Documentation
문서 검색
karat

+

K

API 참조 ↗
보안시작하기운영 애플리케이션 보안

본 번역은 검증되지 않았습니다. AIP를 통해 영문원문으로부터 번역되었습니다.

운영 애플리케이션 보안

온톨로지 리소스 메타데이터에 대한 권한 모델이 데이터소스 기반 권한에서 온톨로지 역할로 변경되고 있습니다. 온톨로지 역할로의 마이그레이션에 대한 문서는 마이그레이션을 진행하는 방법에 대한 단계별 가이드를 제공합니다. 온톨로지 역할은 아직 모든 고객에게 일반적으로 제공되지 않습니다. 특정 Foundry 설치에 대한 정보는 Palantir 담당 팀에 문의하세요.

데이터 기반을 구축한 후, 그 위에 온톨로지와 Flight Alert Inbox 애플리케이션을 구축할 수 있습니다. 목표는 운영 사용자에게 가치 있는 워크플로를 제공하면서 보안을 명확하고 유지 관리하기 쉽게 만드는 것입니다.

오브젝트 데이터는 데이터셋 권한을 상속합니다

기반 데이터가 이미 변환된 상태에서, 온톨로지에 Flight, Flight Alert, Delay, Aircraft 네 개의 오브젝트를 생성할 수 있습니다. 이를 위해 새로운 오브젝트 유형 생성하고 각 오브젝트에 대해 이미 구축한 기반 데이터셋을 선택하세요. 이 과정에서 데이터셋의 열을 새 오브젝트 유형의 속성으로 매핑하게 됩니다. 기반 데이터셋의 각 열은 새 오브젝트 유형의 속성이 되고, 각 행은 오브젝트 유형의 인스턴스가 됩니다. 따라서 오브젝트 유형 내의 데이터는 기반 데이터셋의 권한에 의해 보호됩니다.

Aircraft 오브젝트의 경우, 데이터는 /Sky Industries/Aviation [Ontology]/aircraft 데이터셋의 권한에 의해 보호됩니다. 따라서 Aviation [Ontology] - Viewer 그룹의 사용자는 Aviation [Ontology] 프로젝트에서 Aircraft 오브젝트의 데이터를 볼 수 있습니다.

Ontology view

필요한 오브젝트를 생성한 후, 오브젝트 간의 관계를 기반으로 필요한 링크 유형을 생성할 수 있습니다. 아래는 우리의 온톨로지입니다.

Object links in Ontology

전체 워크플로를 지원하기 위해 일부 오브젝트에 대해 writeback을 추가하고 싶을 것입니다. Writeback은 기존 속성 값을 편집할 수 있게 해주며(예: 잘못된 값을 수정하거나 상태 속성을 업데이트하기 위해), 더 중요하게는 새로운 데이터와 결정을 캡처할 수 있게 하여 시간이 지남에 따라 가치를 증대시킵니다.

이를 위해 에디터 섹션에서 간단히 writeback 데이터셋을 생성하세요. 편집된 데이터셋을 기반 데이터셋과 동일한 온톨로지 프로젝트(예: Aviation [Ontology])에 넣는 것이 좋습니다. 이렇게 하면 오브젝트의 권한이 일관됩니다. 오브젝트를 편집하는 권장 방법은 액션을 사용하는 것이며, 이는 APIs를 통해 호출할 수도 있습니다. 아래는 writeback 데이터셋이 포함된 Flight Alert 오브젝트입니다.

Flight alert object with writeback dataset

사용자에게 온톨로지 데이터에 대한 접근 권한을 부여하는 것은 데이터 기반에서 생성하고 적용한 그룹에 의해 관리됩니다. 예를 들어, 새로운 사용자를 Aviation [Ontology] - Viewer 그룹에 추가하기만 하면 Flight, Flight Alert, Delay, Aircraft 네 개의 오브젝트에 대한 데이터를 볼 수 있습니다.

온톨로지 편집하기

온톨로지에서 특정 오브젝트 유형의 구성을 편집할 수 있는 사용자를 온톨로지 역할을 사용하여 제어할 수 있습니다. 온톨로지 역할은 각 온톨로지 리소스(오브젝트 유형, 링크 유형, 액션 유형)에 직접 역할을 적용할 수 있게 해줍니다. 예를 들어, 사용자가 온톨로지에서 Flight Alert 오브젝트를 편집하기 위해서는 Flight Alert 오브젝트에 대한 Ontology Editor 역할만 필요하며, 기반 데이터소스에 대한 권한은 필요하지 않습니다. 이러한 권한은 각 오브젝트 유형의 보안 섹션에서 관리할 수 있습니다.

사용자 및/또는 그룹에게 오브젝트 유형에 대한 역할을 부여하는 것은 오브젝트 유형 정의 및 메타데이터에 대한 권한만 부여하며, 데이터 자체에 대한 권한은 부여하지 않습니다. 데이터에 대한 권한은 기반 데이터소스의 권한에 의해 관리됩니다.

Ontology editor role

오브젝트 인스턴스 제한하기

나중에 Passenger 데이터를 통합하고 Passenger 데이터 파이프라인을 구축하기로 결정했습니다.

준수 이유로, 운영 사용자가 자신이 있는 국가의 승객만 볼 수 있도록 하고 싶을 수 있습니다(미국 사용자는 미국 승객만 볼 수 있고, 독일 사용자는 독일 승객만 볼 수 있음). 오브젝트 유형이 데이터셋에 의해 지원되기 때문에, 권한은 데이터셋 전체에 묶여 있습니다. 개별 행에 대한 권한을 제한하려면, 오브젝트 유형을 단일 데이터셋의 행 권한이 있는 Restricted View로 지원해야 합니다.

Restricted View를 생성할 때 다음의 사전 작업을 수행해야 합니다:

  1. 모든 관리 사용자가 글로벌 Passenger 데이터에 접근할 수 있도록 passenger-data-global-access라는 글로벌 그룹을 생성합니다.
  2. 사용자가 필요한 지리적 사용자 속성(예: location:country - US)을 가지고 있는지 확인합니다.
  3. **Customer Information [Restricted]**라는 Restricted View 프로젝트를 생성하여, 현재 및 미래의 고객 정보와 관련된 모든 Restricted View를 포함합니다. 이를 통해 Restricted View에 대한 접근 권한을 입력 데이터셋과 별도로 설정할 수 있습니다.

사용자 속성은 사용자 관리 UI에서 수동으로 구성하거나, SAML 설정에서 자동으로 매핑할 수 있습니다.

위의 사전 작업을 완료한 후, Restricted View를 생성할 수 있습니다. 입력 데이터셋 리소스로 이동하여 Create restricted view를 선택하세요.

Create restricted view

Restricted View 마법사가 모든 단계를 안내합니다. 앞서 생성한 Customer Information [Restricted] 프로젝트에 Restricted View를 저장하세요.

Create restricted view step 1

Create restricted view step 2

정책은 Restricted View의 핵심 요소로, 사용자가 볼 수 있는 행을 결정합니다. 이 예에서는 다음을 원할 것입니다:

  • 사용자의 속성 location:country가 데이터셋의 country 열의 값과 일치하는 행만 표시하거나,
  • 사용자가 passenger-data-global-access 그룹의 멤버인 경우 모든 행을 표시합니다.

아래는 특정 정책이 어떻게 보일지에 대한 예입니다:

Configure a policy

마법사가 완료되면 Restricted View가 빌드됩니다. 빌드가 완료되면, Passenger 오브젝트를 지원하기 위해 Restricted View를 사용할 수 있습니다. 오브젝트 유형은 자동으로 Restricted View 정책을 상속받아 사용자가 볼 수 있는 오브젝트 인스턴스를 제한합니다.

Object type with restricted view

데이터 카탈로그에 데이터 추가하기

데이터 카탈로그는 Foundry에서 큐레이션된 콘텐츠의 탐색 가능한 보기입니다. Foundry의 모든 데이터셋은 올바른 권한이 있는 경우 분석할 수 있지만, 데이터 카탈로그의 데이터셋은 사용자에게 가장 유용하거나 관련성이 높은 것으로 식별되어 쉽게 접근할 수 있도록 수집됩니다.

온톨로지를 구축한 후, 모든 온톨로지 데이터셋을 데이터 카탈로그에 추가하는 것이 좋습니다. 특히, 온톨로지 writeback 데이터셋은 오브젝트 데이터의 정식 출처이므로 데이터 카탈로그에 추가해야 합니다.

사용자에게 애플리케이션 접근 권한 부여하기

Flight, Flight Alert, Delay, Aircraft, Passenger 오브젝트가 구축된 후, Workshop 문서를 따라 운영 센터를 위한 Flight Alert Inbox 애플리케이션을 구축했습니다. Flight Alert Inbox 애플리케이션을 편집할 수 있는 사람과 온톨로지 데이터를 편집할 수 있는 사람을 분리하고 싶기 때문에 Flight Alert Inbox 애플리케이션을 위한 새로운 프로젝트를 생성할 것입니다. 새로운 프로젝트는 Flight Alert Inbox라고 불릴 것입니다.

이 프로젝트에 접근하려면 사용자가 모든 접근 요구 사항을 충족해야 합니다. 프로젝트와 관련된 마킹이 없으므로, 사용자는 역할이 있어야 하며 Sky Industries 그룹의 멤버여야 합니다.

Access requirements

운영 소비자는 Aviation [Ontology] - Viewer 그룹에 추가되어 Flight, Flight Alert, Delay, Aircraft, Passenger 데이터를 보고 Flight Alert Inbox - Viewer 그룹에 추가되어 Flight Alert Inbox 애플리케이션을 볼 수 있습니다.

애플리케이션 개발자는 Aviation [Ontology] - Viewer 그룹에 추가되어 Flight, Flight Alert, Delay, Aircraft, Passenger 데이터를 보고 Flight Alert Inbox - Editor 그룹에 추가되어 Flight Alert Inbox 애플리케이션을 편집할 수 있습니다.

파이프라인 개발자는 Aviation [Ontology] - Editor 그룹에 추가되어 Flight, Flight Alert, Delay, Aircraft, Passenger 데이터셋을 편집하고 Flight Alert Inbox - Viewer에 추가되어 변경 사항의 다운스트림 워크플로를 볼 수 있습니다.

Granting roles