Приступая к работе с динамическим маскированием данных в базе данных SQL на портале Azure

Применимо к: База данных SQL Azure

В этой статье показано, как реализовать динамическое маскирование данных с помощью портала Azure. Динамическое маскирование данных можно также реализовать с помощью командлетов для Базы данных SQL Azure или REST API.

Примечание.

Для Управляемого экземпляра SQL эта возможность на портале недоступна (используйте PowerShell или REST API). Дополнительные сведения см. в разделе Dynamic Data Masking.

Включение динамического маскирования данных

1. Запустите портал Azure по ссылке https://portal.azure.com.

2. Перейдите к ресурсу базы данных на портале Azure.

3. Выберите область динамического маскирования данных в разделе "Безопасность ".

   

4. На странице настройки Динамическое маскирование данных отображаются некоторые столбцы вашей базы данных, которые система рекомендаций отметила для маскирования. Чтобы принять эти рекомендации, просто нажмите кнопку Добавить маску для одного или нескольких столбцов — маски будут созданы на основе типа по умолчанию для соответствующего столбца. Функцию маскирования можно изменить, щелкнув правило маскирования и изменив формат поля маскирования по своему желанию. Нажмите кнопку Сохранить , чтобы сохранить параметры.

   

5. Чтобы добавить маску для какого-либо столбца базы данных, на странице настройки Динамическое маскирование данных вверху щелкните Добавить маску, чтобы открыть страницу настройки Добавление правила маскирования.

   

6. Выберите значение Схема, Таблица и Столбец, чтобы определить поля, которые будут замаскированы.

7. Выберите способ маскировки из списка категорий конфиденциальных данных, для которых поддерживается маскирование.

   

8. Щелкните Добавить на странице правил маскирования данных, чтобы обновить набор правил маскирования в политике динамического маскирования данных.

9. Введите пользователей с проверкой подлинности SQL или удостоверения, прошедшие проверку подлинности, из идентификатора Microsoft Entra (ранее Azure Active Directory), которые должны быть исключены из маскирования и иметь доступ к незамеченным конфиденциальным данным. Это должен быть список пользователей, разделенных точкой с запятой. Пользователи с правами администратора всегда видят исходные данные без маски.

   

   Совет

   Чтобы сделать его таким образом, чтобы уровень приложений может отображать конфиденциальные данные для привилегированных пользователей приложения, добавьте пользователя SQL или удостоверение Microsoft Entra, которое приложение использует для запроса к базе данных. Настоятельно рекомендуется, чтобы этот список содержал минимально необходимое количество привилегированных пользователей. Это сведет к минимуму риск раскрытия конфиденциальных данных.

10. Щелкните Сохранить на странице настройки маскирования данных, чтобы сохранить новую или обновленную политику маскирования.

Следующие шаги

• Обзор динамического маскирования данных см. в разделе Динамическое маскирование данных.
• Динамическое маскирование данных можно также реализовать с помощью командлетов для Базы данных SQL Azure или REST API.