sp_pdw_log_user_data_masking (Azure Synapse Analytics)

Gilt für:Azure Synapse AnalyticsAnalytics Platform System (PDW)

Verwenden Sie sp_pdw_log_user_data_masking , um die Maskierung von Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen zu aktivieren. Das Maskieren von Benutzerdaten wirkt sich auf die Anweisungen aller Datenbanken auf dem Anwendung aus.

Wichtig

Die von sp_pdw_log_user_data_masking betroffenen Azure Synapse Analytics-Aktivitätsprotokolle sind bestimmte Azure Synapse Analytics-Aktivitätsprotokolle. sp_pdw_log_user_data_masking wirkt sich nicht auf Datenbanktransaktionsprotokolle oder SQL Server-Fehlerprotokolle aus.

Hintergrund: In den Standardkonfigurations-Aktivitätsprotokollen von Azure Synapse Analytics enthalten vollständige Transact-SQL-Anweisungen und können in einigen Fällen Benutzerdaten enthalten, die in Vorgängen wie INSERT, UPDATE und SELECT-Anweisungen enthalten sind. Im Falle eines Problems auf der Anwendung ermöglicht dies die Analyse der Bedingungen, die das Problem verursacht haben, ohne das Problem reproduzieren zu müssen. Um zu verhindern, dass die Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokolle geschrieben werden, können Kunden die Benutzerdatenmaske mithilfe dieser gespeicherten Prozedur aktivieren. Die Anweisungen werden weiterhin in Azure Synapse Analytics-Aktivitätsprotokolle geschrieben, aber alle Literale in Anweisungen, die Benutzerdaten enthalten können, werden maskiert. ersetzt durch einige vordefinierte Konstantenwerte.

Wenn die transparente Datenverschlüsselung auf dem Anwendung aktiviert ist, wird die Maskierung der Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen automatisch aktiviert.

Syntax

-- Syntax for Azure Synapse Analytics and Parallel Data Warehouse  
  
sp_pdw_log_user_data_masking [ [ @masking_mode = ] value ] ;  

Hinweis

Diese Syntax wird vom serverlosen SQL-Pool in Azure Synapse Analytics nicht unterstützt.

Parameter

[ @masking_mode = ] masking_mode Bestimmt, ob die Benutzerdatenmaske für das transparente Datenverschlüsselungsprotokoll aktiviert ist. masking_mode ist int und kann einer der folgenden Werte sein:

  • 0 = Deaktiviert, Benutzerdaten werden in den Azure Synapse Analytics-Aktivitätsprotokollen angezeigt.

  • 1 = Aktiviert, Benutzerdatenanweisungen werden in den Azure Synapse Analytics-Aktivitätsprotokollen angezeigt, aber die Benutzerdaten sind maskiert.

  • 2 = Anweisungen, die Benutzerdaten enthalten, werden nicht in die Azure Synapse Analytics-Aktivitätsprotokolle geschrieben.

Das Ausführen von sp_pdw_ log_user_data_masking ohne Parameter gibt den aktuellen Zustand der TDE-Protokoll-Benutzerdatenmaske für die Anwendung als skalares Resultset zurück.

Hinweise

Das Maskieren von Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen ermöglicht das Ersetzen von Literalen durch vordefinierte Konstantenwerte in SELECT- und DML-Anweisungen, da sie Benutzerdaten enthalten können. Das Festlegen masking_mode auf 1 maskieren keine Metadaten, z. B. Spaltennamen oder Tabellennamen. Durch festlegen masking_mode auf 2 werden Anweisungen mit Metadaten entfernt, z. B. Spaltennamen oder Tabellennamen.

Das Maskieren von Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen wird wie folgt implementiert:

  • TDE- und Benutzerdatenmasken in Azure Synapse Analytics-Aktivitätsprotokollen sind standardmäßig deaktiviert. Die Anweisungen werden nicht automatisch maskiert, wenn die Datenbankverschlüsselung für die Anwendung nicht aktiviert ist.

  • Durch Aktivieren von TDE auf der Anwendung wird die Benutzerdatenmaske automatisch in Azure Synapse Analytics-Aktivitätsprotokollen aktiviert.

  • Das Deaktivieren von TDE wirkt sich nicht auf die Maskierung von Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen aus.

  • Sie können die Maskierung von Benutzerdaten in Azure Synapse Analytics-Aktivitätsprotokollen explizit mithilfe des sp_pdw_log_user_data_masking-Verfahrens aktivieren.

Berechtigungen

Erfordert die Mitgliedschaft in der festen Datenbankrolle "sysadmin " oder "CONTROL SERVER ".

Beispiel

Im folgenden Beispiel wird die TDE-Protokoll-Benutzerdatenmaske für die Anwendung aktiviert.

EXEC sp_pdw_log_user_data_masking 1;  

Weitere Informationen

sp_pdw_database_encryption (Azure Synapse Analytics)
sp_pdw_database_encryption_regenerate_system_keys (Azure Synapse Analytics)