search
Knowledge BaseRelease NotesRequest Demo

역할 기반 접근 제어

역할 기반 접근 제어(RBAC)는 Panther에서 세분화된 사용자 액세스를 구성할 수 있게 합니다.

역할은 구성 가능한 권한 집합이며 각 사용자는 하나의 역할에 할당됩니다. 제공된 기본 역할을 사용하거나 필요에 맞게 사용자 지정하거나 새 역할을 생성할 수 있습니다. 특정 권한의 경우, 다음을 접근 가능한 로그 유형을 제한할 수 있습니다. 권한이 없는 역할을 생성하는 것도 가능합니다.

Panther 콘솔 또는 Panther REST API 이전에 생성한 Snowflake 사용자 이름, 예를 들면 GraphQL API.

hashtag
Panther 사용자 역할

hashtag
기본 Panther 역할

Panther를 처음 배포하면 다음 세 가지 역할이 자동으로 생성됩니다:

  • 관리자

    • 이 역할은 기존 모든 사용자에게 자동으로 할당되며 사용 가능한 모든 권한을 가집니다.

  • 분석가

    • 이 역할은 모든 클라우드 보안 및 로그 분석 기능을 사용할 수 있지만 설정을 변경할 수 없습니다.

  • 분석가읽기전용

    • 이 역할은 리소스와 알러트 및 Python 코드를 볼 수 있지만 아무 것도 변경할 수 없습니다.

circle-exclamation

다음에 대한 중요한 세부사항 관리자 역할:

  • 다음 역할을 가진 사용자는 관리자 자신을 비-관리자 역할로 강등할 수 없습니다. 다른 관리자 사용자만 그들을 대신하여 역할을 강등할 수 있습니다.

  • 다음 역할을 가진 사용자만 관리자 역할을 가진 다른 사용자를 삭제할 수 있습니다. 자기 삭제는 지원되지 않습니다. 관리자 자기 삭제는 지원되지 않습니다.

  • 최소한 하나의 비밀번호 기반 사용자가 관리자 역할을 가져야 합니다.

    • 만약 싱글 사인온(SSO) 강제 적용이 활성화된 경우, 최소한 하나의 IdP 관리 사용자가 또한 관리자 역할을 가져야 하며, 추가로 최소한 하나의 비밀번호 기반 사용자가 관리자 역할을 가져야 합니다.

The default roles screen in the Panther Console shows three roles: Admin, Analyst, and AnalystReadOnly.

hashtag
역할 사용자 지정

다음 권한이 있는 역할에 할당된 사용자는 사용자 관리 권한(또는 UserModify, API를 통해 생성된 경우)을 통해 다른 모든 역할을 사용자 지정할 수 있습니다.

  • 생성할 수 있는 역할 수에는 제한이 없습니다.

  • 역할 이름을 변경할 수 있지만 모든 역할은 고유한 이름을 가져야 합니다.

  • 다음을 수행할 수 있습니다 역할의 권한 변경할 수 있지만 최소한 한 명의 사용자는 반드시 사용자 관리/UserModify ListBucket

  • 현재 어떤 사용자도 할당되어 있지 않으면 역할을 삭제할 수 있습니다.

The role editor screen in the Panther Console displays a field to add a name, and options to customize permissions.

특정 로그 유형에 대한 제한이 있는 역할을 사용자 지정하는 방법은 로그 유형별 RBAC 섹션으로 진행하십시오.

hashtag
역할 권한 업데이트

역할에 연결된 권한을 업데이트하려면:

  1. Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음 > 사용자 역할.

  2. 업데이트하려는 역할 타일의 오른쪽 상단에서 세 개의 문서 아이콘을 클릭한 다음 > 편집을 클릭. To the right of an "AnalystReadOnly" title, an arrow is drawn from a three dots icon to an "Edit" option in a sub-menu.

  3. 권한 집합에 원하는 변경을 합니다.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 역할 업데이트.

circle-info

영향을 받는 사용자가 Panther에 로그인된 브라우저를 새로 고치거나 Panther에서 로그아웃 후 다시 로그인할 때까지 권한 변경 사항은 적용되지 않습니다.

사용자의 권한을 확장한 후에도 사용자가 계속해서 액세스 거부 오류를 보는 경우, 그들이 접근하려는 페이지에 필요한 읽기 권한을 가지고 있는지 확인하세요.

hashtag
새 역할 생성

콘솔에서 새 역할을 생성하려면 아래 지침을 따르세요. 또는 Panther GraphQL API 이전에 생성한 Snowflake 사용자 이름, 예를 들면 REST API.

  1. 를 사용하여 새 역할을 생성할 수 있습니다. 사용자 역할.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. 일반 구성 이름 Panther 콘솔 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음,

  4. 필드에 역할에 대한 설명적인 이름을 입력하세요.

    1. 현재 일부 권한은 로그 유형 필터링을 지원합니다. (자세한 내용은 로그 유형별 RBAC 을 참조하세요.) 로그 유형 제한을 지원하는 권한을 선택한 경우 다음 옵션 중 하나를 선택하세요:

      • 로그에 대한 전체 액세스

      • 선택한 로그 유형에 대한 액세스 허용

      • 선택한 로그 유형에 대한 액세스 거부 In an Alerts section, a checkbox next to View Alerts is checked. Below, there are three radio buttons: Full access to logs, Allow access to selected Log Types, and Deny access to selected Log Types. The second one has been selected, and a Select Log Types dropdown has one value: AWS.ALB

    2. 다음을 선택한 경우, 선택한 로그 유형에 대한 액세스 허용 이전에 생성한 Snowflake 사용자 이름, 예를 들면 선택한 로그 유형에 대한 액세스 거부에서, 로그 유형 선택 드롭다운에서 사용자가 접근을 허용하거나 제한해야 할 개별 로그 유형을 선택하세요.

      • 다음에 나열된 제한 사항을 반드시 읽어 로그 유형별 RBAC 기능의 현재 제한 사항을 이해하세요.

      • 로그 유형 선택은 주어진 역할에 대해 로그 유형 제한을 지원하는 모든 권한에 걸쳐 동기화된다는 점을 기억하세요.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 역할 생성.

    • 변경 사항이 Panther의 모든 서비스에 전파되는 데 최대 1분까지 걸릴 수 있습니다.

이제 역할을 Panther에 온보딩하는 사용자들에게 할당할 수 있습니다.

hashtag
로그 유형별 RBAC

circle-exclamation

이 기능은 Snowflake 엔터프라이즈 에디션arrow-up-right을 사용하는 모든 고객에게 제공되지만 Panther가 먼저 인스턴스에 대해 해당 기능을 활성화해야 합니다. 사용을 원하시면 계정 팀에 문의하세요.

hashtag
클라우드 연결된 Snowflake 계정에 대한 전제 조건

다음 항목을 사용하는 경우, Cloud Connected Snowflake 인스턴스에서 로그 유형별 RBAC를 활성화하려면 다음이 참이어야 합니다:

hashtag
특정 역할에 대한 로그 유형 제한 방법

새 역할을 생성하고 해당 역할에 대한 로그 액세스를 제한하거나 기존 역할의 권한을 변경하여 로그 액세스를 제한할 수 있습니다. 다음을 참조하세요: 새 역할 생성 지침4단계를 주의 깊게 확인하세요.

hashtag
검색을 위한 로그 유형별 RBAC

다음을 사용할 수 있습니다 로그 쿼리 실행 권한은 Panther의 검색 도구에서 역할의 로그 유형 접근을 제한합니다, 포함하여 panther_monitor로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

데이터 익스플로러에서는 사용자가 액세스할 수 있는 로그 유형의 테이블만 데이터 익스플로러 필터 목록과 SQL 편집기의 예측 텍스트에 표시됩니다.

다른 콘솔 영역(예: 로그 소스의 스키마 보기)에서 데이터 익스플로러로 전환할 때, 채워진 SQL 쿼리가 사용자가 접근할 수 없는 로그 소스의 테이블을 참조하면 쿼리를 실행할 때 사용자는 오류를 받게 됩니다.

검색에서는 제한된 로그 유형의 데이터베이스 테이블이 테이블 필터.

chevron-right에 채워지지 않습니다.hashtag

검색을 위한 로그 유형별 RBAC를 역할에 적용할 때 다음 제한 사항을 참고하세요:

  • 알러트: 이 기능은 현재 알러트에서 로그 유형별 RBAC 제한을 적용하지 않으므로 사용자가 이를 보거나 관리하지 못하게 차단할 수 있습니다(단, 알러트에 대한 로그 유형별 RBAC 기능이 활성화된 경우는 예외입니다).

    • 다음 권한은 활성화되지 않을 수 있습니다: 알러트 보기, 알러트 관리

  • 디텍션: 다음 룰 관리정책 관리 권한은 활성화되지 않을 수 있습니다.

    • 사용자를 사용할 것이며, 룰 보기정책 보기 권한은 활성화될 수 있습니다.

  • 클라우드 보안 데이터: 모든 로그 유형에 대한 전체 액세스 권한이 있는 사용자만 Snowpipe 처리 확인 데이터베이스와 panther_views.public.all_cloudsecurity Snowflake의 뷰에서 클라우드 보안 데이터를 볼 수 있습니다.

    • 콘솔의 다른 모든 클라우드 보안 데이터(리소스, 규정 준수 등)는(예: 개요 및 디택션 페이지)는 모든 사용자에게 제공됩니다.

  • 저장된 검색: 액세스가 제한된 사용자는 저장된 검색 (및 저장된 검색 보기) 생성할 수 없습니다.

    • 예약된 검색: 전체 로그 유형 액세스가 있는 역할을 가진 사용자가 예약된 검색을 가지고 있고 이후 제한된 로그 유형 액세스 역할로 변경되거나 동일한 역할이 로그 유형 액세스를 제한하도록 수정되면 해당 사용자의 예약된 검색은 실행을 중단합니다.

  • 룩업 테이블: 제한된 역할을 가진 사용자는 Enterprise 조직 데이터 익스플로러 또는 검색에서 조회 테이블을 쿼리할 수 있습니다.

  • 외부 테이블: 외부(비 Panther 생성) 테이블에 대한 쿼리는 모든 로그 유형에 대한 액세스가 있는 사용자만 작동합니다.

  • API 토큰: 이 기능은 Enterprise 조직 API 토큰을 지원하지 않습니다. 모든 API 토큰은 데이터 레이크와 저장된 검색에 대한 전체 액세스 권한을 가집니다.

hashtag
알러트에 대한 로그 유형별 RBAC

다음을 사용할 수 있습니다 알러트 보기알러트 관리 권한을 사용하여 로그 유형을 기반으로 역할의 알러트 접근을 제한할 수 있습니다. 이러한 권한 중 하나를 선택하면 액세스를 허용하거나 제한할 로그 유형을 선택하라는 안내가 표시됩니다.

에 대해 선택된 접근 가능한 로그 유형 집합은 알러트 보기알러트 관리 권한과 동기화됩니다. 하나의 역할은 서로 다른 로그 유형 제한을 가진 두 개의 권한을 가질 수 없습니다. 로그 쿼리 실행 하나의 역할은 서로 다른 로그 유형 제한을 가진 두 개의 권한을 가질 수 없습니다.

모든 위에 나열된 검색을 위한 로그 유형별 RBAC의 제한 사항이 적용되며—알러트 제한은 제외합니다.

이전시스템 구성다음ID 및 접근 통합

마지막 업데이트

도움이 되었나요?