我们希望在 Snowflake 环境中屏蔽与团队成员相关的某些 PII,目前我们的屏蔽设置为屏蔽我们在屏蔽策略中定义的列中的每一行。
我们想要实现的只是在单独的表中仅屏蔽包含会员编号的行。这有可能实现吗?或者我将如何去做?
| member | name |
|---|---|
| A | acds |
| B | asdas |
| C | asdeqw |
| member |
|---|
| B |
例如,在上面的表中,我们只想屏蔽成员 B。此时,第一个表中的所有 3 行都将被屏蔽。
我们有一个可能的解决方法,可以在额外视图的逻辑中执行此操作,但这实际上会更改数据,而我们希望我们可以使用动态数据屏蔽,然后为其设置异常处理。
【问题讨论】:
标签: snowflake-cloud-data-platform
准备数据:
create or replace table member (member_id varchar, name varchar);
insert into member values ('A', 'member_a'),('B', 'member_b'),('C', 'member_c');
create or replace table member_to_be_masked(member_id varchar);
insert into member_to_be_masked values ('B');
如果要屏蔽成员列:
create or replace masking policy member_mask as (val string) returns string ->
case
when exists
(
select
member_id
from
member_to_be_masked
where member_id = val
)
then '********'
else val
end;
alter table if exists member
modify column member_id
set masking policy member_mask;
select * from member;
+-----------+----------+
| MEMBER_ID | NAME |
|-----------+----------|
| A | member_a |
| ******** | member_b |
| C | member_c |
+-----------+----------+
但是,如果您想屏蔽名称列,我看不到一个简单的方法。我已尝试将策略链接回表本身以找出当前列名值的 member_id 是否为当前列名值,但它失败并显示以下错误消息:
策略正文包含引用附加到另一个策略的表的 UDF 或 Select 语句。
在策略中,我们似乎无法引用回源表。并且由于策略只会获取定义的列值的值,它不知道其他列值,所以我们无法决定是否应用掩码。
如果您也将“名称”连同member_id一起存储到映射表中,如果可以工作,如下所示:
create or replace table member (member_id varchar, name varchar);
insert into member values ('A', 'member_a'),('B', 'member_b'),('C', 'member_c');
create or replace table member_to_be_masked(member_id varchar, name varchar);
insert into member_to_be_masked values ('B', 'member_b');
create or replace masking policy member_mask as (val string) returns string ->
case
when exists
(
select member_id
from member_to_be_masked
where name = val
)
then '********'
else val
end;
alter table if exists member
modify column name
set masking policy member_mask;
select * from member;
+-----------+----------+
| MEMBER_ID | NAME |
|-----------+----------|
| A | member_a |
| B | ******** |
| C | member_c |
+-----------+----------+
这种方法的缺点是,如果不同的成员同名,那么所有同名的成员都会被屏蔽,不管这个成员的id是否在映射表中。
【讨论】:
保留我之前的答案,以防它仍然有用。
我能想到的另一种解决方法是使用变体数据,然后在其之上创建一个视图。
create or replace table member_json (member_id varchar, data variant);
insert into member_json
select
'A', parse_json('{"member_id": "A", "name" : "member_a"}')
union
select
'B', parse_json('{"member_id": "B", "name" : "member_b"}')
union
select
'C', parse_json('{"member_id": "C", "name" : "member_c"}')
;
create or replace table member_to_be_masked(member_id varchar);
insert into member_to_be_masked values ('B');
数据如下:
select * from member_json;
+-----------+----------------------+
| MEMBER_ID | DATA |
|-----------+----------------------|
| A | { |
| | "member_id": "A", |
| | "name": "member_a" |
| | } |
| B | { |
| | "member_id": "B", |
| | "name": "member_b" |
| | } |
| C | { |
| | "member_id": "C", |
| | "name": "member_c" |
| | } |
+-----------+----------------------+
select * from member_to_be_masked;
+-----------+
| MEMBER_ID |
|-----------|
| B |
+-----------+
create or replace function json_mask(mask boolean, v variant)
returns variant
language javascript
as
$$
if (MASK) {
V["member_id"] = '******'
V["name"] = '******';
}
return V;
$$;
create or replace masking policy member_mask
as (val variant)
returns variant ->
case
when exists
(
select
member_id
from
member_to_be_masked
where member_id = val['member_id']
)
then json_mask(true, val)
else val
end;
alter table if exists member_json
modify column data
set masking policy member_mask;
select * from member_json;
+-----------+--------------------------+
| MEMBER_ID | DATA |
|-----------+--------------------------|
| A | { |
| | "member_id": "A", |
| | "name": "member_a" |
| | } |
| B | { |
| | "member_id": "******", |
| | "name": "******" |
| | } |
| C | { |
| | "member_id": "C", |
| | "name": "member_c" |
| | } |
+-----------+--------------------------+
create or replace view member_view
as
select
data:"member_id" as member_id,
data:"name" as name
from member_json;
select * from member_view;
+-----------+------------+
| MEMBER_ID | NAME |
|-----------+------------|
| "A" | "member_a" |
| "******" | "******" |
| "C" | "member_c" |
+-----------+------------+
不确定这是否有助于您的案例使用。
【讨论】:
据我了解,您希望根据另一列屏蔽表中的一列并进行查找。 在这种情况下,我们可以使用条件屏蔽 - https://docs.snowflake.com/en/sql-reference/sql/create-masking-policy.html#conditional-masking-policy
创建或替换屏蔽策略 name_mask 为 (val string, member_id string) 返回字符串 -> 案子 何时存在 ( 选择 1 从 member_to_be_masked m 其中 m.member_id ) 然后 '********' 其他值 结束;
在查询配置文件中,它将作为安全功能提供。请评估性能。根据必须应用此功能的总记录,性能差异可能很大
【讨论】: