Object Explorer에서 특정 오브젝트 유형의 특정 오브젝트에 대한 접근을 제공하려면 Ontology Manager에서 Restricted View를 백업 데이터셋으로 설정하세요. Restricted View로 지원되는 오브젝트 유형을 성공적으로 구성하고 저장하려면 Restricted View의 입력 데이터셋에 대한 보기 접근 권한이 필요합니다.
Restricted View를 생성하고 편집하려면 Roles 인터페이스의 Granular Permissions Administration 워크플로 내에서 부여된 다음 기준을 충족해야 합니다. Roles 인터페이스에 접근하려면 설정으로 이동하여 사이드바의 플랫폼 설정 섹션에서 Roles를 선택하세요. Roles 인터페이스에 접근하려면 특별한 플랫폼 권한이 필요합니다. 이 수준의 접근이 필요한 경우 Palantir 담당자에게 문의하세요.
| 역할 | 설명 |
|---|---|
| restricted view 리소스 생성 | 폴더/프로젝트에 필요합니다. |
| 데이터셋에 대한 restricted view 생성 | Restricted View의 상류 데이터셋에 필요합니다. |
| 리소스 세부 정책 편집 | 리소스에 대한 세부 정책을 편집합니다. |
| 리소스 세부 정책 읽기 | 리소스에 대한 세부 정책을 읽습니다. |
| restricted view 리소스 편집 | Restricted View(정책, 마킹 가정)에 대한 편집이 필요합니다. |
| restricted view 리소스 보기 | Restricted View의 속성(정책, 마킹 가정)을 봅니다. |
| restricted view 트랜잭션 보기 | 역사적 트랜잭션 메타데이터(정책, 마킹 가정)를 봅니다. |
Restricted View를 빌드하려면 입력 데이터셋에 대한 보기 접근 권한과 결과물 Restricted View에 대한 편집 권한이 필요합니다.
Contour 분석에서 Restricted View를 사용하려면 restricted view 읽기 권한이 필요합니다.
Restricted View로 지원되는 오브젝트 유형을 구성하고 저장하려면 다음이 필요합니다:
Object Explorer에서 데이터셋으로 지원되는 오브젝트에 세부 정책을 사용하려면 이 유형의 오브젝트를 보려면 온톨로지 데이터소스 보기 권한이 필요합니다.
Restricted View 정책은 다음 비교 유형을 지원합니다:
정책은 사용자 속성, 그룹 멤버십 및 데이터 값을 채울 수 있는 템플릿으로 정의됩니다:
세부 권한이 부여된 리소스를 사용하는 애플리케이션이 데이터를 요청할 때(예: Contour), 정책 템플릿은 사용자의 속성과 권한에 특정한 행만 반환하는 쿼리로 변환됩니다.
단일 정책은 최대 10개의 비교를 가질 수 있습니다. Restricted View 정책은 정책이 필드에 대해 컬렉션이나 상수를 비교하는지 여부에 따라 각 비교를 가중치로 평가합니다:
예를 들어, 기본 정책에서:
현재 정책 구성 제한은 특정 정책 설계에 최소한의 제약을 가하도록 설계되었습니다; 이는 가중치 제한을 초과할 수 있는 정책에 대한 보호를 거의 제공하지 않습니다.
정책을 구성할 때 가중치 제한 오류가 발생하면 Palantir 담당자에게 도움을 요청하세요.
정책 변경 사항은 Restricted View에서 새로운 트랜잭션으로 기록되지만, 일부 사용자는 정책 변경 관리에 대한 추가 제어가 필요할 수 있습니다.
Restricted View 정책을 관리할 때 두 가지 목표를 고려하세요:
Restricted View 정책은 이를 지원하는 데이터에 대한 일련의 가정을 도입합니다. 따라서 Restricted View 정책은 이러한 가정이 참인 한 데이터에 대한 접근을 올바르게 제어할 수 있습니다. 유즈케이스가 이러한 가정이 유지되고 가정이 깨질 경우 데이터가 안전하게 유지되도록 하는 기계 장치를 구축해야 하는지 고려하세요.
이 문제를 해결하는 한 가지 방법은 Restricted View 바로 상류의 파이프라인에 데이터에 대한 가정을 확인하는 단계를 도입하는 것입니다. 이러한 검사는 다음을 포함할 수 있습니다:
event_occurred_in_state가 NY 값을 가질 때 데이터셋의 다른 열인 state_name은 New York 값을 가져야 한다고 가정합니다. 이 데이터를 사용자에게 표시하기 전에 Transform이 이것이 참인지 확인하도록 하세요.Restricted View는 데이터셋과 유사하지만 몇 가지 주요 차이점이 있습니다. Restricted View의 내용은 두 가지 동적 요소를 결합합니다: (1) 정책 정의와 (2) 특정 시점에 Restricted View에 접근하는 특정 사용자의 속성과 그룹 멤버십. 정책 정의 기록은 Restricted View의 트랜잭션 기록에 유지되지만, 트랜잭션 기록이 모든 사용자 속성과 그룹 멤버십의 완전한 기록을 유지할 수는 없습니다.
Restricted View는 개별 사용자가 파이프라인을 분석적으로 소비하는 것을 단순화하도록 설계되었으며 데이터 변환의 입력으로 사용할 수 없습니다. Foundry에서 구축된 파이프라인은 실행하는 특정 사용자와 무관하게 재현 가능해야 하며, 이는 사용자 속성에 따라 행 수준 권한을 제공하는 Restricted View의 특성과 호환되지 않습니다.
다음 목록은 Restricted View의 현재 제한 사항을 요약합니다:
| 작업 | Restricted View에서 지원됩니까? | 설명 |
|---|---|---|
| 읽기 | 예 | Restricted View는 오브젝트 또는 Contour에서 읽을 수 있습니다 |
| 즉석 연산 | 예 | Restricted View를 사용하면 오브젝트(Quiver 또는 Functions 등) 또는 데이터셋(Contour와 같은 도구)에서 접근 가능한 행을 통해 연산을 수행할 수 있습니다 |
| writeback | 예 | Restricted View에 기반한 오브젝트는 정의된 writeback을 가질 수 있습니다 |
| 내보내기 | 예 | Restricted View의 데이터는 Quiver, Contour 및 기타 애플리케이션을 통해 내보낼 수 있습니다 |
| 배치 처리 | 아니요 | 배치 처리는 Restricted View에서 지원되지 않습니다. 다른 사용자가 다른 데이터 하위 집합을 보기 때문입니다 |
| 결과물을 Foundry 데이터셋으로 저장 | 아니요 | Restricted View에 수행된 변환에 기반한 결과물을 저장하는 것은 지원되지 않습니다; Spark는 행 수준 권한을 본래 지원하지 않기 때문에 후속 트랜잭션이 제한의 보장을 유지하도록 강제할 방법이 없습니다 |
| Postgres로 동기화 | 아니요 | Restricted View를 Postgres로 동기화하는 것은 지원되지 않습니다. 사용자 속성에 의존하는 행 수준 권한이 유지되지 않기 때문입니다 |