、テーブルの異なる論理区分を定義します。データをクエリするときに、パーティションを指定してクエリの効率を向上させることができます。詳細については、パーティション をご参照ください。
[サンプル SQL]
いいえ
[ソースサービス] パラメーターを [RDS]、[polardb-x]、[oceanbase]、または [ECS 自己構築データベース] に設定した場合、[サンプル SQL] パラメーターを設定できます。
マスキング対象の機密データの範囲を指定する SQL ステートメント。このパラメーターを空のままにすると、DSC はソーステーブルのすべてのデータをマスキングします。
OSS オブジェクト
重要TXT、CSV、XLSX、および XLS オブジェクトのみマスキングできます。
パラメーター
必須
説明
[データストレージのタイプ]
はい
データマスキングのソースファイルのストレージタイプ。[OSS ファイル] に設定します。
[ファイルソース]
はい
データマスキングの OSS オブジェクトのソース。有効な値: [アップロードされたローカルファイル] および [OSS バケット]。
[ファイルのアップロード]
はい
[ファイルソース] パラメーターを [アップロードされたローカルファイル] に設定した場合は、[ローカルファイルを選択] をクリックして OSS オブジェクトをアップロードします。
[ソースファイルが配置されている OSS バケット]
はい
[ファイルソース] パラメーターを [OSS バケット] に設定した場合は、ドロップダウンリストから OSS オブジェクトが属する OSS バケットを選択します。キーワードを入力して、ドロップダウンリストから OSS バケットを検索して選択できます。
[ソースファイル名]
はい
[ファイルソース] パラメーターを [OSS バケット] に設定した場合は、ソース OSS オブジェクトの名前を指定します。名前にはファイル拡張子を含める必要があります。
OSS オブジェクトのデータをマスクする場合は、OSS オブジェクトの名前を指定します。例: test.csv。
複数の OSS オブジェクトのデータをマスキングする場合は、[パスを開く] をオンにします。システムは同じマスキングルールを使用して複数の OSS オブジェクトをマスキングします。オブジェクトは同じ形式で、同一の列構造である必要があります。
Open the pass を有効にすると、アスタリスク (*) をワイルドカードとして使用して、複数の OSS オブジェクトを指定し、オブジェクト内のデータを一度にマスクできます。アスタリスク (*) は、オブジェクト名のプレフィックスでのみ使用できます。例:test*.xls。これは、名前が test で始まる XLS ファイルと一致します。
[ソースファイルの説明]
いいえ
[ファイルソース] パラメーターを [アップロードされたローカルファイル] に設定した場合は、ソース OSS オブジェクトの説明を入力します。
[区切り文字の選択]
いいえ
列の区切り文字。ソース OSS オブジェクトの区切り文字に基づいて区切り文字を選択します。このパラメーターは、CSV オブジェクトと TXT オブジェクトに必要です。有効な値:
[セミコロン ";" (macos/linux のデフォルト)]
[コンマ "," (windows のデフォルト)]
[演算子 '|']。
[テーブルにヘッダー行が含まれる]
いいえ
ソース OSS オブジェクトにヘッダー行が含まれるかどうかを指定します。
非識別化アルゴリズムステップのパラメーターを設定し、[次へ] をクリックします。
ドロップダウンリストからデータマスキングテンプレートを選択します。ソースフィールドリストでは、[非識別化] 列のスイッチが自動的にオンになり、データマスキングテンプレートに基づいてフィールドに [マスキングアルゴリズム] が自動的に設定されます。
データマスキングテンプレートのルールリストの設定は、マスキングするソースフィールドと一致する必要があります。そうでない場合、データマスキングテンプレートは有効になりません。データマスキングテンプレートの設定方法の詳細については、データマスキングテンプレートとアルゴリズムの設定 をご参照ください。
リストでデータをマスキングするソースフィールドを見つけ、[非識別化] 列のスイッチをオンにして、ビジネス要件に基づいて [マスキングアルゴリズム] を選択します。
[アルゴリズムの選択] 列の [パラメーターの表示と変更] をクリックして、選択したアルゴリズムのルールを表示および変更できます。アルゴリズムルールにおけるパーティション形式の詳細については、パーティション形式 をご参照ください。
説明[テンプレートを強制的に有効にする] をオンにすると、ページのアルゴリズムを変更できません。アルゴリズムを変更するには、関連するテンプレートルールを変更する必要があります。
マスクされたデータを保存する宛先を構成し、[書き込み権限テスト] の下の [テスト] をクリックします。テストに合格したら、[次へ] をクリックします。
重要データアセットへの接続に使用するアカウントは、データアセットに対する書き込み権限を持っている必要があります。
処理ロジックを設定します。
パラメーター
必須
説明
タスクのトリガー方法
はい
データマスキングタスクを実行するために使用される方法。有効な値:
手動のみ:このオプションを選択した場合、データマスキングタスクを手動で実行する必要があります。
スケジュールのみ:このオプションを選択した場合、データマスキングタスクの自動実行を設定する必要があります。設定が完了すると、データマスキングタスクは、時間単位、日単位、週単位、または月単位で特定の時点で自動的に実行されます。
手動 + スケジュール:このオプションを選択した場合、[タスク設定] タブの [アクション] 列で [開始] をクリックして、データマスキングタスクを手動で実行できます。また、データマスキングタスクの自動実行を設定することもできます。設定が完了すると、データマスキングタスクは、時間単位、日単位、週単位、または月単位で特定の時点で自動的に実行されます。
増分脱感作をオンにする
いいえ
増分マスキングを有効にするかどうかを指定します。このスイッチをオンにすると、DSC は、以前のデータマスキングタスクが完了した後に追加されたデータのみをマスキングします。増分識別子として、時間の経過とともに値が増加するフィールドを指定する必要があります。たとえば、作成時間フィールドまたは自動インクリメント ID フィールドを増分識別子として指定できます。
重要DSC は、ApsaraDB RDS データベースの増分データマスキングのみをサポートしています。
シャードフィールド
いいえ
DSC がソースデータを複数のシャードに分割する際に基準とするシャードフィールド。DSC は、シャード内のソースデータを同時にマスキングして、データマスキングの効率を向上させます。ビジネス要件に基づいて、1 つ以上のシャードフィールドを指定できます。
DSC は、ApsaraDB RDS データベースの増分データマスキングのみをサポートしています。プライマリキー、または一意のインデックスが作成されているフィールドをシャードフィールドとして使用することをお勧めします。
このパラメーターを空のままにすると、プライマリキーがシャードフィールドとして使用されます。DSC は、プライマリキーに基づいてソースデータを分割し、ソースデータをマスキングします。
重要ソースデータにプライマリキーがない場合は、シャードフィールドを指定する必要があります。指定しないと、データマスキングタスクは失敗します。
過剰なシャードフィールドを指定すると、クエリのパフォーマンスとデータの精度が低下する可能性があります。注意して進めてください。
テーブル名の競合解決
はい
テーブル名の競合を処理するために使用される方法。有効な値:
ターゲットテーブルを削除し、同じ名前の新しいテーブルを作成する。
ターゲットテーブルにデータを追加する。このオプションを選択することをお勧めします。
行の競合解決
はい
行の競合を処理するために使用される方法。有効な値:
競合する行をターゲットテーブルに保持し、新しいデータを破棄する。このオプションを選択することをお勧めします。
ターゲットテーブル内の競合する行を削除し、新しいデータを挿入する。
[送信] をクリックします。
データマスキングタスクの実行と表示
[手動のみ] に [タスクのトリガー方法] パラメーターを設定した場合、データマスキングタスクを手動で実行する必要があります。[スケジュール済みのみ] に [タスクのトリガー方法] パラメーターを設定した場合、データマスキングタスクの自動実行を設定する必要があります。設定が完了すると、データマスキングタスクは特定の時点で自動的に実行されます。[手動 + スケジュール済み] に [タスクのトリガー方法] パラメーターを設定した場合、データマスキングタスクを手動で実行するか、データマスキングタスクを自動的に実行するように設定することができます。
[静的脱感作] タブで、[タスク構成] タブをクリックします。次に、作成したデータマスキングタスクを見つけ、[アクション] 列の [開始] をクリックして、データマスキングタスクを実行します。
[静的脱感作] タブで、[ステータス] タブをクリックして、データマスキングタスクの進捗状況とステータスを表示します。
データマスキングタスクで発生するエラーのトラブルシューティング
データマスキングタスクが失敗した場合、次の表を参照してエラーをトラブルシューティングできます。
エラー | 原因 |
データマスキングタスクが存在しません。タスクは削除または終了されている可能性があります。 | データマスキングタスクの [アクション] 列のスイッチがオフになっています。 |
スケジュールされたデータマスキングタスクのスケジュール設定が無効です。 | 毎日トリガーされる値が無効です。 |
ソースインスタンスが存在しません。 | ソーステーブルが属するインスタンスが存在しません。 |
宛先インスタンスが存在しません。 | 宛先インスタンスが削除されているか、宛先インスタンス関連の権限が取り消されている可能性があります。 |
ソーステーブルが見つかりません。 | ソーステーブルが削除されているか、ソースインスタンス関連の権限が取り消されている可能性があります。 |
マスキングアルゴリズムに設定されているパラメーターが無効です。 | マスキングアルゴリズムに設定されているパラメーターが無効です。 |
ソーステーブルのパーティションキー列が空です。 | ソーステーブルのパーティションキー列が空です。 |
宛先テーブルへのデータ書き込み操作が失敗しました。 | 宛先設定が無効なため、DSCは宛先テーブルにデータを書き込めませんでした。 |
ソーステーブルからのデータクエリ操作が失敗しました。 | DSCはソーステーブルからデータをクエリできませんでした。 |
宛先テーブルの作成操作が失敗しました。 | 宛先に宛先テーブルが存在しません。 |
プライマリキーが見つかりません。 | ApsaraDB RDSソーステーブルにプライマリキーが存在しません。 |
データマスキングタスクに設定されているMaxComputeテーブル関連のパーティションが無効です。 | 非感性化タスクの追加ウィザードの非感性化ソース設定手順で設定されているソースパーティション、または宛先場所設定手順で設定されているターゲットパーティションが無効です。 |
データマスキングタスクの変更または削除
実行待機中または実行中のデータマスキングタスクは、変更または削除できません。
データマスキングタスクの変更
データマスキングタスクの設定を変更するには、タスクを見つけて、[アクション] 列の [変更] をクリックします。
データマスキングタスクの削除
重要データマスキングタスクを削除すると、復元できません。 慎重に進めてください。
データマスキングタスクを今後使用しない場合は、タスクを削除できます。 タスクを見つけて、[アクション] 列の [削除] をクリックします。 表示されるメッセージで、[OK] をクリックします。
動的データマスキング
機能の説明
動的データマスキングタスクは、設定済み マスキングテンプレート に基づいて指定されたデータをマスキングします。ExecDatamask オペレーションを呼び出して、マスキングするデータ (データ) とマスキングテンプレートの ID (TemplateId) を指定できます。その後、Data パラメーターの dataList フィールドで指定されたデータは、一致モード (フィールド と 機密の種類) に基づいてマスキングされます。これは マスキングテンプレート で定義されています。
テンプレート ID は、DSC コンソールの マスキング設定 ページの データマスキングテンプレートとアルゴリズムを構成する タブで取得できます。カスタムデータマスキングテンプレートを作成することもできます。詳細については、 をご参照ください。
次の表では、ExecDatamask オペレーションを呼び出してデータをマスキングするときに使用されるマスキングテンプレートの一致方法について説明します。
一致モード | 説明 |
フィールド | dataHeaderList フィールドで指定されたフィールド名を、マスキングテンプレートの ルールリスト セクションで構成されたデータフィールド名とマスキングアルゴリズムと一致させて、dataList フィールドのデータをマスキングします。 |
機密タイプ | ruleList フィールドで指定されたルール ID を、マスキングテンプレートの ルールリスト セクションのルール ID と照合し、ルールのデータフィールド名とマスキングアルゴリズムに基づいて dataList フィールドのデータをマスキングします。 [一致モード] パラメーターを [機密タイプ] に設定した場合、ルールリストセクションの タブの 列でフィールドを選択できます。組み込みまたはカスタムフィールドを選択できます。機能名は、セクションでルール名として使用されます。 オペレーションを呼び出し、 パラメーターと パラメーターを設定して、データ機能の ID () をクエリできます。CustomType は、 (組み込みまたはカスタム) を指定します。Name は、を指定します。データ機能 列の 識別機能 タブでルール一覧セクションに表示されます。組み込みフィールドまたはカスタムフィールドを選択できます。機能名は、ルール一覧DescribeDBInstanceAttribute API operation to query the details of an ApsaraDB RDS for MySQL instance.ルールを記述する 操作を行い、カスタム型 および 名前 パラメーターを使用して ID をクエリします (ID) のデータ特徴です。CustomType は データ機能ソースデータ機能名 |
例
制限
ExecDatamask オペレーションを呼び出して機密データを動的にマスキングする前に、マスキングする機密データのサイズが 2 MB 未満であることを確認してください。
ExecDatamask オペレーションの呼び出しレコードを表示する
DSC コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[データの非識別化] ページで、[動的非識別化] タブをクリックします。
[動的非識別化] タブで、ExecDatamask オペレーションの呼び出しレコードを表示します。
説明同じアカウントと IP アドレスを使用して ExecDatamask オペレーションを複数回呼び出した場合、1 つのレコードのみが保持されます。[累積呼び出し回数] が記録されます。
静的データマスキングの方法に基づいてマスキングされたデータを共有する方法の例
DSC は、OSS バケット内の構造化 CSV ファイルの機密データをマスキングするために使用できる静的データマスキングの方法を提供します。マスキングされたデータは、安全なデータ共有のために、同じアカウント内の特定の OSS バケットに保存できます。詳細については、OSS テーブルファイルの機密データをマスキングする をご参照ください。