記憶體內資料的存取
SAS LASR Authorization Service
概觀
SAS LASR Authorization Service 與中繼資料授權層共同作業可以管理使用者對於 In-Memory 資料的存取。
下圖說明授權處理:
授權處理
| 1 | 在 SAS Visual Analytics 用戶端中,使用者使用 SAS LASR Analytic Server 執行動作。此範例中的要求是讀取資料。用戶端會將要求傳送到授權服務。
附註: 其他動作範例包含要求分析資料、載入表格、附加列和停止伺服器。
|
| 2 | 授權服務向中繼資料伺服器要求下列資訊:
|
| 3 | 授權服務會從中繼資料伺服器接收授權決策和安全性金鑰。如果要求的使用者擁有讀取權限的條件式允許,則授權服務也會收到指定使用者可以存取哪些列的子句 (或子句集)。 |
| 4 | 如果要求的使用者具備要求的動作需要全部權限的有效允許,則授權服務會提供簽章允許給用戶端。
附註: 授權服務使用安全性金鑰建立簽章允許。簽章允許包含表格名稱、動作類型 (例如:表格資訊、摘要統計資料或迴歸) 和任何適用的列層級安全性條件。
|
| 5 | 用戶端會將簽章允許提交到 SAS LASR Analytic Server。 |
| 6 | SAS LASR Analytic Server 使用其安全性金鑰知識驗證用戶端提供的簽章允許。如果簽章允許有效,則伺服器會提供要求的 In-Memory 表格的存取 (符合簽章允許中任何列層級的安全性條件)。 |
安全性金鑰
LASR 安全性金鑰是 SAS LASR Analytic Server 和中繼資料伺服器之間唯一的共用密碼。LASR 安全性金鑰的建立和儲存方式如下:
-
啟動 SAS LASR Analytic Server 時就會產生金鑰。在 SAS LASR Analytic Server 中,金鑰儲存在記憶體中。此金鑰也儲存在中繼資料中與伺服器連線物件關聯登入物件的密碼欄位中。
-
如果 SAS LASR Analytic Server 已停止,關聯的金鑰會保留在中繼資料中。若已重新啟動伺服器連線,則會產生新的金鑰。新的金鑰會取代中繼資料中的現有金鑰。
附註: LASR 安全性金鑰為 SAS 內部概念。請不要混淆 LASR 安全性金鑰與加密金鑰複雜密碼。請參閱SASHDAT 檔案的磁碟上加密。
快取
若要避免重複查詢中繼資料伺服器中的安全性金鑰,授權服務快取此金鑰。當快取間隔到期時,授權服務會從中間層快取移除此金鑰。對於 In-Memory 資料進行下一個要求時,授權服務會再次從中繼資料伺服器取得此金鑰和重新填入快取。
若要強化效能,授權服務快取有關使用者和權限的資訊。當 SAS Visual Analytics 使用者存取 SAS LASR Analytic Server 中的資料來源時就會建立和快取使用者物件。此外,也會建立和快取資料來源的權限物件。這些是中間層、以工作階段為基礎的快取。
每次快取的持續期間是由 las.caching.* 屬性設定。請參閱設定屬性。
簽章檔案
簽章檔案在 SAS LASR Analytic Server 啟動 (伺服器簽章檔案) 和表格載入到記憶體 (表格簽章檔案) 時建立。每部伺服器簽章檔案的位置是在伺服器的中繼資料定義中指定。
管理下列簽章檔案目錄的存取:
-
任何執行產生簽章檔案工作的人員都必須擁有此目錄的寫入權限。
-
任何執行產生簽章檔案工作的服務帳戶都必須擁有此目錄的寫入權限。例如:若使用自動化資料載入功能,則執行排定工作的帳戶必須擁有此存取權。
-
其他任何人都不需要存取簽章檔案。(從 SAS Visual Analytics 用戶端存取 SAS LASR Analytic Server 其 In-Memory 資料是由中繼資料權限控制。)
-
簽章檔案的主機層存取控制確定不透過 SAS LASR Authorization Service 傳達任何的存取要求。因為這個原因,限制簽章檔案的存取非常重要。
如下所示,用主機保護簽章檔案目錄:
-
在 SAS Management Console 的 SAS LASR Analytic Server 上按一下滑鼠右鍵,然後選取 [屬性]。
-
在 [選項] 標籤上按一下 [進階選項] 按鈕。
-
在 [進階選項] 視窗上選取 [其他選項] 標籤。請注意在 [伺服器上的簽章檔案位置] 欄位中指定的路徑。
-
使用下列指導方針為目錄提供主機保護:Windows 詳細規格: 如上描述限制讀取和寫入權限。UNIX 詳細規格: 對於分散式伺服器,TKGrid 的 UMASK 值會決定簽章檔案的權限。將 TKGrid UMASK 設定為 077。對於非分散式伺服器,將個人 UMASK 設定為 077。 這些設定可以防止檔案所有者 (建立者) 以外的使用者取得簽章檔案的存取權。
伺服器標記
伺服器標記是協助 SAS LASR Authorization Service 將每個 In-Memory 表格對應到對應的中繼資料物件的識別碼。請參閱In-Memory LASR 名稱。
每個 LASR 資料館的伺服器標記都必須如下定義:
-
如果 LASR 資料館的資料載入自共用的 HDFS 或 NFS-mounted MapR,則伺服器標記必須是點分隔形式的來源路徑。範例如下:來源路徑對應伺服器標記
/hpshps/hps/specialhps.special/salessales -
如果使用 SAS 內嵌處理序載入 LASR 資料館的資料,則伺服器標記必須是有效的 SAS 資料館名稱。例如:伺服器標記不可以是
MyServerTag(超過八個字元) 或user.sasdemo(超過一個層級)。 -
如果 LASR 資料館的資料載入自傳統共用提供者,則伺服器標記必須是來源資料館的資料館名稱 (例如:TDLIB 或 GPLIB)。
-
否則,伺服器標記可以是任何的唯一字串。如果您未在 LASR 資料館的中繼資料定義中提供伺服器標記,則請使用
WORK標記。
注意:
在伺服器執行個體 (主機-連接埠組合) 中,每個伺服器標記都必須是唯一的。