search
Knowledge BaseRelease NotesRequest Demo

역할 기반 액세스 제어

역할 기반 액세스 제어(RBAC)를 사용하면 Panther에서 세분화된 사용자 액세스 권한을 구성할 수 있습니다.

역할은 구성 가능한 권한 집합이며 각 사용자는 하나의 역할에 할당됩니다. 제공된 기본 역할을 사용하거나 필요에 맞게 사용자 지정하거나 새 역할을 생성할 수 있습니다. 특정 권한에 대해, 당신은 접근 가능한 로그 유형을 제한할 수 있습니다. 권한이 없는 역할을 생성하는 것도 가능합니다.

역할은 Panther 콘솔 또는 Panther REST API 또는 GraphQL API.

hashtag
Panther 사용자 역할

hashtag
기본 Panther 역할

Panther를 처음 배포하면 다음 세 가지 역할이 자동으로 생성됩니다:

  • 관리자

    • 이 역할은 기존 모든 사용자에게 자동으로 할당되며 모든 사용 가능한 권한을 가집니다.

  • 분석가

    • 이 역할은 모든 클라우드 보안 및 로그 분석 기능을 사용할 수 있지만 설정을 수정할 수는 없습니다.

  • 분석가(읽기 전용)

    • 이 역할은 리소스와 경고 및 Python 코드를 볼 수 있지만 아무 것도 변경할 수 없습니다.

circle-exclamation

다음에 대한 중요한 세부사항: 관리자 역할:

  • 해당 관리자 역할을 가진 사용자는 스스로를 비-관리자 역할로 강등할 수 없습니다. 오직 다른 관리자 사용자만 대신 그들의 역할을 강등시킬 수 있습니다.

  • 다음 관리자 역할을 가진 사용자만 다른 관리자 역할을 가진 사용자를 삭제할 수 있습니다. 자기 삭제는 지원되지 않습니다.

  • 적어도 하나의 비밀번호 기반 사용자는 관리자 역할을 가져야 합니다.

    • 만약 싱글 사인온(SSO) 강제 적용 이 활성화되어 있는 경우, 적어도 하나의 IdP 관리 사용자는 또한 관리자 역할을 가져야 하며, 추가로 적어도 하나의 비밀번호 기반 사용자가 관리자 역할을 가져야 합니다.

The default roles screen in the Panther Console shows three roles: Admin, Analyst, and AnalystReadOnly.

hashtag
역할 사용자 지정

다음 권한을 가진 역할에 할당된 사용자는 사용자 관리 권한(또는 UserModify, API를 통해 생성된 경우)을 통해 다른 모든 역할을 사용자 지정할 수 있습니다.

  • 생성할 수 있는 역할 수에는 제한이 없습니다.

  • 역할 이름을 변경할 수 있지만 모든 역할은 고유한 이름을 가져야 합니다.

  • 다음을 수행할 수 있습니다 역할에 대한 권한을 변경할 수 있습니다, 하지만 적어도 한 명의 사용자는 사용자 관리/UserModify 권한이 있어야 합니다.

  • 현재 해당 역할에 할당된 사용자가 없을 경우 역할을 삭제할 수 있습니다.

The role editor screen in the Panther Console displays a field to add a name, and options to customize permissions.

특정 로그 유형에 대한 제한을 가진 역할을 사용자 지정하는 방법은 로그 유형별 RBAC 섹션으로 진행하세요.

hashtag
역할 권한 업데이트

역할과 연결된 권한을 업데이트하려면:

  1. Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음 > 사용자 역할.

  2. 업데이트하려는 역할 타일의 오른쪽 상단에서 점 세 개 아이콘을 클릭한 다음 > 편집을 클릭하고. To the right of an "AnalystReadOnly" title, an arrow is drawn from a three dots icon to an "Edit" option in a sub-menu.

  3. 권한 세트에 원하는 변경 사항을 적용합니다.

  4. 클릭 역할 업데이트.

circle-info

권한 변경 사항은 영향을 받는 사용자가 Panther에 로그인된 브라우저를 새로 고치거나 Panther에서 로그아웃한 뒤 다시 로그인할 때까지 적용되지 않습니다.

사용자의 권한을 확장한 후에도 사용자가 계속해서 접근 거부 오류를 보는 경우, 그들이 접근하려는 페이지에 대한 필요한 읽기 권한을 가지고 있는지 확인하십시오.

hashtag
새 역할 생성

콘솔에서 새 역할을 생성하려면 아래 지침을 따르십시오. 또는 Panther GraphQL API 또는 REST API.

  1. 를 사용하여 새 역할을 생성할 수 있습니다. Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음 사용자 역할.

  2. 클릭 새로 만들기.

  3. 다음 이름 필드에 역할에 대한 설명 이름을 입력합니다.

  4. 이 역할에 부여하려는 각 권한에 대해 체크박스를 선택하십시오.

    1. 현재 일부 권한은 로그 유형 필터링을 지원합니다. (자세한 내용은 로그 유형별 RBAC 를 참조하십시오.) 로그 유형 제한을 지원하는 권한을 선택한 경우 다음 옵션 중 하나를 선택하십시오:

      • 로그에 대한 전체 액세스

      • 선택한 로그 유형에 대한 액세스 허용

      • 선택한 로그 유형에 대한 액세스 거부 In an Alerts section, a checkbox next to View Alerts is checked. Below, there are three radio buttons: Full access to logs, Allow access to selected Log Types, and Deny access to selected Log Types. The second one has been selected, and a Select Log Types dropdown has one value: AWS.ALB

    2. 만약 당신이 선택한 로그 유형에 대한 액세스 허용 또는 선택한 로그 유형에 대한 액세스 거부에서, 로그 유형 선택 드롭다운을 선택했다면, 사용자가 접근을 허용하거나 접근을 제한해야 하는 개별 로그 유형을 선택하십시오.

      • 다음의 아래에 나열된 제한 사항을 반드시 읽어 로그 유형별 RBAC 기능의 현재 제한을 이해하십시오.

      • 로그 유형 선택은 주어진 역할에서 로그 유형 제한을 지원하는 모든 권한 전반에 걸쳐 동기화된다는 점을 기억하십시오.

  5. 클릭 역할 생성.

    • 변경 사항이 Panther의 모든 서비스에 전파되는 데 최대 1분까지 걸릴 수 있습니다.

이제 해당 역할을 Panther에 온보딩하는 사용자에게 할당할 수 있습니다.

hashtag
로그 유형별 RBAC

circle-exclamation

이 기능은 Snowflake Enterprise Editionarrow-up-right을 사용하는 모든 고객에게 제공되지만, Panther가 먼저 귀하의 인스턴스에서 이 기능을 활성화해야 합니다. 사용에 관심이 있으면 계정 팀에 문의하십시오.

hashtag
클라우드 연결된 Snowflake 계정에 대한 전제 조건

만약 당신이 Cloud Connected Snowflake 인스턴스를 사용 중이라면, 로그 유형별 RBAC를 활성화하려면 다음이 충족되어야 합니다:

hashtag
특정 역할에 대한 로그 유형 제한 방법

새 역할을 생성하고 로그 접근을 제한하거나 기존 역할의 권한을 변경하여 로그 접근을 제한할 수 있습니다. 다음을 참조하십시오: 새 역할 생성 지침4단계를 주의해서 확인하십시오.

hashtag
검색을 위한 로그 유형별 RBAC

다음을 사용할 수 있습니다 로그 쿼리 실행 권한은 Panther의 검색 도구에서 역할의 로그 유형 접근을 제한합니다. 다음을 포함하여: 데이터 탐색기검색.

데이터 익스플로러에서는 사용자가 접근할 수 있는 로그 유형에 해당하는 테이블만 데이터 익스플로러 필터 목록과 SQL 편집기의 예측 텍스트에 표시됩니다.

콘솔의 다른 영역(예: 로그 소스의 스키마 뷰)에서 데이터 익스플로러로 이동할 때, 채워진 SQL 쿼리가 사용자가 접근할 수 없는 로그 소스의 테이블을 참조하면 쿼리를 실행할 때 오류가 발생합니다.

검색에서는 제한된 로그 유형에 대한 데이터베이스 테이블이 테이블 필터.

chevron-right검색을 위한 로그 유형별 RBAC의 제한 사항hashtag

검색에 대한 로그 유형별 RBAC가 역할에 적용될 때 다음 제한 사항을 참고하십시오:

  • 경고: 이 기능은 현재 경고에서 로그 유형별 RBAC 제한을 시행하지 않으므로 사용자가 이를 보거나 관리하는 것을 차단할 수 있습니다(단, 경고에 대한 로그 유형별 RBAC 기능이 활성화된 경우는 제외).

    • 다음 권한들은 활성화되지 않을 수 있습니다: 경고 보기, 경고 관리

  • 탐지: 해당 규칙 관리정책 관리 권한은 활성화되지 않을 수 있습니다.

    • 설정은 규칙 보기정책 보기 권한은 활성화될 수 있습니다.

  • 클라우드 보안 데이터: 모든 로그 유형에 대한 전체 액세스 권한이 있는 사용자만 panther_cloudsecurity 데이터베이스와 panther_views.public.all_cloudsecurity Snowflake의 뷰에서 클라우드 보안 데이터를 볼 수 있습니다.

    • 콘솔의 다른 모든 클라우드 보안 데이터(리소스, 규정 준수 등)는(예: 개요 및 탐지 페이지) 모든 사용자에게 제공됩니다.

  • 저장된 쿼리: 접근이 제한된 사용자는 저장된 쿼리를 생성할 수 없습니다.

    • 예약 쿼리: 전체 로그 유형 액세스 권한이 있는 역할을 가진 사용자가 예약 쿼리를 가지고 있다가 제한된 로그 유형 액세스 권한의 역할로 전환되거나(또는 동일한 역할이 로그 유형 액세스를 제한하도록 수정되면) 해당 사용자의 예약 쿼리는 실행을 중단합니다.

  • 조회 테이블: 제한된 역할을 가진 사용자는 에 설치해야 하며 데이터 익스플로러 또는 검색에서 조회 테이블(Lookup Tables)을 쿼리할 수 있습니다.

  • 외부 테이블: 외부(비 Panther 생성) 테이블에 대한 쿼리는 모든 로그 유형에 대한 액세스 권한이 있는 사용자에게만 동작합니다.

  • API 토큰: 이 기능은 에 설치해야 하며 API 토큰을 지원하지 않습니다. 모든 API 토큰은 데이터 레이크와 저장된 쿼리에 대한 전체 액세스 권한을 가집니다.

hashtag
경고에 대한 로그 유형별 RBAC

다음을 사용할 수 있습니다 경고 보기경고 관리 권한은 경고에 대한 역할의 접근을 로그 유형에 따라 제한할 수 있습니다. 이러한 권한 중 하나를 선택하면 액세스를 허용하거나 제한할 로그 유형을 선택하라는 메시지가 표시됩니다.

선택된 경고 보기경고 관리 에 대한 접근 가능한 로그 유형 집합은 로그 쿼리 실행 권한과 동기화됩니다. 하나의 역할은 서로 다른 로그 유형 제한을 가진 두 개의 권한을 가질 수 없습니다.

모든 위에 나열된 검색을 위한 로그 유형별 RBAC 제한 사항은 경고 제한을 제외하고 적용됩니다., 적용—경고 제한을 제외합니다.

Previous시스템 구성Next아이덴티티 및 액세스 통합

Last updated

Was this helpful?