加密

加密對應備份存放區檔案不會影響存取 In-Memory 資料。加密備份存放區檔案的讀取或寫入速度不像未加密備份存放區檔案一樣快。
每個中繼資料繫結備份存放區都會在中繼資料內呈現兩次：
- 其中一個呈現是指派為特定 LASR 資料館備份存放區的「傳統資料館」。
- 另一個呈現是實體備份存放區繫結的「安全資料館」。
若要讀取或寫入加密備份存放區，您必須同時擁有傳統資料館和安全資料館的足夠中繼資料層權限。
系統不會提示您輸入複雜密碼 (加密金鑰值) 和密碼。初始匯入安全資料館之後，您必須在目標環境中重新套用複雜密碼和密碼 (或多個密碼)。請參閱 SAS Intelligence Platform: System Administration Guide 中的 Promoting Secured Data Folders, Secured Library Objects, and Secured Table Objects。
若要使用 AES，則 SAS/SECURE 必須安裝和可以使用。請參閱 Encryption in SAS 中的 SAS/SECURE。

加密備份存放區資料館

識別或建立 LASR 資料館的備份存放區，而 LASR 資料館支援啟動時重新載入而且將包含敏感資料。請參閱如何啟用啟動時重新載入。

附註：備份存放區是註冊於中繼資料並指派給 LASR 資料館作為其資料提供者資料館的主機目錄。
以具備下列權限的使用者身分登入 SAS Management Console：
- 目標目錄的主機層控制：
  
  在 Windows 上，您必須擁有目錄的完整控制權。
  
  在 UNIX 上，您必須是目錄的所有者。
- 中繼資料層存取安全資料館資料夾。SAS 管理員群組通常具有必要存取權。
在 [資料夾] 標籤上，瀏覽 [系統][安全資料館]，並按一下滑鼠右鍵，然後選取 [新增][安全資料館]。

附註：替代方式是先建立安全資料館資料夾，然後在資料夾內建立新的安全資料館。如果您是建立多個安全資料館，則建立一或多個資料夾，讓每個安全資料館繼承其父系資料夾的有效權限，通常會較有效率。每個安全表格都會繼承其父系安全資料館的有效權限。請參閱物件建立、位置和繼承。
在一般頁面上輸入名稱和描述。按 [下一步]。
在連線資料頁面上提供如下資訊：
1. 選取 SAS Application Server。在 [資料館路徑] 中按一下 [瀏覽]，然後選取目標目錄。
2. 輸入並確認資料館密碼。
  
  注意：
  
  如果您遺失資料館密碼，則無法解除繫結或修改資料館。
  
  記錄您輸入的密碼 (或多個密碼)。
  
  附註：密碼必須是有效的 SAS 名稱(其開頭必須是字母或底線。它可以包括字母、底線和數字。它不區分大小寫。它不可以超過 8 個字元)。如果您需要建立較長的複合密碼，請選取 [指定多重密碼] 核取方塊，然後指定多重密碼。
3. 選取 [需要加密] 核取方塊和其 [是] 選項按鈕。使用此設定，會加密下列檔案：
  
  已存在於目錄中的任何未加密表格。
  
  在參與「啟動時重新載入」的匯入期間，稍後增加到目錄的表格。
  
  直接透過 SAS 程式碼稍後增加到目錄的表格(請不要使用主機複製公用程式將表格增加到目錄)。
4. 選取 [加密類型] 核取方塊和其 [AES] 選項按鈕。
5. 將第一個 [加密金鑰] 欄位空白。建立空目錄或只包含未加密檔案目錄的安全資料館時，此欄位不適用。
  
  在 [新增加密金鑰] 和 [確認加密金鑰] 欄位中輸入值。下面是部分詳細資料：
  
  記錄您輸入的值。
  
  您輸入的值會作為複雜密碼，建立 AES 加密目標表格使用的實際金鑰。
  
  您輸入的值在儲存時會自動括在引號內，因此，值區分大小寫(輸入值時，請不要包括引號)。若需要更多資訊，請參閱SAS Data Set Options: Reference中的 ENCRYPTKEY=。
6. 按一下 [完成]。系統提示時，請按一下 [是] 檢視日誌。
檢視和調整新安全資料館的中繼資料層存取。
1. 在新安全資料館上按一下滑鼠右鍵，然後選取 [屬性]。
  
  附註：如果您要管理資料夾層級的權限，請在適當安全資料館資料夾上按一下滑鼠右鍵。
2. 在 [授權] 標籤上，使用下列其中一個技巧：
  
  允許所有權限給廣泛群組 (例如：PUBLIC、SASUSERS 或 Visual Analytics Users)。這個簡單方式只會使用安全資料館提供磁碟上加密。
  
  使用更有選擇性和有限的方式允許權限。此進階方式使用安全資料館加強執行授權限制和提供磁碟加密。請參閱中繼資料繫結資料權限。範例如下：
  
  若要匯入參與「啟動時重新載入」的表格，使用者必須擁有對應安全資料館物件的建立表格權限。
  
  附註：如果同名的表格已存在於中繼資料繫結備份存放區中，則使用者也必須擁有對應安全表格物件的更改表格權限。
  
  若要重新載入表格 (使用「啟動時重新載入」)，觸發 SAS LASR Analytic Server 啟動的使用者必須擁有對應安全表格物件的讀取中繼資料和選取權限。
若要確認結果：
- 在資料產生器、檔案總管或設計工具中，匯入參與表格。例如：將本機檔案匯入到支援從 AES 加密備份存放區「啟動時重新載入」的 LASR 資料館。
- 在管理員中，停止後啟動與 LASR 資料館關聯的 SAS LASR Analytic Server，而 LASR 資料館支援從 AES 加密備份存放區「啟動時重新載入」。
- 在 SAS 程式碼中，對於備份存放區資料館執行 CONTENTS 程序。此程序輸出會指出是否加密表格。
- 若需要進一步確認，請參閱驗證中繼資料繫結資料館。

其他資訊

此主題的用途是幫助您開始。若需要替代方法和相關的工作，請參閱 SAS Guide to Metadata-Bound Libraries 中的 Implementation of Metadata-Bound Libraries。

例如：

若要更新複雜密碼，請參閱變更中繼資料繫結資料館加密選項。
若需要移除加密，請參閱繫結中繼資料資料館。

SASHDAT 檔案的磁碟上加密

概觀

若要提高 SASHDAT 檔案的保護，請啟用使用 SASHDAT 引擎資料館上磁碟的 AES 加密。

注意：

加密 SASHDAT 檔案，可能會大幅影響資料可用性和記憶體耗用。

設定加密之前，請檢視下列各節。

重點

加密對應 SASHDAT 檔案不會影響存取 In-Memory 資料。加密 SASHDAT 檔案的讀取或寫入速度，不像未加密 SASHDAT 檔案一樣快。
只有 SAS LASR Authorization Service (也稱為簽名者) 所授權的要求才能使用加密 SASHDAT 檔案。對於授權要求，授權服務會從中繼資料擷取加密複雜密碼，並將它提供給 SASHDAT 引擎。這可以讓 SASHDAT 引擎視需要加密和取消加密資料。下面是相關需求：
- 關聯資料伺服器的連線物件必須啟用授權服務。對於 SAS Visual Analytics，加密 SASHDAT 檔案固定由簽名者管理。
- 在加密 SASHDAT 資料館中，增加、刪除或載入關聯資料的使用者必須擁有讀取權限。
- 在環境內，每個 Hadoop 伺服器都必須具有唯一的主機名稱。在 Hadoop 伺服器內，每個 SASHDAT 資料館都必須具有唯一的主機路徑。
加密 SASHDAT 檔案在載入時固定會使用未對應的記憶體。記憶體對應不適用在從加密 SASHDAT 檔案載入的 LASR 表格。
加密 SASHDAT 檔案在載入時固定會解除壓縮。

附註：您可以使用壓縮來保留磁碟空間供加密 SASHDAT 檔案使用。但是，壓縮加密 SASHDAT 檔案不會保留記憶體。加密檔案在載入之前必須取消加密 - 取消加密需要解除壓縮資料。
您對 SASHDAT 加密設定進行的變更不會影響現有 SASHDAT 檔案。
如果您想要集中處理 SASHDAT 加密設定，請指定伺服器層級的加密設定，然後設定每個關聯的資料館繼承其設定。
系統不會提示您輸入複雜密碼 (加密金鑰值)。初始匯入加密 SASHDAT 資料館或伺服器之後，您必須使用 SAS Management Console，在目標環境中重新套用複雜密碼。

附註：如果來源和目標環境都參考相同的實體資料執行個體，則您不需要複製和取代該資料 (因為該資料保持加密狀態)。
若要加密 SASHDAT 檔案，則必須符合下列需求：
- SAS TKGrid Encryption Extension 必須安裝和可以使用。請參閱 SAS High-Performance Analytics Infrastructure: Installation and Configuration Guide。
- 若要使用 AES，則 SAS/SECURE 必須安裝和可以使用。請參閱 Encryption in SAS 中的 SAS/SECURE。

保護加密設定

若要保護 SASHDAT 加密設定，請將寫入中繼資料存取權限制為 SASHDAT 資料館。

需要限制寫入中繼資料存取權，因為擁有加密 SASHDAT 資料館寫入中繼資料存取權的使用者可以修改其 VA.Encryption.Enabled 延伸特性。此特性專用於內部。沒有人應該直接設定、修改或刪除 VA.Encryption.Enabled 特性。而是，不受限制的使用者可以管理資料館 [選項] 標籤中的設定，如下所示。

附註：限制寫入中繼資料存取權會有副作用。沒有資料館寫入中繼資料存取權的使用者無法在此資料館中註冊或刪除表格。

例如：為求最大保護，您可以在加密 SASHDAT 資料館的 [授權] 標籤上，將明確拒絕寫入中繼資料授與 PUBLIC 群組。使用該設定，只有不受限制的使用者才擁有資料館的寫入中繼資料存取權。增加或移除資料館中 SASHDAT 表格中繼資料的動作必須由不受限制的使用者執行。

加密 SASHDAT 資料館

識別參考空白目標目錄的 SASHDAT 資料館。

附註：這些指示適用在現有的 SASHDAT 資料館。若要建立使用 SASHDAT 引擎的新資料館，請參閱 SAS Intelligence Platform: Data Administration Guide。
以不受限制的使用者身分登入 SAS Management Console (例如：sasadm@saspw)。
在資料館上設定加密選項和調整中繼資料層權限。
1. 在 [外掛程式] 標籤上，依序展開資料館管理員節點和資料館節點。在目標資料館上按一下滑鼠右鍵，然後選取 [屬性]。
2. 在 [選項] 標籤上，進行下列變更：
  
  在 [啟用加密] 欄位中選取 [是] 選項按鈕。
  
  提示
  若要改為讓資料館繼承關聯資料伺服器的加密設定，請選取 [繼承自伺服器] 選項按鈕。然後，確認已在資料伺服器的 [選項] 標籤上啟用加密。繼承的設定為動態的。伺服器層級變更會影響設定為繼承伺服器層級設定的所有關聯資料館。
  
  在 [新增加密金鑰] 和 [確認加密金鑰] 欄位中輸入值。
  
  注意：
  
  如果遺失複雜密碼，則會遺失加密資料的所有存取權，並且無法挽回。
  
  記錄您輸入的複雜密碼。
  
  下面是部分詳細資料：
  
  您輸入的值會作為複雜密碼，建立 AES 加密目標表格使用的實際金鑰。
  
  您輸入的值在儲存時會自動括在引號內，因此，值區分大小寫(輸入值時，請不要包括引號)。若需要更多資訊，請參閱SAS Data Set Options: Reference中的 ENCRYPTKEY=。
3. 在 [授權] 標籤上，允許讀取權限給將資料增加到加密資料館、從加密資料館載入資料，或刪除加密資料館中的資料的使用者。在大部分的情況下，允許讀取權限給下列群組即已足夠：
  
  Visual Analytics 資料管理員
  
  Visual Data Builder 管理員
  
  附註：對於未加密 SASHDAT 資料館，不需要或未強制執行讀取權限。
  
  附註：您可以授與父系資料夾的讀取權限，而不是直接授與資料館的讀取權限。
4. 在 [授權] 標籤上，確定有限制寫入中繼資料存取權。請參閱保護加密設定。
5. 按一下 [確定]。
在關聯伺服器的連線物件上，啟用 LASR 授權服務。

注意：

如果沒有啟用 LASR 授權服務，則不會加密增加的表格，而且加密表格無法使用。
1. 展開 [外掛程式] 標籤上的伺服器管理員，然後選取目標資料伺服器。
2. 在右側窗格中，於伺服器的連線物件上按一下滑鼠右鍵，然後選取 [屬性]。
3. 在 [選項] 標籤上，確定已選取 [使用 LASR 授權服務] 核取方塊。
若要確認結果：
- 將表格增加到 SASHDAT 資料館。
- 將表格從 SASHDAT 資料館載入到 SAS LASR Analytic Server。
- 對於共用的 HDFS 中 SASHDAT 檔案，在管理員的 [HDFS] 標籤上檢查每個表格的加密屬性。請參閱關於 HDFS 標籤。
- 在 SAS 程式碼中，對於 SASHDAT 資料館執行 CONTENTS 程序。此程序輸出會指出是否加密表格。

其他資訊

若要更新複雜密碼：

如果目標目錄目前包含表格，請將那些表格移至替代位置。

提示
其中一種方式是將現有表格載入記憶體，然後刪除實體表格和對應中繼資料定義。

注意：

如果您刪除表格中繼資料，則必須手動修復或重新建立任何受影響的物件 (例如：明確和列層級權限)。
以不受限制的使用者身分登入 SAS Management Console (例如：sasadm@saspw)。在適當伺服器或資料館上的 [新增加密金鑰] 和 [確認加密金鑰] 欄位中輸入新值。
如果您已在步驟 1 中移動表格，請將它們移回目標目錄。表格在寫回目標目錄時，會使用新的加密金鑰 (從更新過的複雜密碼產生) 進行加密。

提示
如果您已在步驟 1 中從共用的 HDFS 或 NFS-mounted MapR 載入表格，則可以使用資料產生器將表格儲存回 HDFS。

若需要更多資訊，請參閱SAS LASR Analytic Server: Reference Guide中的 Data Encryption。