ADD SENSITIVITY CLASSIFICATION (Transact-SQL)

Gilt für: SQL Server 2019 (15.x) und höhere Versionen Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Diese Anweisung fügt einer oder mehreren Datenbankspalten Metadaten zur Vertraulichkeitsklassifizierung hinzu. Die Klassifizierung kann eine Vertraulichkeitsbezeichnung und einen Informationstyp umfassen.

Die Klassifizierung sensibler Daten in Ihrer Datenbankumgebung ermöglicht größere Transparenz und besseren Schutz. Weitere Informationen finden Sie unter Datenermittlung und -klassifizierung.

Syntax

    ADD SENSITIVITY CLASSIFICATION TO
    <object_name> [ , ...n ]
    WITH ( <sensitivity_option> [ , ...n ] )

<object_name> ::=
{
    [ schema_name. ] table_name.column_name
}

<sensitivity_option> ::=
{
    LABEL = string |
    LABEL_ID = guidOrString |
    INFORMATION_TYPE = string |
    INFORMATION_TYPE_ID = guidOrString |
    RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL
}

Argumente

object_name [ schema_name. ] table_name.column_name

Der Name der Datenbankspalte, die klassifiziert werden soll. Derzeit wird ausschließlich die Spaltenklassifizierung unterstützt.

• schema_name(optional) – Der Name des Schemas, zu dem die klassifizierte Spalte gehört.
• table_name - Der Name der Tabelle, zu der die klassifizierte Spalte gehört.
• column_name - Der Name der Spalte, die klassifiziert wird.

LABEL

Der lesbare Name der Vertraulichkeitsbezeichnung. Vertraulichkeitsbezeichnungen stellen die Vertraulichkeit der in der Datenbankspalte gespeicherten Daten dar.

LABEL_ID

Ein Bezeichner, der der Vertraulichkeitsbezeichnung zugeordnet ist. Wird häufig von zentralisierten Informationsschutzplattformen verwendet, um Bezeichnungen im System eindeutig zu identifizieren.

INFORMATION_TYPE

Der lesbare Name des Informationstyps. Informationstypen werden verwendet, um den Typ der in der Datenbankspalte gespeicherten Daten zu beschreiben.

INFORMATION_TYPE_ID

Ein Bezeichner, der dem Informationstyp zugeordnet ist. Wird häufig von zentralisierten Informationsschutzplattformen verwendet, um Informationstypen im System eindeutig zu identifizieren.

RANK

Ein Bezeichner basierend auf einem vordefinierten Wertesatz, der die Vertraulichkeitsbewertung definiert. Wird von anderen Diensten wie Advanced Threat Protection verwendet, um Anomalien basierend auf ihrer Bewertung zu erkennen.

Bemerkungen

Einem einzelnen Objekt kann nur eine Klassifizierung hinzugefügt werden. Durch Hinzufügen einer Klassifizierung zu einem Objekt, das bereits klassifiziert ist, wird die vorhandene Klassifizierung überschrieben.

Mehrere Objekte können mit einer einzigen ADD SENSITIVITY CLASSIFICATION-Anweisung klassifiziert werden.

Über die Systemsicht sys.sensitivity_classifications können Informationen zur Vertraulichkeitsklassifizierung für eine Datenbank abgerufen werden.

ADD SENSITIVITY CLASSIFICATION funktioniert, wenn einer der Parameter angegeben wird. Wenn Sie nur LABEL oder INFORMATION_TYPE, ohne entsprechende IDs, angeben, wird der Befehl erfolgreich ausgeführt. Sie sollten jedoch eine 1:1-Zuordnung zwischen LABEL_ID und LABEL Name haben.

Der RANK Parameter wird zurzeit nicht verwendet, daher sollte nur ein Rangwert für eine Spalte ohne einen LABEL INFORMATION_TYPE oder keinen Wert hinzugefügt werden und vermieden werden. Wenn Sie nur den RANK Parameter angeben, ist der Befehl erfolgreich, dies ist jedoch ein bekanntes Problem.

Berechtigungen

Erfordert die ALTER ANY SENSITIVITY CLASSIFICATION-Berechtigung. Dies ALTER ANY SENSITIVITY CLASSIFICATION wird auch von der Datenbankberechtigung CONTROLoder von der Serverberechtigung CONTROL SERVERbereitgestellt.

Beispiele

A. Klassifizieren von zwei Spalten

Im folgenden Beispiel werden die Spalten dbo.sales.price und dbo.sales.discount die Vertraulichkeitsbezeichnung "Streng vertraulich" klassifiziert, "Kritisch" und "Finanzdatentyp" bewertet.

ADD SENSITIVITY CLASSIFICATION TO dbo.sales.price,
    dbo.sales.discount
WITH (
    LABEL = 'Highly Confidential',
    INFORMATION_TYPE = 'Financial',
    RANK = CRITICAL
);

B. Klassifizieren nur einer Bezeichnung

Im folgenden Beispiel wird die Spalte dbo.customer.comments mit der Bezeichnung "Vertraulich " und der Bezeichnungs-ID 643f7acd-776a-438d-890c-79c3f2a520d6klassifiziert. Der Informationstyp wird für diese Spalte nicht klassifiziert.

ADD SENSITIVITY CLASSIFICATION TO dbo.customer.comments
WITH (
    LABEL = 'Confidential',
    LABEL_ID = '643f7acd-776a-438d-890c-79c3f2a520d6'
);

Zugehöriger Inhalt

• DROP SENSITIVITY CLASSIFICATION (Transact-SQL)
• sys.sensitivity_classifications (Transact-SQL)
• Berechtigungen (Datenbank-Engine)
• Azure SQL-Datenbank – Datenermittlung und -klassifizierung