Dynamiczne maskowanie danychDynamic data masking

dotyczy:  tak Azure SQL Database  tak, że usługa Azure SQL Managed instance ma wartość "  Azure Synapse Analytics" (SQL DW)APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Azure SQL Database, wystąpienie zarządzane usługi Azure SQL i usługa Azure Synapse Analytics obsługują Dynamiczne maskowanie danych.Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics support dynamic data masking. Dynamiczne maskowanie danych ogranicza narażenie na dane poufne przez zamaskowanie ich dla użytkowników bez uprawnień.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users.

Dynamiczne maskowanie danych pomaga zapobiec nieautoryzowanemu dostępowi do danych poufnych, umożliwiając klientom wyznaczenie, jaka część danych poufnych może zostać odsłonięta, przy minimalnym wpływie na warstwę aplikacji.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling customers to designate how much of the sensitive data to reveal with minimal impact on the application layer. Jest to funkcja zabezpieczeń oparta na zasadach, która ukrywa dane poufne w zestawie wyników zapytania w wyznaczonych polach bazy danych, przy czym dane w bazie danych pozostają bez zmian.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.

Na przykład przedstawiciel usługi w centrum telefonicznym może identyfikować wywoływania według kilku cyfr numerów kart kredytowych, ale te elementy danych nie powinny być w pełni ujawnione dla przedstawiciela usługi.For example, a service representative at a call center may identify callers by several digits of their credit card number, but those data items should not be fully exposed to the service representative. Można zdefiniować regułę maskowania, która będzie maskować wszystkie oprócz ostatnich czterech cyfr dowolnego numeru karty kredytowej w zestawie wyników dowolnego zapytania.A masking rule can be defined that masks all but the last four digits of any credit card number in the result set of any query. Innym przykładem może być zdefiniowanie odpowiedniej maski danych w celu ochrony danych osobowych, dzięki czemu deweloper może wysyłać zapytania dotyczące środowisk produkcyjnych w celu rozwiązywania problemów bez naruszania przepisów dotyczących zgodności.As another example, an appropriate data mask can be defined to protect personal data, so that a developer can query production environments for troubleshooting purposes without violating compliance regulations.

Dynamiczne maskowanie danych — podstawyDynamic data masking basics

Aby skonfigurować zasady dynamicznego maskowania danych w Azure Portal, wybierz blok Dynamiczne maskowanie danych w obszarze zabezpieczenia w okienku Konfiguracja SQL Database.You set up a dynamic data masking policy in the Azure portal by selecting the Dynamic Data Masking blade under Security in your SQL Database configuration pane. Nie można ustawić tej funkcji przy użyciu portalu dla platformy Azure Synapse (Użyj programu PowerShell lub interfejsu API REST) ani wystąpienia zarządzanego SQL.This feature cannot be set using portal for Azure Synapse (use PowerShell or REST API) or SQL Managed Instance. Aby uzyskać więcej informacji, zobacz Dynamiczne maskowanie danych.For more information, see Dynamic Data Masking.

Uprawnienia Dynamiczne maskowanie danychDynamic data masking permissions

Dynamiczne maskowanie danych można skonfigurować za pomocą ról Administrator Azure SQL Database, administrator serwera lub SQL Security Manager .Dynamic data masking can be configured by the Azure SQL Database admin, server admin, or SQL Security Manager roles.

Zasady dynamicznego maskowania danychDynamic data masking policy

  • Użytkownicy SQL wykluczeni z maskowania — zestaw użytkowników SQL lub tożsamości usługi Azure AD, które uzyskują niemaskowane dane w wynikach zapytania SQL.SQL users excluded from masking - A set of SQL users or Azure AD identities that get unmasked data in the SQL query results. Użytkownicy z uprawnieniami administratora są zawsze wykluczeni z maskowania i mogą zobaczyć oryginalne dane bez żadnej maski.Users with administrator privileges are always excluded from masking, and see the original data without any mask.
  • Reguły maskowania — zestaw reguł definiujących wskazane pola, które mają być maskowane, oraz używaną funkcję maskowania.Masking rules - A set of rules that define the designated fields to be masked and the masking function that is used. Wyznaczonymi polami można zdefiniować przy użyciu nazwy schematu bazy danych, nazwy tabeli i nazwy kolumny.The designated fields can be defined using a database schema name, table name, and column name.
  • Funkcje maskowania — zestaw metod kontrolujących narażenie danych w różnych scenariuszach.Masking functions - A set of methods that control the exposure of data for different scenarios.
Funkcja maskowaniaMasking function Maskowanie logikiMasking logic
WartooćDefault Pełne maskowanie według typów danych określonych pólFull masking according to the data types of the designated fields

• Użyj XXXX lub mniejszej wartości XS, jeśli rozmiar pola jest krótszy niż 4 znaki dla typów danych ciągu (nchar, ntext, nvarchar).• Use XXXX or fewer Xs if the size of the field is less than 4 characters for string data types (nchar, ntext, nvarchar).
• Użyj wartości zerowej dla liczbowych typów danych (bigint, bit, decimal, int, Money, numeric, smallint, smallmoney, tinyint, float, Real).• Use a zero value for numeric data types (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).
• Użyj 01-01-1900 dla typów danych Data/godzina (Date, datetime2, DateTime, DateTimeOffset, smalldatetime, Time).• Use 01-01-1900 for date/time data types (date, datetime2, datetime, datetimeoffset, smalldatetime, time).
• Dla wariantu SQL, używana jest wartość domyślna bieżącego typu.• For SQL variant, the default value of the current type is used.
• Dla pliku XML <masked/> jest używany dokument.• For XML the document <masked/> is used.
• Użyj pustej wartości dla specjalnych typów danych (tabela znaczników czasu, hierarchyid, GUID, Binary, Image, typy przestrzenne varbinary).• Use an empty value for special data types (timestamp table, hierarchyid, GUID, binary, image, varbinary spatial types).
Karta kredytowaCredit card Metoda maskowania, która ujawnia cztery ostatnie cyfry wydzielonych pól i dodaje stały ciąg jako prefiks w postaci karty kredytowej.Masking method, which exposes the last four digits of the designated fields and adds a constant string as a prefix in the form of a credit card.

XXXX-XXXX-XXXX-1234XXXX-XXXX-XXXX-1234
Poczta e-mailEmail Metoda maskowania, która uwidacznia pierwszą literę i zastępuje domenę xxx.com przy użyciu stałego prefiksu ciągu w postaci adresu e-mail.Masking method, which exposes the first letter and replaces the domain with XXX.com using a constant string prefix in the form of an email address.

aXX@XXXX.com
Liczba losowaRandom number Metoda maskowania, która generuje liczbę losową zgodnie z wybranymi granicami i rzeczywistymi typami danych.Masking method, which generates a random number according to the selected boundaries and actual data types. Jeśli wyznaczono granice są równe, funkcja maskowania jest liczbą stałą.If the designated boundaries are equal, then the masking function is a constant number.

Okienko nawigacjiNavigation pane
Tekst niestandardowyCustom text Metoda maskowania, która uwidacznia pierwsze i ostatnie znaki i dodaje niestandardowy ciąg uzupełniania w środku.Masking method, which exposes the first and last characters and adds a custom padding string in the middle. Jeśli oryginalny ciąg jest krótszy niż uwidoczniony prefiks i sufiks, zostanie użyty tylko ciąg uzupełniający.If the original string is shorter than the exposed prefix and suffix, only the padding string is used.
prefiks [dopełnienie] sufiksprefix[padding]suffix

Okienko nawigacjiNavigation pane

Aparat zaleceń DDM, który flaguje niektóre pola z bazy danych jako potencjalnie poufne pola, które mogą być dobrymi kandydatami do maskowania.The DDM recommendations engine, flags certain fields from your database as potentially sensitive fields, which may be good candidates for masking. W bloku Dynamiczne maskowanie danych w portalu zostaną wyświetlone zalecane kolumny dla bazy danych.In the Dynamic Data Masking blade in the portal, you will see the recommended columns for your database. Wystarczy kliknąć pozycję Dodaj maskę dla jednej lub większej liczby kolumn, a następnie zapisać , aby zastosować maskę dla tych pól.All you need to do is click Add Mask for one or more columns and then Save to apply a mask for these fields.

Skonfiguruj Dynamiczne maskowanie danych dla bazy danych przy użyciu poleceń cmdlet programu PowerShellSet up dynamic data masking for your database using PowerShell cmdlets

Zasady maskowania danychData masking policies

Reguły maskowania danychData masking rules

Konfigurowanie dynamicznego maskowania danych dla bazy danych przy użyciu interfejsu API RESTSet up dynamic data masking for your database using the REST API

Za pomocą interfejsu API REST można programowo zarządzać zasadami i regułami maskowania danych.You can use the REST API to programmatically manage data masking policy and rules. Opublikowany interfejs API REST obsługuje następujące operacje:The published REST API supports the following operations:

Zasady maskowania danychData masking policies

  • Utwórz lub zaktualizuj: tworzy lub aktualizuje etykietę czułości dla określonej kolumny.Create Or Update: Creates or updates the sensitivity label of the specified column.
  • Get: Pobiera zasady maskowania danych bazy danych.Get: Gets a database data masking policy.

Reguły maskowania danychData masking rules