개체 및 작업에 대한 액세스 부여(Analysis Services)
Analysis Services 데이터베이스 내의 큐브, 차원 및 마이닝 모델에 대한 관리 권한이 없는 사용자 액세스는 하나 이상의 데이터베이스 역할의 멤버 자격을 통해 부여됩니다. Analysis Services 관리자는 이러한 데이터베이스 역할을 만들고 Analysis Services 개체에 대한 읽기 또는 읽기/쓰기 권한을 부여한 다음 해당 역할에 Microsoft Windows 사용자와 그룹을 할당합니다.
Analysis Services는 사용자나 그룹이 속한 각 데이터베이스 역할과 연관된 사용 권한을 결합하여 특정 Windows 사용자나 그룹에 대한 유효 사용 권한을 결정합니다. 따라서 한 데이터베이스 역할은 사용자나 그룹에 차원, 측정값 또는 특성을 볼 수 있는 사용 권한을 부여하지 않지만 다른 데이터베이스 역할이 이 사용자나 그룹에 사용 권한을 부여하는 경우 해당 사용자나 그룹은 개체를 볼 수 있게 됩니다.
.gif "중요 정보") 중요 |
|---|
Analysis Services 서버 관리자 역할의 구성원과 모든(관리자) 권한을 가진 데이터베이스 역할의 구성원은 데이터베이스의 모든 데이터와 메타데이터에 액세스할 수 있으며 추가 사용 권한 없이 특정 개체를 볼 수 있습니다. 또한 Analysis Services 서버 역할의 멤버는 데이터베이스의 모든 개체에 제한 없이 액세스할 수 있고 데이터베이스 내에서 모든(관리자) 권한을 가진 Analysis Services 데이터베이스 역할의 멤버는 해당 데이터베이스의 모든 개체에 제한 없이 액세스할 수 있습니다. 처리와 같은 전문 관리 작업은 권한이 적은 별도의 역할을 통해 권한을 부여할 수 있습니다. 자세한 내용은 처리 권한 부여(Analysis Services)를 참조하십시오. |
데이터베이스에 대해 정의된 역할 나열
관리자는 SQL Server Management Studio에서 간단한 DMV 쿼리를 실행하여 서버에 정의된 모든 역할의 목록을 가져올 수 있습니다.
SSMS에서 데이터베이스를 마우스 오른쪽 단추로 클릭하고 새 쿼리를 선택합니다. | MDX.
다음 쿼리를 입력하고 F5 키를 눌러 다음을 실행합니다.
Select * from $SYSTEM.DBSCHEMA_CATALOGS결과에는 데이터베이스 이름, 설명, 역할 이름, 마지막 수정한 날짜 등이 포함됩니다. 이 정보를 시작 지점으로 사용해 개별 데이터베이스를 계속 진행하여 특정 역할의 멤버 자격과 사용 권한을 확인할 수 있습니다.
Analysis Services 권한에 대한 전반적인 개요
이 섹션에서는 권한을 구성하는 기본 워크플로를 다룹니다.
1단계: 서버 관리
첫 번째 단계로, 서버 수준에서 관리자 권한을 가질 사용자를 결정합니다. 설치 중 SQL Server를 설치하는 로컬 관리자가 하나 이상의 Windows 계정을 Analysis Services 서버 관리자로 지정해야 합니다. 서버 관리자는 서버의 모든 개체를 보고 수정하고 삭제하거나 연결된 데이터를 볼 수 있는 권한을 비롯하여 서버에 대한 모든 가능한 권한을 가집니다. 설치가 완료된 후 서버 관리자는 계정을 추가하거나 제거하여 이 역할의 멤버 자격을 변경할 수 있습니다. 이 권한 수준에 대한 자세한 내용은 서버 관리자 권한 부여(Analysis Services)를 참조하세요.
2단계: 데이터베이스 관리
이제 생성된 테이블 형식 또는 다차원 솔루션은 서버에 데이터베이스로 배포됩니다. 서버 관리자는 문제의 데이터베이스에 대한 모든 권한을 가진 역할을 정의하여 데이터베이스 관리자 작업을 위임할 수 있습니다. 이 역할의 구성원은 데이터베이스의 개체를 처리하거나 쿼리할 수 있을 뿐 아니라 데이터베이스 자체 내의 큐브, 차원 및 기타 개체에 액세스할 수 있는 추가 역할도 만들 수 있습니다. 자세한 내용은 데이터베이스 권한 부여(Analysis Services)을 참조하십시오.
3단계: 쿼리 및 처리 작업용 큐브 또는 모델 액세스 사용
기본적으로, 서버 및 데이터베이스 관리자만 큐브 또는 테이블 형식 모델에 대한 액세스 권한을 가집니다. 이러한 데이터 구조를 조직의 다른 사람이 사용할 수 있도록 설정하려면 Read 권한을 지정하는 사용 권한과 함께 Windows 사용자 및 그룹 계정을 큐브 또는 모델에 매핑하는 추가적인 역할 할당을 수행해야 합니다. 자세한 내용은 큐브 또는 모델 권한 부여(Analysis Services)를 참조하십시오.
처리 작업을 다른 관리자 역할과 분리하면 서버 및 데이터베이스 관리자가 이 작업을 다른 사람에게 위임하거나 일정 소프트웨어를 실행하는 서비스 계정을 지정하여 무인 처리를 구성할 수 있습니다. 자세한 내용은 처리 권한 부여(Analysis Services)를 참조하십시오.
[!참고]
사용자는 Analysis Services가 데이터를 로드하는 기본 관계형 데이터베이스에 있는 관계형 테이블에 대해 사용 권한이 필요하지 않으며 Analysis Services 인스턴스가 실행되고 있는 컴퓨터에서 파일 수준의 사용 권한도 필요로 하지 않습니다.
4단계(선택 사항): 내부 큐브 개체에 대한 액세스 허용 또는 거부
Analysis Services는 데이터 모델 내의 차원 구성원 및 셀을 비롯하여 개별 개체에 대한 권한을 설정하기 위한 보안 설정을 제공합니다. 자세한 내용은 차원 데이터에 대한 사용자 지정 액세스 부여(Analysis Services) 및 셀 데이터에 대한 사용자 지정 액세스 부여(Analysis Services)를 참조하십시오.
또한 사용자 ID를 기준으로 권한을 다르게 부여할 수 있습니다. 보통 동적 보안이라고 하며 UserName(MDX) 함수를 사용하여 구현됩니다.
최선의 구현 방법
권한 관리 방법을 개선할 수 있도록 다음과 유사한 접근 방법을 사용하는 것이 좋습니다.
역할을 유지하는 모든 사용자가 역할에서 허용하는 권한을 한 번에 볼 수 있도록 함수(예: dbadmin, cubedeveloper, processadmin)별로 역할을 만듭니다. 다른 곳에 설명된 대로 모델 정의에서 역할을 정의할 수 있으므로 후속 솔루션 배포에 대해 이러한 역할을 유지합니다.
Active Directory에서 해당 Windows 보안 그룹을 만든 다음, Active Directory에서 적절한 개인 계정을 포함하는 보안 그룹을 유지합니다. 그러면 조직에서 계정 유지 관리에 사용되는 도구 및 프로세스에 이미 익숙한 보안 전문가에게 보안 그룹 멤버 자격의 책임을 부여할 수 있습니다.
모델이 원본 파일에서 서버로 다시 배포될 때마다 역할 할당을 빠르게 복제할 수 있도록 SQL Server Management Studio에서 스크립트를 생성합니다. 스크립트를 빠르게 생성하는 방법에 대한 자세한 내용은 큐브 또는 모델 권한 부여(Analysis Services)를 참조하세요.
역할의 범위 및 멤버 자격을 나타내는 명명 규칙을 사용합니다. 역할 이름은 설계 및 관리 도구에만 표시되므로, 큐브 보안 전문가가 이해할 수 있는 명명 규칙을 사용하세요. 예를 들어 processadmin-windowsgroup1은 조직에서 개인 Windows 사용자 계정이 windowsgroup1 보안 그룹의 구성원인 사람에게 읽기 권한과 처리 권한을 부여한다는 것을 나타냅니다.
계정 정보를 포함하면 다양한 역할에 사용되는 계정을 추적하는 데 도움이 될 수 있습니다. 역할은 부가적이므로, windowsgroup1과 연결되어 있는 조합된 역할이 해당 보안 그룹에 속하는 사람들의 유효한 권한 집합을 구성합니다.
큐브 개발자에게는 개발 중인 모델 및 데이터베이스에 대한 모든 권한이 필요하지만 데이터베이스가 프로덕션 서버로 전환된 후에는 읽기 권한만 필요합니다. 개발, 테스트 및 프로덕션 개발을 비롯하여 모든 시나리오에 대한 역할 정의 및 할당을 개발해야 합니다.
이와 같은 접근 방법을 사용하면 모델의 역할 정의 및 역할 멤버 자격 변동이 최소화되며 큐브 할당을 시각적으로 파악할 수 있으므로 큐브 권한을 쉽게 구현하고 유지할 수 있습니다.
참고 항목
태스크
서버 관리자 권한 부여(Analysis Services)