사용자 및 역할 관리

Panther API 사용자 및 역할 관리 작업

개요

Panther API는 다음과 같은 사용자 및 역할 작업을 지원합니다:

사용자 목록 조회
ID 또는 이메일 주소로 사용자 조회
새 사용자 초대
사용자 정보 및 역할 업데이트
사용자 삭제
역할 목록 조회
ID 또는 이름으로 역할 조회
새 역할 생성
역할의 정보 및 권한 업데이트
역할 삭제

Console의 API Playground 또는 GraphQL-over-HTTP API를 사용하여 Panther의 API를 호출할 수 있습니다. 이러한 방법에 대해 자세히 알아보려면 Panther API.

아래 섹션에서 핵심 사용자 및 역할 관리 작업에 대한 GraphQL 쿼리, 뮤테이션 및 엔드투엔드 워크플로 예시를 확인하세요.

일반적인 사용자 및 역할 관리 작업

아래는 Panther에서 가장 일반적인 GraphQL 사용자 및 역할 관리 작업의 일부입니다. 이 예제들은 GraphQL 클라이언트(또는 curl)을 사용하여 Panther의 GraphQL API를 호출하기 위해 전송해야 하는 문서를 보여줍니다.

참고: createdAt 필드는 ISO 8601 날짜 및 시간 표준입니다.

사용자 목록

query users {
  users {
    id
    givenName
    familyName
    email
    status
    createdAt
    lastLoggedInAt
    role {
      name
      id
      permissions
    }
  }
}

사용자 조회

query user {
  userByEmail(email: "[email protected]") {
    id
    givenName
    familyName
    email
    role {
      name
      id
      permissions
    }
    status
    createdAt
  }
}

새 사용자 초대

mutation inviteUser {
    inviteUser(input: {
        email: "[email protected]"
        givenName: "firstname"
        familyName: "lastname"
        role: {
            kind: NAME
            value: "Analyst"
        }
    })
    {
        user {
            id
            status
        }
    }
  }

사용자 업데이트

mutation updateUser {
    updateUser(input: {
        id: "8h81hfh-ij828db"
        familyName: "newName"
    })
    {
        user {
            email
            givenName
            familyName
        }
    }
}

사용자 삭제

mutation deleteUser{
  deleteUser(input: {
    id: "8h81hfh-ij828db"
  })
  {
    id # 삭제 작업은 `user` 객체를 반환하지 않습니다; ID만 반환됩니다
  }
}

역할 목록

query roles {
  roles( 
    # 이 입력은 선택사항입니다. 입력이 없으면 쿼리는 모든 역할을 반환합니다.
    input: {
      nameContains: "admin",
      sortDir: ascending
    }) 
  {
    createdAt
    id
    name
    permissions
    updatedAt
    updatedBy {
      ... on User {
        email
        id
      }
      ... on APIToken {
        id
        name
      }
    }
    # RBAC를 로그 유형별로 사용하도록 설정한 경우에만 사용됩니다
    logTypeAccess 
    logTypeAccessKind
  }
}

역할 조회

query adminRole {
  roleByName(
   name: "admin"
   ) {
    createdAt
    id
    name
    permissions
    updatedAt
    updatedBy {
      ... on User {
        email
        id
      }
      ... on APIToken {
        id
        name
      }
    }
    # RBAC를 로그 유형별로 사용하도록 설정한 경우에만 사용됩니다
    logTypeAccess 
    logTypeAccessKind
  }
}

query adminRole {
  roleById(
   id: "feeafade-c545"
   ) {
    createdAt
    id
    logTypeAccess
    logTypeAccessKind
    name
    permissions
    updatedAt
    updatedBy {
      ... on User {
        email
        id
      }
      ... on APIToken {
        id
        name
      }
    }
    # RBAC를 로그 유형별로 사용하도록 설정한 경우에만 사용됩니다
    logTypeAccess 
    logTypeAccessKind
  }
}

새 역할 생성

참고: 권한 UserModify 는 Panther 플랫폼에 대한 전체 관리자 액세스를 제공합니다. 새 역할에 이 권한을 할당할 때는 신중히 결정하세요.

mutation createRole {
  createRole(input: {
    name: "new-role"
    permissions: [
      UserRead
      AlertRead
    ]
  })
  {  
    role {
      name
      id
      permissions
    }
  }
}

mutation createRole {
  createRole(input: {
    name: "new-role"
    permissions: [
      UserRead
      AlertRead
    ]
    # RBAC를 로그 유형별로 사용하도록 설정한 경우에만 사용됩니다
    logTypeAccess:["AWS.ALB"]
    logTypeAccessKind: ALLOW
  })
  {  
    role {
      name
      id
      permissions
      logTypeAccess
      logTypeAccessKind
    }
  }
}

역할 업데이트

참고: updateRole 입력의 권한에는 모든 해당 역할에 원하는 권한이 포함되어야 합니다.

mutation updateRole {
  updateRole(input: {
    id: "fea8sje-92jdnhc"
    name: "updated-role-name"
    permissions: [
      UserRead
      AlertRead
      AlertModify
    ]
  })
  {
    role {
      name
      id
      permissions
    }
  }
}

mutation updateRole {
  updateRole(input: {
    id: "fea8sje-92jdnhc"
    name: "updated-role-name"
    permissions: [
      UserRead
      AlertRead
      AlertModify
    ]
    # RBAC를 로그 유형별로 사용하도록 설정한 경우에만 사용됩니다
    logTypeAccess:["AWS.ALB"]
    logTypeAccessKind: DENY
  })
  {
    role {
      name
      id
      permissions
      logTypeAccess 
      logTypeAccessKind
    }
  }
}

역할 삭제

mutation deleteRole {
  deleteRole(input: {
    id: "e146c8d8-c6a5"
  })
    {
      id # 삭제 작업은 `role` 객체를 반환하지 않습니다. ID만 반환됩니다.
    }
}

엔드투엔드 예제

아래에서는 일반 작업 예제를 기반으로 엔드투엔드 흐름을 보여줍니다.

새 사용자 관리자 역할을 생성하고 해당 역할에 사용자를 초대합니다.

# pip install gql aiohttp

from gql import gql, Client
from gql.transport.aiohttp import AIOHTTPTransport

transport = AIOHTTPTransport(
  url="YOUR_PANTHER_API_URL",
  headers={"X-API-Key": "YOUR_API_KEY"},
)

client = Client(transport=transport, fetch_schema_from_transport=True)

create_user_admin = gql(
  """
  mutation newAdminRole {
    createRole (input: {
      name: "user-admin"
      permissions: [
        UserRead
        UserModify
        OrganizationAPITokenRead
        GeneralSettingsRead
      ]
    }) 
    {
      role {
        name
        id
      }
    }
  }
  """
)

invite_user = gql(
  """
  mutation inviteUser($input: InviteUserInput!) {
    inviteUser (input: $input) {
      user {
        id
        email
      }
    }
  }
  """
)

new_role_data = client.execute(
  create_user_admin
)

print(f'new role ID is {new_role_data["createRole"]["role"]["id"]}')

response_data = client.execute(
  invite_user,
  variable_values= {
    "input": {
      "email": "[email protected]",
      "givenName": "user",
      "familyName": "admin",
      "role": {
        "kind": "ID",
        "value": new_role_data["createRole"]["role"]["id"],
      }
    }
  }
)

print(f'Successfully invited user {response_data["inviteUser"]["user"]["email"]} with role {new_role_data["createRole"]["role"]["name"]}.'

import { GraphQLClient, gql } from "graphql-request";

const client = new GraphQLClient(
  "YOUR_PANTHER_API_URL",
  { headers: { "X-API-Key": "YOUR_API_KEY" } }
);

// `createUserAdmin`은 쿼리의 별칭입니다. 완전히 생략할 수 있습니다.
const createUserAdmin = gql`
  mutation newAdminRole {
    createRole(
      input: {
        name: "user-admin"
        permissions: [
          UserRead
          UserModify
          OrganizationAPITokenRead
          GeneralSettingsRead
        ]
      }
    ) {
      role {
        name
        id
      }
    }
  }
`;

// `inviteUser`은 뮤테이션의 별칭입니다. 완전히 생략할 수 있습니다.
const inviteUser = gql`
  mutation inviteUser($input: InviteUserInput!) {
    inviteUser(input: $input) {
      user {
        id
        email
      }
    }
  }
`;

(async () => {
  try {
    const newRoleData = await client.request(createUserAdmin);

    const inviteUserOutput = await client.request(inviteUser, {
      input: {
        email: "[email protected]",
        givenName: "user",
        familyName: "admin",
        role: {
          kind: "ID",
          value: newRoleData.createRole.role.id
        }
      }
    });

    console.log(
      `Successfully invited user ${inviteUserOutput.inviteUser.user.email} with role ${newRoleData.createRole.role.name}.`
    );
  } catch (err) {
    console.error(err);
  }
})();

Previous토큰 순환 NextAPI 플레이그라운드

Last updated 9 months ago

Was this helpful?

hashtag개요

hashtag일반적인 사용자 및 역할 관리 작업

hashtag사용자 목록

hashtag사용자 조회

hashtag새 사용자 초대

hashtag사용자 업데이트

hashtag사용자 삭제

hashtag역할 목록

hashtag역할 조회

hashtag새 역할 생성

hashtag역할 업데이트

hashtag역할 삭제

hashtag엔드투엔드 예제

hashtag새 사용자 관리자 역할을 생성하고 해당 역할에 사용자를 초대합니다.

개요

일반적인 사용자 및 역할 관리 작업

사용자 목록

사용자 조회

새 사용자 초대

사용자 업데이트

사용자 삭제

역할 목록

역할 조회

새 역할 생성

역할 업데이트

역할 삭제

엔드투엔드 예제

새 사용자 관리자 역할을 생성하고 해당 역할에 사용자를 초대합니다.