注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
最佳实践
敏感数据扫描器(SDS)自动化集成了 Foundry 的许多强大功能(如权限标记),因此应由对 Foundry 有一定基础了解的人使用。以下是在使用该工具时需要牢记的一组最佳实践和指南。
优化计算
由于 SDS 可以配置为扫描整个空间,因此可能会出现对每次一次性或定期扫描的计算成本/时间的担忧。在考虑计算时间时,有两个因素需要考虑:数据集的数量和匹配条件的类型。我们为这两个因素提供了扫描优化指南:
(A) 优化扫描的数据集数量:
- 仅在数据进入平台的地方进行扫描(也称为"边界"数据集)。
- 如果内容的敏感性已经知晓,排除整个子文件夹不进行扫描。
- 如果数据集具有 PII 或 PHI 权限标记表明存在敏感数据,排除具有特定权限标记的数据集不进行扫描。
(B) 优化应用于每次扫描的匹配条件
在整个数据集上运行基于内容的正则表达式搜索是全面且资源密集的。SDS 通过优先检查列名称的模式来优化计算,然后再执行基于内容的正则表达式搜索。实际上,这意味着 SDS 在使用以下任一正则表达式匹配条件时,如果基于列没有匹配的可能性,将阻止搭建:
- 仅匹配列名称
- 同时匹配列名称和内容
权限标记
访问权限标记的提供是二元的(全有或全无)。无论角色如何,用户都不能访问资源,除非他们满足所有权限标记要求。了解更多关于权限标记的信息。当扫描发现匹配的数据集时,它会自动应用权限标记。误用限制性权限标记可能会阻止用户进行必要的工作流程,并且难以修复。用户应谨慎并将匹配操作的范围限制在特定子集内。
敏感数据扫描器中的权限模型
敏感数据扫描器在 Foundry 中查找和保护敏感数据。权限被仔细设置,以确保用户仅能在 SDS 中执行他们被允许的操作,而不会超过他们在资源上的个人权限。数据治理官员可以监控整个组织的数据,而不需要在每个资源上拥有风险高的所有者权限。
以下部分介绍了用户可以通过 SDS 与 Foundry 资源交互的两种方式:
| 操作 | 数据治理官员 + 空间访客 | 空间所有者 | 空间编辑者 | 空间访客(仅) |
|---|---|---|---|---|
| 配置 MC & MA | ✔️ | ✔️ | ||
| 管理定期扫描 | ✔️ | ✔️ | ||
| 运行敏感数据扫描 | ✔️ | ✔️ | ||
| 取消敏感数据扫描 | ✔️ | ✔️ | ||
| 查看敏感数据扫描状态 | ✔️ | ✔️ | ✔️ | ✔️ |
| 查看 MC / MA | ✔️ | ✔️ | ✔️ | ✔️ |
作为资源所有者,用户对 SDS 扫描具有完全控制权,并可以管理与资源的交互,包括配置设置和取消扫描。编辑者只能根据所有者的偏好请求 SDS 交互,比如运行具有预配置匹配条件的扫描,而访客只能查看 SDS 的结果。然而,"数据治理官员"角色授予与空间所有者类似的扫描权限。