更新时间:2024-04-03 GMT+08:00
管理动态水印策略
动态水印指在数据的访问过程中,动态地在数据的查询访问请求返回结果集中注入水印的方式。本章主要介绍如何实现数据开发动态水印功能,最终在数据开发组件中转储或下载敏感数据时,系统动态注入数据水印。
在数据安全组件开启数据开发动态水印功能并创建动态水印策略后,当策略中指定的用户组或角色在数据开发组件中转储或下载敏感数据时,数据开发组件会为敏感数据注入暗水印(水印内容为获取敏感数据用户的“IAM用户ID”前16位,IAM用户ID查看请参见(可选)获取认证信息中的“获取项目ID和账号ID”章节),保护敏感数据不被泄露。
值得注意的是,动态水印策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。
前提条件
- 已创建MRS Hive连接或MRS Spark连接。
约束与限制
- 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以开启或关闭数据开发动态水印功能,至少为工作空间管理员角色才可以创建动态水印策略,其他普通用户无权限操作。
- 当前动态水印策略仅支持MRS Hive和MRS Spark数据源。
- 新增、删除或修改动态水印策略后,需要约5分钟后才能生效。
- 仅当转储或下载数据量大于500行时,系统才会进行水印嵌入。如果数量小于等于500行,即使嵌入水印后也难以溯源。
创建动态水印策略
- 在DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。
图1 选择数据安全
- 单击左侧导航树中的,进入动态水印页面。
图2 进入动态水印页面
- 单击
,开启数据开发动态水印功能。然后单击“新建”,进入新建动态水印策略页面,参数配置参考表1。
图3 新建动态水印策略参数配置
创建动态水印策略参数配置说明:表1 配置策略参数 参数名
参数说明
*策略名称
动态水印策略的唯一标识,DataArts Studio实例内的名称唯一。
为便于策略管理,建议名称中标明要添加水印的对象和水印内容。
*数据源类型
从下拉列表中选择MRS Hive数据源或MRS Spark数据源。
*数据连接
从下拉列表中选择数据连接类型中已创建的数据连接,若未创建请参考新建数据连接新建连接。
*集群名称
无需选择,自动匹配数据连接中的数据源集群。
*数据库
选择敏感数据所在的数据库。
*数据表
选择敏感数据所在的数据表。
*用户组/角色
指定当前工作空间成员中的用户、用户组或角色。当指定对象在数据开发组件中查询或导出敏感数据时,系统会对敏感数据添加动态水印,保护敏感数据不被泄露。
- 单击“确定”,完成动态水印策略创建。
相关操作
- 水印提取:获得从数据开发下载的动态水印CSV数据文件后,参考水印提取进行水印溯源。
- 配置策略:在动态水印页面,单击对应任务操作栏中的“配置”,即可配置动态水印策略。
- 编辑策略状态:新增的水印策略默认为启用状态。当水印策略为关闭状态时,表示该策略将不生效。
- 删除策略:在动态水印页面,单击对应任务操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选策略后,在列表上方单击“删除”。
删除操作无法撤销,请谨慎操作。
- 查看策略详情:在动态水印页面,找到需要查看的策略,单击策略名即可查看策略详情。
图4 查看策略详情
父主题: 隐私保护管理
