sp_pdw_log_user_data_masking (Azure Synapse Analytics)
適用対象: Azure Synapse Analytics Analytics Platform System (PDW)
sp_pdw_log_user_data_maskingを使用して、Azure Synapse Analytics アクティビティ ログでユーザー データ マスクを有効にします。 ユーザー データ マスクは、アプライアンス上のすべてのデータベースのステートメントに影響します。
重要
sp_pdw_log_user_data_maskingの影響を受ける Azure Synapse Analytics アクティビティ ログは、特定の Azure Synapse Analytics アクティビティ ログです。 sp_pdw_log_user_data_masking は、データベース トランザクション ログや SQL Server エラー ログには影響しません。
Background: 既定の構成では、Azure Synapse Analytics アクティビティ ログには完全な Transact-SQL ステートメントが含まれており、場合によっては、 INSERT、 UPDATE、 SELECT ステートメントなどの操作に含まれるユーザー データを含めることができます。 アプライアンスで問題が発生した場合は、問題を再現する必要なく、問題の原因となった条件の分析が可能になります。 ユーザー データが Azure Synapse Analytics アクティビティ ログに書き込まれないようにするために、このストアド プロシージャを使用してユーザー データ マスクを有効にすることを選択できます。 ステートメントは引き続き Azure Synapse Analytics アクティビティ ログに書き込まれますが、ユーザー データを含むステートメント内のすべてのリテラルはマスクされます。は、いくつかの定義済みの定数値に置き換えられます。
アプライアンスで透過的なデータ暗号化が有効になっている場合、Azure Synapse Analytics アクティビティ ログのユーザー データのマスクが自動的に有効になります。
構文
-- Syntax for Azure Synapse Analytics and Parallel Data Warehouse
sp_pdw_log_user_data_masking [ [ @masking_mode = ] value ] ;
Note
この構文は、Azure Synapse Analytics のサーバーレス SQL プールでサポートされていません。
パラメーター
[ @masking_mode = ] masking_mode
透過的なデータ暗号化ログ のユーザー データ マスクが有効かどうかを判断します。 masking_mode は int で、次のいずれかの値を指定できます。
0 = 無効。ユーザー データは Azure Synapse Analytics アクティビティ ログに表示されます。
1 = 有効にすると、ユーザー データ ステートメントは Azure Synapse Analytics アクティビティ ログに表示されますが、ユーザー データはマスクされます。
2 = ユーザー データを含むステートメントは、Azure Synapse Analytics アクティビティ ログに書き込まれません。
パラメーターを指定せずに sp_pdw_ log_user_data_masking を実行すると、アプライアンス上の TDE ログ ユーザー データ マスクの現在の状態がスカラー結果セットとして返されます。
解説
Azure Synapse Analytics アクティビティ ログのユーザー データ マスクを使用すると、ユーザー データを含めることができるため、リテラルを SELECT および DML ステートメントの定義済みの定数値に置き換えることができます。 masking_modeを 1 に設定しても、列名やテーブル名などのメタデータはマスクされません。 masking_modeを 2 に設定すると、列名やテーブル名などのメタデータを持つステートメントが削除されます。
Azure Synapse Analytics アクティビティ ログのユーザー データ マスクは、次の方法で実装されます。
Azure Synapse Analytics アクティビティ ログの TDE とユーザー データ マスクは、既定でオフになっています。 アプライアンスでデータベース暗号化が有効になっていない場合、ステートメントは自動的にマスクされません。
アプライアンスで TDE を有効にすると、Azure Synapse Analytics アクティビティ ログでユーザー データ マスクが自動的にオンになります。
TDE を無効にしても、Azure Synapse Analytics アクティビティ ログのユーザー データ マスクには影響しません。
sp_pdw_log_user_data_masking手順を使用して、Azure Synapse Analytics アクティビティ ログでユーザー データ マスクを明示的に有効にすることができます。
アクセス許可
sysadmin固定データベース ロール、または CONTROL SERVER 権限のメンバーシップが必要です。
例
次の例では、アプライアンスで TDE ログ ユーザー データ マスクを有効にします。
EXEC sp_pdw_log_user_data_masking 1;
参照
sp_pdw_database_encryption (Azure Synapse Analytics)
sp_pdw_database_encryption_regenerate_system_keys (Azure Synapse Analytics)