SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

SQL Database の動的データマスクの「拡張制限の使用」について

leave a comment

SQL Database の動的データマスク (Dynamic Data Masking : DDM) (2015/5/16 時点ではプレビュー) には「拡張制限の使用」(Extended restriction) というオプションがあります。

image

SQL Database 動的データ マスクの使用 を見ると以下のように記載されています。

TIP:

制限の拡張オプションを使用すると、データベースに直接アクセスして、トラブルシューティングの目的で SQL クエリを実行する開発者のために、アクセスが制限されます。

10.[制限の拡張の使用] を選択するかどうかを検討します。このオプションを選択すると、アドホック クエリを使用してデリケートなデータの公開が制限されます。

これだけ見ると、どのように動作が変わるのかイメージしにくいのですが、以下のようなクエリで試してみると分かるかと。

制限の拡張 () をしていない状態では以下のようなデータが取得されます。
制限の拡張をしない場合には、列を加工したデータの使用も可能です。

image

それでは、制限の拡張を有効にしてみたいと思います。
制限の拡張をすると列の編集をしたデータなどが使用できなくなります。
image

この制限は、動的データマスクを設定しているテーブル / 列にかかわらず、すべてのクエリに影響してきます。
上記のテーブルでは、MailAddress / PhoneNo を動的データマスクの対象としていますが、それ以外の列に対して、加工した情報を使用したばあでもこの機能の制限を受けてきます。

「制限の拡張」が無効になっている状態 (デフォルト) は、緩和されている状態 (Relaxed) とも呼ばれ、項目の加工は柔軟に行うことができますが、有効にすることで、制限された状態 (Restricted) となり、列のデータはそのまま使用する必要が出てきます。
# 結果に定数の埋め込みを行ってもマスクされますため、データの取り扱いがかなり厳しくなります。現状はプレビューの機能のため、どの列が加工できるかは GA したタイミングで変わるかもしれませんが。
データ マスク ポリシーの作成または更新

動的データマスクの設定はデータベース単位となりますので、この機能を有効にする場合はデータの利用については十分に注意する必要が出てきそうですね。

Written by masayuki.ozawa

5月 16th, 2015 at 5:09 pm

Posted in SQL Database

Tagged with

Leave a Reply

*