Manejo privado de datos
El manejo privado de datos es una capacidad en Alteryx One Platform que te permite almacenar tus datos y ejecutar tareas de procesamiento de datos en tu propia infraestructura de nube. El manejo privado de datos proporciona más seguridad y control para aquellos con datos confidenciales. También se traduce en un rendimiento mejorado y en una reducción de los costos de salida, ya que se mueve el procesamiento en Alteryx One al lado de tus datos.
Aviso
Nunca elimines los recursos aprovisionados para el procesamiento privado de datos.
Descripción general
En el nivel más alto, Alteryx One diferencia entre los datos de clientes y los metadatos de la aplicación.
Los datos de clientes te pertenecen. Se trata de cualquier dato de una de tus fuentes de datos y cualquier dato derivado de ella. Esto incluye los registros de tus bases de datos, hojas de cálculo, unidades compartidas y almacenes de datos que deseas unir y fusionar, preparar y combinar, analizar y entrenar modelos. También incluye salidas, informes y conjuntos de datos creados a partir de esos registros.
Los metadatos de la aplicación son todo lo demás. Estos son los datos que Alteryx One necesita para realizar las tareas que le solicitas. Esto incluye el diseño y la configuración del espacio de trabajo, el inicio de sesión del usuario, los roles y permisos, los activos compartidos, los nombres de los flujos de trabajo y la configuración de las herramientas. Algunos ejemplos específicos incluyen los siguientes:
Configuraciones y diseños de herramientas de Designer Cloud.
Auto Insights Informa las entradas de texto y los parámetros analíticos (valores de filtro, nombres de columnas).
Contenido del menú desplegable de App Builder.
Contenido generado por el usuario, como comentarios en Magic Reports.
Alteryx One utiliza una arquitectura de plano dividido y ha separado la responsabilidad de estos dos tipos de datos en planos diferentes para ofrecer más flexibilidad a los clientes. Estos dos planos son el plano de control y el plano de datos.
Plano | Descripción |
|---|---|
Plano de control | El plano de control potencia la experiencia de tiempo de diseño del usuario, actúa como centro de comandos y control, y almacena metadatos de la aplicación. |
Plano de datos | El plano de datos es responsable del almacenamiento y procesamiento persistentes de los datos de los clientes. Almacenamiento persistente Alteryx One Platform utiliza almacenes de archivos y datos relacionales para el almacenamiento a largo plazo de datos de clientes. El almacenamiento de archivos se utiliza para:
Almacenamiento relacional
Procesando Alteryx One Platform realiza muchas tareas que entran en la categoría procesamiento, por ejemplo:
|
El manejo privado de datos te permite ejecutar parte o todo el plano de datos en tu propia infraestructura, lo que te brinda opciones sobre dónde se almacenan y procesan los datos. Esto se compone de dos capacidades:
Almacenamiento de archivos privado: utiliza Alteryx One para reemplazar el almacén de archivos Alteryx por tu propio bucket de almacenamiento en la nube. Una vez configurado, todo el almacenamiento persistente de archivos de datos del cliente se realiza en su propio disco. El almacenamiento de archivos privado admite AWS S3, Azure ADLS y Google Cloud Storage.
Procesamiento de datos privado: esta capacidad es conceptualmente similar al almacenamiento privado de archivos, pero se aplica al almacenamiento y procesamiento relacional. Primero, puedes configurar tu VPC y, luego, pedirle a Alteryx One Platform que implemente un entorno de procesamiento de datos completo allí. Una vez configurado, todas las demás actividades del plano de datos anteriores se ejecutan dentro de tu VPC.
Disponibilidad de características:
Característica | Disponibilidad |
|---|---|
Almacenamiento privado de datos |
|
Procesamiento de datos privados |
|
Arquitectura
Cuando configuras el almacenamiento privado de archivos y el procesamiento privado de datos para tu espacio de trabajo, los datos de clientes (los registros de datos de tus fuentes de datos) solo se almacenan en tu infraestructura. Es decir, en tus bucket de almacenamiento en la nube y en sus fuentes de datos. El plano de control de Alteryx One inicia las interacciones con tu almacén de datos privado y el entorno de procesamiento de datos dentro de tu VPC. El entorno de procesamiento de datos también se conecta directamente a tus fuentes de datos para recuperar y enviar datos.
Cuando un usuario tiene una sesión activa, los datos del cliente transitarán el plano de control en su ruta al navegador. También hay flujos de datos en los que los datos de los clientes se procesan en el plano de control. Sin embargo, nunca se almacenan ni almacenan en caché más allá de la duración de una sesión, con una retención máxima de 1 hora. Ejemplos:
En el momento del diseño de Designer Cloud, los datos de muestra se inspeccionan y formatean en el plano de control (para la detección de delimitadores y encabezados, el nombre de columna y la inferencia de tipos, y la capacidad de transformación, por ejemplo).
La ingestión del conjunto de datos de Auto Insights realiza la inferencia de datos y la extracción de metadatos en el plano de control.
Auto Insights realiza el procesamiento posterior de los resultados de la consulta para clasificar, transformar, presentar y presentar datos.
Los correos electrónicos y los informes PDF se generan en el plano de control, y cuando se configura un servidor de correo electrónico, los resúmenes de misión y los archivos PDF de informes se envían a través del servidor configurado.
Los prompts de IA generativa pueden incluir datos del cliente y se generan en el plano de control.
Las respuestas de IA generativa pueden incluir datos de clientes y se analizan y transforman en el plano de control.
Aviso
Descargo de responsabilidad de LLM
Los datos enviados a un LLM están fuera del alcance de este documento. Alteryx no puede controlar cómo se almacenan o procesan los datos una vez que se envían a un LLM. Puedes consultar la documentación del proveedor para obtener información específica sobre cómo manejan los datos inmediatos. Alteryx utiliza Azure OpenAI y Google Gemini para características basadas en IA, como Alteryx Copilot y Playbooks de Auto Insights.
Nota
Una nota en la entrada de texto
Utiliza siempre los conectores proporcionados por Alteryx para conectarte a datos confidenciales. No integres datos confidenciales directamente en tus flujos de trabajo. Por ejemplo, no copies ni pegues registros de datos de clientes en la herramienta Datos de entrada en Designer Cloud. La configuración de la herramienta, incluido el contenido de la herramienta Datos de entrada, se trata como metadatos y no está sujeta a los controles anteriores.
Seguridad de los datos
Alteryx ofrece un documento técnico descargable que abarca el manejo privado de datos, la privacidad y la seguridad en profundidad. Puedes encontrar un enlace a este documento en alteryx.com/trust en la sección Manejo privado de datos.
Para mayor comodidad, estos son algunos aspectos destacados para el cifrado de datos en tránsito y en reposo:
Los datos en tránsito entre el navegador <=> el plano de control, y entre el plano de control <=> el plano de datos, están cifrados con cifrado TLS 1.3.
Alteryx utiliza el cifrado mTLS para las comunicaciones dentro del clúster.
Las credenciales de almacenamiento de archivos y base de datos se almacenan en una base de datos en el plano de control cifrada con cifradores de bloques AES de 256 bits.
El cifrado de sobre se aplica a estas credenciales antes de que se pasen desde el plano de control al plano de datos y estén disponibles para los pods de trabajo como secretos de Kubernetes.
La clave privada utilizada para descifrar las credenciales cifradas se almacena en el administrador de secretos del proveedor de nube en el plano de datos y se monta en el clúster AYX a través del operador de secretos externos.
Las cargas de trabajo acceden a secretos en el administrador de secretos a través de una cuenta de ServiceAccount de Kubernetes.
Seguridad de correo electrónico
De forma predeterminada, los correos electrónicos, como los resúmenes de misión y los archivos PDF de informes, se envían desde no-reply@mail.alteryxcloud.com.
Los administradores de espacio de trabajo pueden configurar un servidor de correo electrónico SMTP personalizado. Una vez configurado, los resúmenes de misión y los archivos PDF de los informes se envían a través de ese servidor.
Por razones de seguridad, los archivos adjuntos generalmente no son compatibles con las aplicaciones de Alteryx One. Sin embargo, Auto Insights es una excepción. Los PDF de informe de Auto Insights pueden incluir archivos adjuntos, siempre que cumplan con los límites de tamaño admitidos.
Actualizar
Una ventaja del software como servicio es que no tienes que preocuparte por las actualizaciones. Alteryx One administra las actualizaciones por ti.
Las actualizaciones de software para servicios de larga duración y tareas efímeras se administran por ti. Cuando se disponga de nuevas versiones del software, se enviarán nuevas imágenes de contenedores a nuestros repositorios de imágenes. Alteryx One Platform recuperará estas nuevas versiones de imagen y comenzará a usarlas sin problemas dentro del clúster sin interrumpir ninguna tarea en ejecución.
Alteryx también administra actualizaciones de infraestructura en tu nombre.
Colección de métricas
Alteryx One utiliza Datadog para recopilar datos de uso de monitoreo de aplicaciones a fin de monitorear y mantener la estabilidad operativa. El agente de Datadog recopila estas métricas:
Métricas de telemetría del clúster de kubernetes, el bucket de almacenamiento, el procesador Spark (cuando está habilitado) y los nodos de cálculo.
Registros personalizados de los servicios en el clúster de procesamiento.
Registros del proveedor de nube (por ejemplo, AWS Cloudwatch y Azure Monitor) para los servicios públicos administrados en la nube utilizados.
Configurar el manejo privado de datos
Hay tres pasos para configurar el manejo privado de datos: configurar el almacenamiento privado de archivos, configurar el procesamiento privado de datos y configurar un servidor de correo electrónico privado.
Almacenamiento privado de archivos
Alteryx Data Store (ADS) es el almacén de archivos de Alteryx. Esta es la ubicación de almacenamiento predeterminada para todos los espacios de trabajo recién creados.
El almacenamiento privado de archivos te permite reemplazar ADS con tu propio almacén de archivos. Cualquier dato guardado en ADS resultará inaccesible después de ejecutar esta acción. Los usuarios finales tendrán la experiencia más fluida si lo configuras antes de que comiencen a utilizar el espacio de trabajo.
El almacenamiento de archivos privado admite AWS S3, Azure ADLS y Google Cloud Storage (GCS) como proveedores de almacenamiento.
Una vez que hayas configurado el almacenamiento privado de archivos en el proveedor de nube de tu elección, puedes continuar configurando el procesamiento privado de archivos en ese mismo proveedor de nube.
Para obtener instrucciones de configuración, consulta una de las siguientes opciones:
Procesamiento de datos privados
El procesamiento de datos privado te permite ejecutar el procesamiento de datos Alteryx dentro de tu propia VPC. Para configurar esta capacidad, debes completar los pasos de configuración para preparar tu VPC para ejecutar el procesamiento de datos de Alteryx. Cada producto de Alteryx One Platform tiene instrucciones de configuración separadas. Puedes ejecutar varios productos en el mismo plano de datos después de completar la configuración de cada producto.
Después de completar la configuración de la VPC, iniciarás sesión en Alteryx One Platform y activarás el procesamiento de datos privado para cualquier solución que desees utilizar en tu espacio de trabajo.
Alteryx recomienda utilizar una cuenta dedicada y una VPC para la mejor seguridad y estabilidad, aunque otras configuraciones son posibles.
Para obtener más información sobre el procesamiento privado de datos, incluido el modelo de responsabilidad compartida, los recursos en la nube necesarios para diferentes aplicaciones, la disponibilidad regional y más, consulta Private Data Processing.
Después de habilitar el procesamiento de datos privado, es posible que se necesiten pasos de configuración adicionales dependiendo de la solución. Por ejemplo, después de haber activado el procesamiento de datos privado para Designer Cloud, tendrás que actualizar tus permisos de almacenamiento privado de datos para permitir que el clúster de procesamiento de datos acceda a tu almacén de datos.
Alteryx recomienda utilizar una cuenta dedicada y una VPC para obtener la mejor seguridad y estabilidad, aunque otras configuraciones son posibles.
Sigue estas guías para configurar el procesamiento de datos privado basado en tu proveedor de nube…
Servidor de correo electrónico privado
La característica de Server de correo electrónico privado permite a los administradores de espacio de trabajo utilizar un servidor SMTP personalizado. Cuando se configura, los resúmenes de misión y los archivos PDF de informes se envían desde la infraestructura de la organización en lugar de la Alteryx Server predeterminada. Consulta Configuración de Server de correo electrónico para obtener instrucciones de configuración.
Limitaciones conocidas
Estas son algunas limitaciones conocidas para el procesamiento privado de datos:
Cada espacio de trabajo se puede conectar a un solo plano de datos.
Algunas aplicaciones de Alteryx One Platform aún no son compatibles con el procesamiento de datos privado y se deshabilitarán en un espacio de trabajo donde el procesamiento de datos privado esté habilitado.
El uso de Túneles SSH con conectores aún no es compatible en un espacio de trabajo con procesamiento de datos privado.
Por razones de seguridad, los archivos adjuntos generalmente no son compatibles con las aplicaciones de Alteryx One. Sin embargo, Auto Insights es una excepción. Los PDF de informe de Auto Insights pueden incluir archivos adjuntos, siempre que cumplan con los límites de tamaño admitidos.
El soporte técnico por correo electrónico actualmente está disponible solo para Plans. Cuando se activan, los resúmenes de misión y los archivos PDF de informes se envían a través del servidor de correo electrónico configurado. El soporte para aplicaciones adicionales estará disponible pronto.