In-Memory 데이터에 액세스
SAS LASR Authorization Service
개요
SAS LASR Authorization Service는 메타데이터 인증 계층과의 공동 작업을 통해 In-memory 데이터에 대한 사용자 액세스를
관리합니다.
다음 그림에서는 인증 프로세스를 보여 줍니다.
인증 프로세스
| 1 | SAS Visual Analytics 클라이언트에서 사용자가 SAS LASR Analytic Server를 사용하는 작업을 수행합니다. 이 예에서
요청은 데이터를 읽는 것입니다. 클라이언트가 인증 서비스에 요청을 보냅니다.
주: 작업의 다른 예로는 데이터 분석 요청, 테이블 로드, 행 추가, 서버 중지 등이 있습니다.
|
| 2 | 인증 서비스가 Metadata 서버에 다음 정보를 요청합니다.
|
| 3 | 인증 서비스가 Metadata 서버에서 인증 결정과 보안 키를 받습니다. 요청한 사용자가 읽기 권한의 조건부 허가를 가지고 있을 때, 인증 서비스는 사용자가 액세스할 수 있는 행을 지정하는 절(또는 절 집합)도 받습니다. |
| 4 | 요청한 사용자가 요청된 작업에 필요한 모든 권한의 유효 허가를 가지고 있으면 인증 서비스가 클라이언트에 서명된 허가를 제공합니다.
주: 인증 서비스는 보안 키를 사용하여 서명된 허가를 생성합니다. 서명된 허가에는 테이블 이름, 작업 유형(예: 테이블 정보, 요약 통계량 또는 회귀),
모든 적용 가능한 행 레벨 보안 조건 등이 포함됩니다.
|
| 5 | 클라이언트가 SAS LASR Analytic Server에 서명된 허가를 제출합니다. |
| 6 | SAS LASR Analytic Server가 알고 있는 보안 키 정보를 사용하여 클라이언트가 제공하는 서명된 허가를 확인합니다. 서명된 허가가 올바를 때, 서버는 요청된 In-Memory 테이블(서명된 허가의 모든 행 레벨 보안 조건에 부합하는 In-Memory 테이블)에 대한 액세스 권한을 제공합니다. |
보안 키
LASR 보안 키는 SAS LASR Analytic Server와 Metadata 서버 간의 고유한 공유 암호입니다. LASR 보안 키는 다음과 같이
생성되고 저장됩니다.
-
SAS LASR Analytic Server가 시작될 때 키가 생성된 다음 SAS LASR Analytic Server의 메모리에 저장됩니다. 키는 서버의 연결 개체와 연결된 로그인 개체의 암호 필드에 있는 메타데이터에도 저장됩니다.
-
SAS LASR Analytic Server가 중지되더라도 연결된 키는 메타데이터에 남아 있습니다. 서버 연결이 다시 시작되면 새로운 키가 생성됩니다. 새로운 키는 메타데이터의 기존 키를 바꿉니다.
주: LASR 보안 키는 SAS 내부에서 구성된 값입니다. LASR 보안 키와 암호화 키 암호를 혼동하지 마십시오. 자세한 내용은 SASHDAT 파일의 온디스크 암호화를 참조하십시오.
캐싱
Metadata 서버에 대해 반복되는 보안 키 질의를 방지하기 위해 인증 서비스는 키를 캐시합니다. 캐시 기간이 만료되면 인증 서비스가 Middle
Tier 캐시에서 키를 제거합니다. 다음에 In-Memory 데이터를 요청하면 인증 서비스가 Metadata 서버에서 키를 다시 가져와서 캐시를 다시
채웁니다.
성능 향상을 위해 인증 서비스는 사용자와 권한에 대한 정보를 캐시합니다. SAS Visual Analytics 사용자가 SAS LASR Analytic
Server의 데이터 소스에 액세스할 때 사용자 개체가 생성되고 캐시됩니다. 데이터 소스에 대한 권한 개체도 생성되고 캐시됩니다. 이러한 캐시는 세션
기반의 Middle Tier 캐시입니다.
각 캐시의 기간은 las.caching.* 속성으로 설정됩니다. 자세한 내용은 구성 속성을 참조하십시오.
서명 파일
서명 파일은 SAS LASR Analytic Server가 시작될 때(서버 서명 파일) 및 테이블이 로드될 때(테이블 서명 파일) 생성됩니다. 각
서버의 서명 파일 위치는 서버의 메타데이터 정의에 지정됩니다.
다음과 같이 서명 파일 디렉터리에 대한 액세스를 관리합니다.
-
서명 파일을 생성하는 작업을 수행하는 모든 사용자는 디렉터리에 대한 쓰기 권한을 가지고 있어야 합니다.
-
서명 파일을 생성하는 작업을 수행하는 모든 서비스 계정은 디렉터리에 대한 쓰기 권한을 가지고 있어야 합니다. 예를 들어, 자동 데이터 로드를 사용할 때 스케줄된 작업을 실행하는 데 사용되는 계정은 이 액세스 권한을 가지고 있어야 합니다.
-
다른 사람은 서명 파일에 액세스할 필요가 없습니다. (SAS Visual Analytics 클라이언트에서 SAS LASR Analytic Server와 해당 In-Memory 데이터로의 액세스는 메타데이터 권한으로 제어됩니다.)
-
서명 파일의 호스트 계층 액세스 컨트롤에 따라 SAS LASR Authorization Service로 조정되지 않는 모든 요청의 액세스가 결정됩니다. 따라서 서명 파일에 대한 액세스 제한은 중요합니다.
다음과 같이 서명 파일 디렉터리를 호스트 보호 처리합니다.
-
SAS Management Console에서 SAS LASR Analytic Server를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
-
옵션 탭에서 고급 옵션 버튼을 클릭합니다.
-
고급 옵션 창에서 추가 옵션 탭을 선택합니다. 서버에서의 서명 파일 위치 필드에 지정된 경로를 확인합니다.
-
다음 지침을 사용하여 디렉터리를 호스트 보호 처리합니다.Windows 고유 사항: 위에 설명한 대로 읽기 및 쓰기 권한을 제한합니다.UNIX 고유 사항: 분산 서버에서는 TKGrid의 UMASK 값에 따라 서명 파일에 대한 권한이 결정됩니다. TKGrid UMASK를 077로 설정합니다. 비분산 서버에서는 personal UMASK를 077로 설정합니다. 이러한 설정은 파일 소유자(생성자) 이외의 다른 사용자가 서명 파일에 액세스하지 못하도록 합니다.
서버 태그
서버 태그는 SAS LASR Authorization Service가 각 In-Memory 테이블을 해당 메타데이터 개체에 매핑하는 데 도움이 되는
식별자입니다. 자세한 내용은 In-memory LASR 이름을 참조하십시오.
다음과 같이 각 LASR 라이브러리의 서버 태그를 정의해야 합니다.
-
배치된 HDFS 또는 NFS 마운트 MapR에서 LASR 라이브러리의 데이터를 로드할 때 서버 태그는 점으로 구분된 출력형식의 소스 경로여야 합니다. 다음은 몇 가지 예입니다.소스 경로해당 서버 태그
/hpshps/hps/specialhps.special/salessales -
SAS Embedded Process를 사용하여 LASR 라이브러리의 데이터를 로드할 때 서버 태그는 유효한 SAS 라이브러리 참조여야 합니다. 예를 들어, 서버 태그는
MyServerTag(9자 이상) 또는user.sasdemo(2레벨 이상)일 수 없습니다. -
배치된 레거시 공급자에서 LASR 라이브러리의 데이터를 로드할 때 서버 태그는 소스 라이브러리의 라이브러리 참조(예: TDLIB 또는 GPLIB)여야 합니다.
-
그 밖의 경우에 서버 태그는 모든 고유 문자열일 수 있습니다. LASR 라이브러리의 메타데이터 정의에서 서버 태그를 제공하지 않으면
WORK태그가 사용됩니다.
주의:
서버 인스턴스(호스트-포트 조합) 내에서 각 서버 태그는 고유해야 합니다.