Foundry 사용자는 토큰, API 키 및 기타 인증 자료를 보호하는 것이 중요합니다. 토큰이 외부로 유출되거나(의도치 않게 노출된 경우) 악의적인 행위자에 의해 손상되면, 승인되지 않은 제3자가 손상된 토큰의 사용자 컨텍스트로 Foundry에 접근할 수 있습니다.
Foundry는 여러 유형의 토큰을 사용합니다:
사용자 생성 토큰(또는 개인 액세스 토큰)은 플랫폼의 모든 애플리케이션에 사용자 수준의 접근을 부여하는 API 키입니다. 사용자는 토큰 생성 시 유효 기간(TTL)을 지정할 수 있습니다. TTL은 액세스 토큰이 사용 가능한 최대 시간입니다. TTL이 만료되면 토큰은 폐기됩니다.
사용자 생성 토큰의 보안 속성 중 하나는 다른 사용자 생성 토큰을 생성할 수 없다는 것입니다. 새로운 사용자 생성 토큰을 생성하려면 세션 토큰만 사용할 수 있습니다. 이 유형의 토큰을 생성하는 방법을 확인 해주세요.
세션 토큰은 브라우저에 쿠키(PALANTIR_TOKEN)로 저장되는 일시적이고 시간 제한된 토큰입니다. 세션 토큰이 생성되면, 토큰은 자동으로 유효 기간(TTL)이 할당됩니다. 기본 TTL은 16시간입니다. TTL이 만료되면 토큰은 폐기됩니다.
데이터 커넥터 코디네이터 토큰은 Foundry 설치와 데이터 커넥터 에이전트를 인증하는 데 사용됩니다. 기본적으로 이 토큰은 {BOOTVISOR_DIRECTORY}/var/data/coordinator-token.json에 저장됩니다. 데이터 커넥터 코디네이터 토큰은 에이전트 특정 접근을 플랫폼에 부여합니다.
새로운 데이터 커넥터가 생성되면, 시간 제한된 토큰이 배포 타르볼에 동적으로 삽입됩니다. 이 타르볼은 인증 자료를 포함하고 있으므로 민감하게 취급해야 합니다.
데이터 커넥터 에이전트가 다른 데이터 소스(예: SQL 데이터베이스)에 대한 자격 증명으로 구성된 경우, 추가 자격 증명 자료가 에이전트 내에 캐시되거나 로컬로 저장될 수 있습니다.
토큰 및 API 키가 손상되거나 악용되지 않도록 하기 위해 다음과 같은 모범 사례와 행동을 권장합니다:
토큰이 노출되거나 승인되지 않은 시스템에서 접근 가능하게 된 경우, 예를 들어 공개적으로 접근 가능한 저장소에 실수로 게시된 경우, 이를 "유출"이라고 합니다. 토큰 유출은 정보 보안 사고로 취급되어야 합니다. 토큰을 비활성화하기 위한 즉각적인 조치를 취하고, 정보 보안 팀에 문제를 알리십시오. 다양한 유형의 토큰을 비활성화하는 단계는 아래에 나와 있습니다.
Foundry 사용자 인터페이스에서 사용자 생성 토큰을 폐기할 수 있습니다. 사용자 생성 토큰 문서에서 방법을 확인 해주세요.
세션 토큰을 폐기하려면, 단순히 Foundry 인스턴스에서 로그아웃하십시오.
Palantir의 정보 보안 팀은 Github.com ↗의 소스 컨트롤에서 유출된 토큰을 식별하고 폐기하려는 자동화된 서비스를 운영합니다. GitHub의 공개 저장소에 토큰이 유출되면, GitHub 토큰 폐기 서비스에 통보되며 자동으로 토큰을 대신 폐기하려고 시도합니다.
GitHub 토큰 폐기 서비스는 이 폐기가 발생할 경우 귀하에게 알릴 수 없습니다. 또한, 귀하의 Foundry 설치가 서비스에서 네트워크 접근이 불가능한 경우, 서비스는 자동으로 토큰을 폐기할 수 없습니다.