Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
セキュリティとガバナンスManagementマーキングの管理

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

マーキングの管理

マーキングは Foundry Settings の Markings セクションで管理されます。マーキングはプラットフォーム全体のリソースに適用されます。

Manage marking

マーキングカテゴリーの作成

カテゴリーの削除

一度作成されたマーキングカテゴリーは削除できません。

管理者ユーザーはマーキングやマーキングカテゴリーを作成し、そのメタデータ、可視性、およびメンバーシップを管理できます。Platform Settings の Markings セクションへのアクセスには特別なプラットフォーム権限が必要です。

必要な権限を持つ管理者ユーザーは、Platform Settings の Markings セクションで New marking category ボタンをクリックしてマーキングカテゴリーを作成できます。

new-marking-category

マーキングカテゴリーを作成するときに、カテゴリーの可視性 を設定し、カテゴリーの権限を割り当てることができます。デフォルトでは、カテゴリーの作成者が管理者になります。カテゴリーの作成者は、自分自身を作成者から削除し、別の管理者を追加することができます。

new-marking-details

カテゴリーの可視性

マーキングの可視性は、Organization カテゴリーを除いて、カテゴリーごとに割り当てられます。各個別の Organization はそれぞれ独自の可視性設定を持っています。

ほとんどの場合、マーキングやカテゴリーの名前と説明は機密情報ではなく、マーキングアクセスを持たないユーザーにも表示されるべきです。この動作はデフォルトで Visible に設定されているカテゴリーの可視性によって決定されます。

new-marking-category-visibility

カテゴリーの可視性が Visible に設定されている場合、Organization 内のすべてのユーザーはカテゴリーとそのマーキングの存在を Marking インターフェースで確認できます。ユーザーがマーキング権限を満たさない場合、マーキングやカテゴリーの存在を確認することはできません。

マーキングカテゴリーの可視性が Hidden に設定されている場合、このカテゴリーとそのマーキングの存在は機密情報と見なされます。Hidden カテゴリーは、明示的に Category Viewer 権限を付与されていないすべてのユーザーに対して不可視にすることができます。

マーキングカテゴリーは以下の可視性ルールを保証します:

  • 可視性はカテゴリーとそのすべてのマーキングに対して一括で定義されます。個別のマーキングごとに割り当てることはできません。
  • マーキングにアクセスできるすべてのユーザーは、カテゴリーとそのカテゴリー内のすべてのマーキングの存在を確認できます。これらのユーザーは API の結果には「カテゴリーの閲覧者」として表示されませんが、存在しているものと見なされます。
  • マーキングに役割(管理者、削除者)があるすべてのユーザーは、カテゴリーとそのカテゴリー内のすべてのマーキングの存在を確認できます。これらのユーザーは API の結果には「カテゴリーの閲覧者」として表示されませんが、存在しているものと見なされます。
  • カテゴリーに役割(管理者、閲覧者)があるすべてのユーザーは、カテゴリーとそのカテゴリー内のすべてのマーキングの存在を確認できます。

カテゴリーの権限

ユーザーは、マーキングカテゴリーとのやり取り方法を指定する権限を持つことができます:

  • Category Administrators: カテゴリーの説明と権限を変更し、そのカテゴリーにマーキングを作成できるユーザー。
  • Category Viewers: カテゴリーとその中のすべてのマーキングの存在を確認できるユーザー。

marking-permissions

カテゴリーを Organization によって制限する

マーキングカテゴリーは、特定の Organization に制限することができ、その Organization 外のユーザーには決して表示されないようにすることができます。

マーキングの作成

マーキングの削除

一度作成されたマーキングは削除できず、異なるカテゴリーに移動することもできません。

必要な権限を持つ管理者ユーザーは、Platform Settings の Markings セクションで New marking ボタンをクリックして新しいマーキングを作成できます。その後、Marking Administrators と Marking Removers を割り当てることができます。

marking-creation

Foundry 内からマーキングを作成すると、"Manage permissions" アクセスが自動的に付与されます。新しいマーキングには異なるチームメンバーにこれらの権限を割り当てることをお勧めします。これにより、すべてのマーキング権限を管理するために単一の管理者に依存することを避けることができます。

create-new-marking

マーキングの権限

新しいマーキングを作成すると、ユーザーやグループに異なるレベルのアクセスと権限を追加することができます:

  • Manage permissions: このマーキング、そのメンバー、およびメタデータを管理するための権限を付与できるユーザー。
  • Apply marking: このマーキングをプロジェクトやリソースに適用できるユーザー。この権限はマーキングを適用する能力のみを付与し、マーキングのメンバーシップを付与するものではありません。
  • Remove marking: プロジェクトやリソースからこのマーキングを削除できるユーザー。マーキングを削除するには、ユーザーはマーキングを適用する能力も持っている必要があります。
  • Members: このマーキングで保護されたリソースやプロジェクトを閲覧できるユーザー。

上記のすべての権限は独立しており、自動的にユーザーにメンバーシップ権限を提供するものではありません。たとえば、ユーザーがマーキングに対して “Apply marking” と "Manage permissions" のアクセス権を持っていても、マーキングのメンバーではない場合があります。その場合、そのユーザーはプラットフォーム内のファイル、フォルダー、およびプロジェクトにマーキングを適用し、マーキングを管理することはできますが、そのマーキングで保護されたデータを閲覧することはできません。

marking-permissions

ユーザーにマーキングを付与する

マーキングはユーザーにグローバルに付与されます。ユーザーにマーキングが付与されると、そのユーザーはそのマーキングで制限されたタイプのコンテンツをグローバルに閲覧する権利を持ちます。ただし、マーキングへのアクセス権を持っていることは、ユーザーがそのマーキングを持つすべてのコンテンツを閲覧できることを意味するわけではありません。ユーザーは役割を通じて権限を持っている必要があります。ユーザーは、マーキングに対して追加の管理権限を持っていない限り、他のユーザーにマーキングへのアクセスを付与することはできません。

マーキングの権限がグループに付与されている場合、新しいユーザーがそのグループに参加すると、その権限を引き継ぎます。

add-marking-group-member

マーキングを適用する

マーキングをリソース、フォルダー、またはプロジェクトに適用するには、次の 2 つの要件を満たす必要があります:

  1. マーキングに対して “Apply marking” 権限を持っていること。
  2. デフォルトで Owner 役割に含まれる “Update Markings on resource” 権限を持っていること。

マーキングを適用することは、下流のユーザーを制限する可能性があるため、慎重な操作です。既存のパイプラインにマーキングを適用する前に、次の手順を実行することをお勧めします:

  1. マーキングの存在を確認する: 適用したいマーキングが作成されていることを確認するか、マーキングを作成する
  2. パイプラインのブランチを作成する: 新しいブランチを作成してこれらの手順を続けます。既存のパイプラインにマーキングを適用する場合、パイプラインのある時点でマーキングの伝播を停止する必要がある場合があります(たとえば、PII が除去されたデータセットをエンドユーザーが開けるようにするため)。stop_propagating 構文は保護されたブランチでのみ効果を発揮します。新しいブランチが保護されたブランチにマージされるまで、継承されたマーキングを stop_propagating することはできません。
  3. データフローを確認する: データフローグラフ上のノードの完全なセットを持っていることを確認し、潜在的な変更の下流への影響を理解していることを確認します。
  4. パイプライン内のトランザクションタイプを確認する: マーキングはトランザクションレベルでデータ依存関係に沿って伝播します。APPEND または UPDATE タイプのインクリメンタルにビルドされたデータセットは特別な処理が必要です。具体的には、APPEND トランザクションでビルドされたデータセットの最新ビューには、古い上流トランザクションからの依存関係が含まれます。これに対して、SNAPSHOT トランザクション(Foundry のデフォルト)でビルドされたデータセットの最新ビューは、上流データセットの最新トランザクションにのみ依存します。SNAPSHOT トランザクションのみを扱っている場合は、これらの手順を続行できます。それ以外の場合は、APPEND および UPDATE トランザクション および マーキングの伝播方法 に関するドキュメントを参照してください。
  5. マーキングの継承を停止するタイミングを決定する: パイプラインのデータフローのノードを探索し、マーキングを適用するポイントを決定するために列やデータプレビューを確認します。たとえば、DOB(生年月日)列がパイプラインで削除された後に PII マーキングの伝播を停止したい場合があります。このステップでは、シミュレーションモードをアクティブにして、マーキングがどこでどのように伝播するかを確認することができます。
  6. 必要なトランスフォーム変更を事前に行う: ブランチで、特定されたトランスフォームに stop_propagating 構文を追加します。ブランチを保護されたブランチにマージして、stop_propagating 構文がアクティブになります。
  7. 本番パイプラインをビルドする: 下流のノードを含むすべてのトランスフォームをビルドします。stop_propagating 構文を持つデータセットと stop_propagating トランスフォームの下流にあるすべてのデータセットを再ビルドする必要があります。下流に APPEND または UPDATE データセットがある場合は、このガイド を参照してください。
  8. シミュレートされた変更を確認する: パイプラインの最終的なシミュレートされたデータフローを確認します。stop_propagating トランスフォームの下流にあるデータセットが新しいマーキングの適用によって影響を受けないことを確認します。敏感な列が伝播されないデータセットに表示されないことを確認します。
  9. マーキングを適用する: 上記の手順は、マーキングを適用することで敏感なデータを含むデータセットを保護し、必要以上にマーキングが伝播しないことを確立するはずです。この時点で、マーキングを適用することができます。

マーキングを適用した後にミスに気付いた場合(たとえば、大量のユーザーが見るべきデータを見れない場合)、マーキングを削除するとすぐに伝播が停止します。その後、シミュレートされた変更を再確認して問題の原因を特定する必要があります。

以下の例では、DOB 列が削除され、stop_propagating 構文がオントロジーの passengers データセットに適用されました。PII マーキングは生の passenger データセットに適用され、クリーンな passenger データセットにのみ伝播されました。

applying-marking-dataset

マーキングの削除

マーキングを削除することで、より多くのユーザーにアクセスを許可したり、トランスフォームされたデータを再分類したり、継承されたリソースを分離することができます。

たとえば、データセット A に PII が含まれ、そのマーキングがデータセット A から派生したデータセットを保護しているとします。データセット B がデータセット A から派生しているが、PII を削除するようにトランスフォームされている場合、データセット B からマーキングを削除してデータのより広い使用を許可することができます。

マーキングを削除するには、特定のマーキングを適用および削除する権限が必要です。また、リソースに対してマーキングを変更することが許可される役割にアクセスする必要があります。デフォルトの役割を使用している場合、このアクセスは Owner 役割で利用できます。

直接適用されたマーキングを削除する

ファイル、フォルダー、またはプロジェクトから直接マーキングを削除すると、そのマーキングを継承したすべての依存関係からすぐにマーキングが削除されます。マーキングを直接削除した後、下流のデータセットを再ビルドする必要はありません。次の概念的な例では、直接適用された PII マーキングが示されています。

remove-marking

継承されたマーキングを削除する

継承されたマーキングは、制限付きビューとデータセットからのみ削除できます。制限されたコンテンツが削除または隠蔽されて依存ファイルが派生される場合、派生ファイルからマーキングを削除できます。継承されたマーキングが削除されると、下流のデータセットはマーキングによって保護されなくなり、より多くのユーザーがデータセットにアクセスできるようになります。ユーザーは、上流データを見るためにマーキングへのアクセス権をまだ持っている必要があります。

制限付きビューから継承されたマーキングを削除するには、制限付きビューを編集し、適切なマーキングの横にある Stop Propagating をクリックします。

データセットから継承されたマーキングを削除するには、トランスフォームコードで stop_propagating 構文を使用します。継承されたマーキングを安全に削除するには、次の手順に従います:

  1. 機密データを削除する場所を決定する: 完全なパイプラインをレビューし、機密データを削除する場所を決定します。
  2. ブランチを作成する: stop_propagating 構文は、保護されていて Require security approvals before merging 設定が有効になっているブランチでのみ効果を発揮します。ブランチが保護されたブランチにマージされるまで、継承されたマーキングを stop_propagating することはできません。
  3. 必要なトランスフォーム変更を行う: 選択されたデータセットで機密データを削除し、トランスフォームに stop_propagating 構文を追加します。
  4. ブランチをビルドする: ブランチをビルドし、出力データセットで機密デ