Dynamische Datenmaskierung - Amazon Redshift

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Dynamische Datenmaskierung

Anmerkung

Amazon Redshift maskiert automatisch bestimmte Systemtabellenspalten, wenn Informationen zu Abfragen in Datenkatalogansichten protokolliert werden, um die Offenlegung sensibler Metadaten zu verhindern. Weitere Informationen finden Sie unter Sichere Protokollierung im Managementleitfaden zu Amazon Redshift.

Mit der dynamischen Datenmaskierung (Dynamic Data Masking, DDM) in Amazon Redshift können Sie sensible Daten in Ihrem Data Warehouse schützen. Sie können festlegen, wie Amazon Redshift den Benutzern sensible Daten zum Zeitpunkt der Abfrage anzeigt, ohne diese in der Datenbank zu transformieren. Sie kontrollieren den Zugriff auf Daten mithilfe von Maskierungsrichtlinien, die benutzerdefinierte Verschleierungsregeln auf einen bestimmten Benutzer oder eine bestimmte Rolle anwenden. Auf diese Weise können Sie auf sich ändernde Datenschutzanforderungen reagieren, ohne die zugrunde liegenden Daten zu ändern oder SQL-Abfragen zu bearbeiten.

Richtlinien für die dynamische Datenmaskierung sorgen dafür, dass Daten, die einem bestimmten Format entsprechen, verborgen, verschleiert oder pseudonymisiert werden. Wenn ein Maskierungsausdruck an eine Tabelle angefügt ist, wird er auf eine oder mehrere Spalten der Tabelle angewendet. Sie können die Maskierungsrichtlinien weiter modifizieren, um sie nur auf bestimmte Benutzer oder auf benutzerdefinierte Rollen anzuwenden, die Sie mit Rollenbasierte Zugriffskontrolle (RBAC) erstellen. Darüber hinaus können Sie DDM auf Zellebene anwenden, indem Sie beim Erstellen Ihrer Maskierungsrichtlinie bedingte Spalten verwenden. Weitere Informationen zur bedingten Maskierung finden Sie unter Bedingte dynamische Datenmaskierung.

Sie können mehrere Maskierungsrichtlinien mit unterschiedlichen Verschleierungsgraden auf dieselbe Spalte in einer Tabelle anwenden und verschiedenen Rollen zuweisen. Um Konflikte zu vermeiden, wenn Sie verschiedene Rollen haben und unterschiedliche Richtlinien für eine Spalte gelten, können Sie Prioritäten für jede Anwendung festlegen. Auf diese Weise können Sie steuern, auf welche Daten ein bestimmter Benutzer oder eine bestimmte Rolle zugreifen kann. DDM-Richtlinien können Daten teilweise oder vollständig unkenntlich machen oder mithilfe von benutzerdefinierten Funktionen, die in SQL, Python oder mit AWS Lambda geschrieben wurden, hashen. Durch das Maskieren von Daten mithilfe von Hashes können Sie Verknüpfungen auf diese Daten anwenden, ohne auf potenziell sensible Informationen zugreifen zu müssen.