Dinamik veri maskeleme
AŞAĞıDAKILER IÇIN GEÇERLIDIR: 
Azure SQL Veritabanı Azure SQL Yönetilen Örneği
Azure Synapse Analytics
Azure SQL Veritabanı, azure SQL yönetilen örneği ve azure Synapse Analytics dinamik veri maskeleme 'yi destekler. Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler.
Dinamik veri maskeleme müşterilerin uygulama katmanını çok az etkileyerek hassas verilerin ne kadarının gösterileceğini belirlemelerini sağlar ve hassas verilere yetkisiz erişimin engellenmesine yardımcı olur. Bu özellik, hassas verileri belirlenen veritabanı alanlarına yapılan sorgunun sonuç kümesinde gizleyen ancak veritabanındaki verileri değiştirmeyen ilke tabanlı bir güvenlik özelliğidir.
Örneğin, bir çağrı merkezindeki bir hizmet temsilcisi, kendi e-posta adreslerinin birkaç karakterini onaylayan bir çağrıyı tanımlayabilir, ancak e-posta adresinin tamamı hizmet temsilcisine görmemelidir. Herhangi bir sorgunun sonuç kümesindeki tüm e-posta adreslerini maskele alan bir maskeleme kuralı tanımlanabilir. Başka bir örnek olarak, bir geliştiricinin uyumluluk düzenlemelerini ihlal etmeden üretim ortamlarını, sorun giderme amacıyla sorgulayabilmesi için, kişisel verileri korumak üzere uygun bir veri maskesi tanımlanabilir.
Dinamik veri maskeleme temelleri
SQL Veritabanı yapılandırma bölmesinizdeki güvenlik altında dinamik veri maskeleme dikey penceresini seçerek Azure portal dinamik veri maskeleme ilkesi ayarlarsınız. bu özellik SQL yönetilen örnek için portal kullanılarak ayarlanamaz. Daha fazla bilgi için bkz. dinamik veri maskeleme.
Dinamik veri maskeleme ilkesi
- maskelemeden dışlanan SQL kullanıcılar -SQL sorgu sonuçlarında maskelenmemiş veriler alan SQL kullanıcılar veya Azure AD kimlikleri kümesi. Yönetici ayrıcalıklarına sahip kullanıcılar her zaman maskelemeden çıkarılır ve herhangi bir maske olmadan özgün verileri görür.
- Maskeleme kuralları -maskelenecek belirlenen alanları ve kullanılan maskeleme işlevini tanımlayan bir kurallar kümesi. Belirlenen alanlar bir veritabanı şeması adı, tablo adı ve sütun adı kullanılarak tanımlanabilir.
- Maskeleme işlevleri -farklı senaryolara yönelik verilerin görünürlüğünü denetleyen bir yöntemler kümesi.
| Maskeleme işlevi | Maskeleme mantığı |
|---|---|
| Varsayılanını | Belirlenen alanların veri türlerine göre tam maskeleme • Alanın boyutu dize veri türleri için 4 karakterden azsa XXXX veya daha az XS kullanın (nchar, ntext, nvarchar). • Sayısal veri türleri için sıfır değeri kullanın (BigInt, bit, Decimal, INT, Money, numeric, smallint, smallmoney, tinyint, float, Real). • Tarih/saat veri türleri için 01-01-1900 kullanın (Date, datetime2, DateTime, DateTimeOffset, smalldatetime, Time). • SQL variant için geçerli türün varsayılan değeri kullanılır. • XML için belge <masked/> kullanılır. • Özel veri türleri (timestamp tablosu, HierarchyID, GUID, binary, Image, varbinary uzamsal türler) için boş bir değer kullanın. |
| Kredi kartı | Belirlenen alanların son dört basamağını sunan maskeleme yöntemi ve bir kredi kartı biçiminde önek olarak bir sabit dize ekler. XXXX-XXXX-XXXX-1234 |
| E-posta | İlk harfi kullanıma sunan maskeleme yöntemi ve bir e-posta adresi biçiminde bir sabit dize öneki kullanarak etki alanını xxx.com ile değiştirir. aXX@XXXX.com |
| Rastgele sayı | Maske yöntemi, seçilen sınırlara ve gerçek veri türlerine göre rastgele bir sayı üretir . Belirlenen sınırlar eşitse, maskeleme işlevi sabit bir sayıdır. |
| Özel metin | İlk ve son karakterlerin ortaya çıkardığı ve ortadaki özel bir doldurma dizesi ekleyen maskeleme yöntemi. Özgün dize, gösterilen önek ve sonek değerinden kısaysa, yalnızca doldurma dizesi kullanılır. önek [Padding] soneki  |
Maskelenmesi önerilen alanlar
DDM öneriler altyapısı, veritabanınızdaki belirli alanları potansiyel olarak hassas alanlar olarak bayraklar ve bu, maskeleme için iyi adaylar olabilir. Portaldaki dinamik veri maskeleme dikey penceresinde veritabanınız için önerilen sütunları görürsünüz. Yapmanız gereken tek şey, bir veya daha fazla sütun için maske Ekle ' ye tıkladıktan sonra bu alanlar için bir maske uygulamak üzere kaydedilir .
T-SQL kullanarak dinamik veri maskeleme yönetme
- Dinamik bir veri maskesi oluşturmak için bkz. dinamik veri maskesi oluşturma.
- Varolan bir sütuna bir maske eklemek veya bir maske düzenlemek için bkz. mevcut bir sütuna maske ekleme veya düzenleme.
- Maskelenmemiş verileri görüntüleme izinleri vermek için bkz. maskeli verileri görüntülemek Için Izin verme.
- Dinamik bir veri maskesini bırakmak için bkz. dinamik veri maskesini bırakma.
PowerShell cmdlet 'lerini kullanarak veritabanınız için dinamik veri maskeleme ayarlama
Veri maskeleme ilkeleri
Veri maskeleme kuralları
- Get-AzSqlDatabaseDataMaskingRule
- New-AzSqlDatabaseDataMaskingRule
- Remove-AzSqlDatabaseDataMaskingRule
- Set-AzSqlDatabaseDataMaskingRule
REST API kullanarak veritabanınız için dinamik veri maskeleme ayarlayın
Veri maskeleme ilkesini ve kurallarını programlı bir şekilde yönetmek için REST API kullanabilirsiniz. Yayımlanan REST API aşağıdaki işlemleri destekler:
Veri maskeleme ilkeleri
- Oluştur veya Güncelleştir: veritabanı veri maskeleme ilkesi oluşturur veya güncelleştirir.
- Get: bir veritabanı veri maskeleme ilkesi alır.
Veri maskeleme kuralları
- Oluştur veya Güncelleştir: bir veritabanı veri maskeleme kuralı oluşturur veya güncelleştirir.
- Veritabanına göre Listele: veritabanı veri maskeleme kurallarının bir listesini alır.
İzinler
Dinamik veri maskeleme 'yi yapılandırmak için yerleşik roller şunlardır:
Dinamik veri maskeleme kullanmak için gereken eylemler şunlardır:
Okuma/yazma:
- Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/* okuma:
- Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/okuma yazma:
- Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/Write
T-SQL komutuyla dinamik veri maskeleme kullanırken izinler hakkında daha fazla bilgi için, bkz. izinler
Ayrıca bkz.
- SQL Server için dinamik veri maskeleme .
- Azure SQL kanal 9 ' da dinamik veri maskeleme için ayrıntılı izinler hakkında veri üzerinde kullanıma sunulan bölüm.