Enmascaramiento de números en los datos de las columnas con un carácter de enmascaramiento Sustitución de los números de la columna por números aleatorios Sustitución de los datos de la columna por un valor hash Limitaciones

Uso del enmascaramiento de datos para ocultar información confidencial

Para ocultar la información confidencial almacenada en una o más columnas de las tablas que se van a migrar, puede aprovechar las acciones de las reglas de transformación del enmascaramiento de datos. A partir de la versión 3.5.4, AWS DMS permite el uso de acciones de reglas de transformación del enmascaramiento de datos en la representación cartográfica de tablas, lo que permite modificar el contenido de una o más columnas durante el proceso de migración. AWS DMS carga los datos modificados en las tablas de destino.

AWS Database Migration Service proporciona tres opciones para las acciones de las reglas de transformación del enmascaramiento de datos:

Enmascaramiento de datos: máscara de dígitos
Enmascaramiento de datos: distribución aleatoria de dígitos
Enmascaramiento de datos: máscara de hash

Estas acciones de las reglas de transformación del enmascaramiento de datos se pueden configurar en la asignación de tablas de la tarea de replicación, de forma similar a otras reglas de transformación. El destino de la regla debe establecerse en la columna.

Enmascaramiento de números en los datos de las columnas con un carácter de enmascaramiento

La acción de la regla de transformación Enmascaramiento de datos: máscara de dígitos le permite enmascarar los datos numéricos de una o más columnas sustituyendo los dígitos por un único carácter imprimible en formato ASCII que especifique (excluidos los caracteres vacíos o los espacios en blanco).

A continuación, se muestra un ejemplo en el que se enmascaran todos los dígitos de la columna cust_passport_no de la tabla customer_master con el carácter de enmascaramiento '#' y, luego, se cargan los datos enmascarados en la tabla de destino:



                {
    "rules": [
        {
            "rule-type": "selection",
            "rule-id": "1",
            "rule-name": "1",
            "object-locator": {
                "schema-name": "cust_schema",
                "table-name": "%"
            },
            "rule-action": "include"
        },
        {
            "rule-type": "transformation",
            "rule-id": "2",
            "rule-name": "2",
            "rule-target": "column",
            "object-locator": {
                "schema-name": "cust_schema",
                "table-name": "customer_master",
                "column-name": "cust_passport_no"
            },
            "rule-action": "data-masking-digits-mask",
            "value": "#"
        }
    ]
}

Por ejemplo, si la columna de cust_passport_no la tabla de origen contiene el registro «C6 BGJ566669 K», la AWS DMS tarea escribirá estos datos en la tabla de destino como. "C#BGJ######K"

Sustitución de los números de la columna por números aleatorios

La regla de transformación Enmascaramiento de datos: distribución aleatoria de dígitos le permite reemplazar cada dígito numérico de una o más columnas por un número aleatorio. En el siguiente ejemplo, AWS DMS reemplaza cada dígito de la cust_passport_no columna de la tabla customer_master de origen por un número aleatorio y escribe los datos modificados en la tabla de destino:



            {
    "rules": [
        {
            "rule-type": "selection",
            "rule-id": "1",
            "rule-name": "1",
            "object-locator": {
                "schema-name": "cust_schema",
                "table-name": "%"
            },
            "rule-action": "include"
        },
        {
            "rule-type": "transformation",
            "rule-id": "2",
            "rule-name": "2",
            "rule-target": "column",
            "object-locator": {
                "schema-name": "cust_schema",
                "table-name": "customer_master",
                "column-name": "cust_passport_no"
            },
            "rule-action": "data-masking-digits-randomize"
        }
    ]
}

Por ejemplo, la AWS DMS tarea transformará el valor de la cust_passport_no columna de la tabla de origen "C6BGJ566669K" en la base de datos de destino "C1BGJ842170K" y lo escribirá en ella.

Sustitución de los datos de la columna por un valor hash

La regla de transformación Enmascaramiento de datos: máscara de hash permite reemplazar los datos de la columna por un hash generado con el algoritmo SHA256. La longitud del hash siempre será de 64 caracteres, por lo que la longitud de la columna de la tabla de destino debe ser de 64 caracteres como mínimo. Como alternativa, puede añadir una acción de regla de transformación change-data-type a la columna para aumentar el ancho de la columna en la tabla de destino.

El siguiente ejemplo genera un valor hash de 64 caracteres para los datos de la columna cust_passport_no de la tabla de origen customer_master y carga los datos transformados en la tabla de destino tras aumentar la longitud de la columna:



{
"rules": [
{
"rule-type": "selection",
"rule-id": "1",
"rule-name": "1",
"object-locator": {
"schema-name": "cust_schema",
"table-name": "%"
},
"rule-action": "include"
},
{
"rule-type": "transformation",
"rule-id": "2",
"rule-name": "2",
"rule-target": "column",
"object-locator": {
"schema-name": "cust_schema",
"table-name": "customer_master",
"column-name": "cust_passport_no"
},
"rule-action": "change-data-type",
"data-type": {
"type": "string",
"length": "100",
"scale": ""
}
},
{
"rule-type": "transformation",
"rule-id": "3",
"rule-name": "3",
"rule-target": "column",
"object-locator": {
"schema-name": "cust_schema",
"table-name": "customer_master",
"column-name": "cust_passport_no"
},
"rule-action": "data-masking-hash-mask"
}
]
}

Por ejemplo, si la columna cust_passport_no de la tabla de origen contiene un valor“C6BGJ566669K”, la AWS DMS tarea escribirá un hash “7CB06784764C9030CCC41E25C15339FEB293FFE9B329A72B5FED564E99900C75” en la tabla de destino.

Limitaciones

Cada opción de regla de transformación de enmascaramiento de datos solo se admite para tipos AWS DMS de datos específicos:
- El Enmascaramiento de datos: máscara de dígitos es compatible con las columnas de los tipos de datos WSTRING y STRING.
- El Enmascaramiento de datos: distribución aleatoria de dígitos es compatible con las columnas de los tipos de datos: WSTRING, STRING; NUMERIC, INT1, INT2, INT4, and INT8 con homólogos sin firmar.
- El Enmascaramiento de datos: máscara de hash es compatible con las columnas de los tipos de datos WSTRING y STRING.
Para obtener más información sobre la asignación de AWS DMS los tipos de datos a los tipos de datos del motor de origen, consulte la asignación de tipos de datos del motor de origen con AWS DMS los tipos de datos. Consulte los tipos de datos de origen para Tipos de datos de origen para Oracle, Tipos de datos de origen para SQL Server, Tipos de datos de origen para PostgreSQL y Tipos de datos de origen para MySQL.
Si se utiliza una acción de regla de enmascaramiento de datos para una columna con un tipo de datos incompatible, se producirá un error en la tarea de DMS. Consulte la sección Configuración DataMaskingErrorPolicy de tareas del DMS para especificar el comportamiento de la gestión de errores. Para obtener más información acerca de DataMaskingErrorPolicy, consulte Configuración de las tareas de administración de errores.
Puede añadir una acción de regla de change-data-type transformación para cambiar el tipo de datos de la columna a un tipo compatible si el tipo de columna de origen no es compatible con la opción de enmascaramiento que va a utilizar. El rule-id de la transformación change-data-type debe ser un número menor que el rule-id de la transformación de enmascaramiento para que el cambio de tipo de datos se produzca antes del enmascaramiento.
Utilice la acción Enmascaramiento de datos: máscara de hash para enmascarar las columnas Clave principal, Clave única o Clave externa, ya que el valor hash generado será único y coherente. Las otras dos opciones de enmascaramiento no pueden garantizar la exclusividad.
Mientras que las acciones Enmascaramiento de datos: máscara de dígitos y Enmascaramiento de datos: distribución aleatoria de dígitos solo afectan a los dígitos de los datos de la columna y no a la longitud de los datos, la acción Enmascaramiento de datos: máscara de hash modifica toda la columna y la longitud de los datos cambia a 64 caracteres. Por lo tanto, se debe crear la tabla de destino en consecuencia o se debe añadir una regla de change-data-type transformación para la columna que se va a enmascarar.
Las columnas con la acción de la regla de transformación de enmascaramiento de datos especificada se excluyen de la validación de datos en AWS DMS. Si las columnas Clave principal o Clave única están enmascaradas, no se realizará la validación de datos de esta tabla; el estado de validación de dicha tabla será igual a No Primary key.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Reglas y operaciones de configuración de tablas y recopilaciones

Uso de filtros de origen