데이터 수집기 보안Data Collector Security

데이터 수집기는 SQL ServerSQL Server 에이전트에서 구현하는 역할 기반 보안 모델을 사용합니다.The data collector uses the role-based security model implemented by SQL ServerSQL Server Agent. 이 모델을 사용하면 데이터베이스 관리자가 해당 태스크를 수행하는 데 반드시 필요한 사용 권한만 있는 보안 컨텍스트에서 다양한 데이터 수집기 태스크를 실행할 수 있습니다.This model lets the database administrator run the various data collector tasks in a security context that has only the permissions required to perform that task. 이 방법은 저장 프로시저 또는 뷰를 사용해야만 액세스할 수 있는 내부 테이블 관련 작업에도 사용됩니다.This approach is also used for operations involving internal tables, which can only be accessed by using a stored procedure or view. 내부 테이블에 대한 사용 권한이 부여되지 않는 대신,No permissions are granted to internal tables. 해당 테이블에 액세스하는 데 사용되는 저장 프로시저 또는 뷰의 사용자에 대해 사용 권한을 확인합니다.Instead, permissions are checked on the user of the stored procedure or view that is used to access a table.

중요

이 보안 모델의 다른 핵심 요소는 공통적 사용 권한입니다.Another key aspect of this security model is concentric permissions. 공통적 사용 권한에서는 개체(예: 경고, 운영자, 작업, 일정 및 프록시)에 대해 사용 권한이 많은 역할이 사용 권한이 적은 역할의 사용 권한을 상속받습니다.Under concentric permissions, more privileged roles inherit the permissions of less privileged roles on objects (including alerts, operators, jobs, schedules, and proxies). 자세한 내용은 SQL Server Agent Fixed Database Roles을 참조하세요.For more information, see SQL Server Agent Fixed Database Roles.

다음 섹션에서는 일반적인 데이터 컬렉션 보안을 비롯하여 데이터 수집기를 구성 및 사용하고 관리 데이터 웨어하우스 관련 태스크를 수행할 수 있도록 사용자에게 부여해야 하는 역할에 대해 설명합니다.The following sections describe data collection security in general, as well as the roles you must grant to users so they can configure and use the data collector, and carry out tasks associated with the management data warehouse.

일반 보안General Security

데이터 수집기는 SQL Server 2017SQL Server 2017에 대해 지정된 문서화된 표준에 따라 설치됩니다.The data collector is installed according to the documented standards specified for SQL Server 2017SQL Server 2017.

네트워크 보안Network Security

대상 인스턴스, 구성 서버와 연결된 관계형 인스턴스, 실행 중인 컬렉션 집합 및 관리 데이터 웨어하우스를 호스팅하는 서버 간에 중요한 정보를 전달할 수 있습니다.Sensitive information can be passed between target instances, the relational instance associated with the configuration server, the collection sets that are running, and the server that hosts the management data warehouse.

네트워크를 통해 전송되는 데이터를 보호하기 위해 Transact-SQLTransact-SQL에 대한 프로토콜 암호화와 같은 표준 보안 메커니즘이 구현됩니다.To protect any data that is transferred over a network, the standard security mechanisms are implemented, such as protocol encryption for Transact-SQLTransact-SQL.

데이터 수집기 구성 및 사용 권한Permissions for Configuring and Using the Data Collector

태스크에 따라 사용자는 데이터 수집기에 대해 제공된 하나 이상의 고정 데이터베이스 역할의 멤버여야 합니다.Depending on the task, users must be members of one or more of the fixed database roles provided for the data collector. 역할은 액세스 권한이 많은 것부터 적은 순서대로 다음과 같습니다.In order of most-privileged to least-privileged access, the roles are as follows:

  • dc_admindc_admin

  • dc_operatordc_operator

  • dc_proxydc_proxy

    이러한 역할은 msdb 데이터베이스에 저장됩니다.These roles are stored in the msdb database. 기본적으로 사용자는 이러한 데이터베이스 역할의 멤버가 아닙니다.By default, no user is a member of these database roles. 이러한 역할의 사용자 멤버 자격은 명시적으로 부여되어야 합니다.User membership in these roles must be granted explicitly.

    sysadmin 고정 서버 역할의 멤버인 사용자는 SQL ServerSQL Server 에이전트 개체 및 데이터 수집기 뷰에 대한 모든 액세스 권한을 가집니다.Users who are members of the sysadmin fixed server role have full access to SQL ServerSQL Server Agent objects and data collector views. 단, 데이터 수집기 역할에 명시적으로 추가되어야 합니다.However, they need to be explicitly added to data collector roles.

중요

db_ssisadmin 및 dc_admin 역할의 멤버는 해당 권한을 sysadmin으로 승격할 수 있습니다.Members of the db_ssisadmin role and the dc_admin role may be able to elevate their privileges to sysadmin. 이러한 권한 승격이 발생할 수 있는 것은 이러한 역할이 Integration ServicesIntegration Services 패키지를 수정할 수 있고 Integration ServicesIntegration Services 에서 SQL ServerSQL Server 에이전트의 sysadmin 보안 컨텍스트를 사용하여 SQL ServerSQL Server 패키지를 실행할 수 있기 때문입니다.This elevation of privilege can occur because these roles can modify Integration ServicesIntegration Services packages and Integration ServicesIntegration Services packages can be executed by SQL ServerSQL Server using the sysadmin security context of SQL ServerSQL Server Agent. 유지 관리 계획, 데이터 컬렉션 집합 및 기타 Integration ServicesIntegration Services 패키지를 실행할 때 이러한 권한 상승이 발생하지 않도록 하려면 패키지를 실행하는 SQL ServerSQL Server 에이전트 작업이 제한된 권한을 갖는 프록시 계정을 사용하도록 구성하거나 db_ssisadmin 및 dc_admin 역할에 sysadmin 멤버만 추가합니다.To guard against this elevation of privilege when running maintenance plans, data collection sets, and other Integration ServicesIntegration Services packages, configure SQL ServerSQL Server Agent jobs that run packages to use a proxy account with limited privileges or only add sysadmin members to the db_ssisadmin and dc_admin roles.

dc_admin 역할dc_admin Role

dc_admin 역할에 할당된 사용자는 서버 인스턴스의 데이터 수집기 구성에 대한 모든 관리자 권한(만들기, 읽기, 업데이트 및 삭제)을 갖습니다.Users assigned to the dc_admin role have full administrator access (Create, Read, Update, and Delete) to the data collector configuration on a server instance. 이 역할의 멤버는 다음 작업을 수행할 수 있습니다.Members of this role can perform the following operations:

  • 수집기 수준 속성 설정Set collector-level properties.

  • 새 컬렉션 집합 추가Add new collection sets.

  • 새 컬렉션 유형 설치Install new collection types.

  • dc_operator 역할에 허용된 모든 작업 수행Perform all the operations permitted to the dc_operator role.

    dc_admin 역할은 다음 역할의 멤버입니다.The dc_admin role is a member of the following roles:

  • SQLAgentUserRole.SQLAgentUserRole. 이 역할은 일정을 만들고 작업을 실행하기 위해 필요합니다.This role is required to create schedules and run jobs.

    참고

    프록시가 필요한 작업 단계에서 프록시를 만들어 사용하려면 데이터 수집기에 대해 생성된 프록시가 dc_admin 에 액세스 권한을 부여해야 합니다.Proxies created for the data collector must grant access to dc_admin to create them and use them in any job steps that require a proxy.

  • dc_operator.dc_operator. dc_admin 의 멤버는 dc_operator에 부여된 사용 권한을 상속받습니다.Members of dc_admin inherit the permissions given to dc_operator.

dc_operator 역할dc_operator Role

dc_operator 역할의 멤버는 읽기 및 업데이트 권한을 갖습니다.Members of the dc_operator role have Read and Update access. 이 역할은 컬렉션 집합 실행 및 구성과 관련된 작업 태스크를 지원합니다.This role supports operations tasks related to running and configuring collection sets. 이 역할의 멤버는 다음 작업을 수행할 수 있습니다.Members of this role can perform the following operations:

  • 컬렉션 집합 시작 또는 중지Start or stop a collection set.

  • 기존 컬렉션 집합 열거Enumerate existing collection sets.

  • 컬렉션 항목 및 컬렉션 빈도와 같은 컬렉션 집합 관련 세부 정보 확인View the detailed information (for example, collection items, and collection frequency) associated with a collection set.

  • 기존 컬렉션 집합의 업로드 빈도 변경Change the upload frequency for existing collection sets.

  • 기존 컬렉션 집합의 일부인 컬렉션 항목의 컬렉션 빈도 변경Change the collection frequency for collection items that are part of an existing collection set.

    dc_operator 역할은 데이터 수집기 패키지를 열거하고 보는 데 필요한 다음 역할의 멤버입니다.The dc_operator role is a member of the following roles that are required for enumerating and viewing data collector packages:

  • db_ssisltduserdb_ssisltduser

  • db_ssisoperatordb_ssisoperator

    자세한 내용은 Integration Services 경로(SSIS Service)를 참조하세요.For more information, see Integration Services Roles (SSIS Service).

dc_proxy 역할dc_proxy Role

dc_proxy 역할의 멤버는 데이터 수집기 컬렉션 집합 및 수집기 수준 속성에 대한 읽기 권한을 갖습니다.Members of the dc_proxy role have Read access to data collector collection sets and collector-level properties. 이 역할의 멤버는 자신이 소유하는 작업을 실행할 수 있으며 기존 프록시 계정으로 실행되는 작업 단계를 만들 수도 있습니다.Members of this role can also execute jobs that they own and create job steps that run as an existing proxy account.

이 역할의 멤버는 다음 작업을 수행할 수 있습니다.Members of this role can perform the following operations:

  • 컬렉션 항목에 대한 입력 매개 변수 및 이러한 항목의 컬렉션 빈도와 같은 컬렉션 집합 구성 정보 확인View collection set configuration information (for example, input parameters for collection items, and the collection frequency for these items).

  • 데이터 업로드에 사용되는 데이터 웨어하우스 연결 정보와 같이 서명된 저장 프로시저로만 액세스할 수 있는 암호화된 내부 정보 가져오기Obtain internal encrypted information that can only be accessed by a signed stored procedure (for example, data warehouse connection information used for data uploads).

  • 컬렉션 집합 런타임 이벤트 기록Log collection-set run-time events.

    dc_proxy 역할은 데이터 수집기 패키지를 열거하고 보는 데 필요한 다음 역할의 멤버입니다.The dc_proxy role is a member of the following roles that are required for enumerating and viewing data collector packages:

  • db_ssisltduser.db_ssisltduser.

  • db_ssisoperatordb_ssisoperator

    자세한 내용은 Integration Services 경로(SSIS Service)를 참조하세요.For more information, see Integration Services Roles (SSIS Service).

관리 데이터 웨어하우스 구성 및 사용 권한Permissions for Configuring and Using the Management Data Warehouse

태스크에 따라 사용자는 관리 데이터 웨어하우스에 액세스하기 위해 제공된 하나 이상의 고정 데이터베이스 역할의 멤버여야 합니다.Depending on the task, users must be members of one or more of the fixed database roles provided for accessing the management data warehouse. 역할은 액세스 권한이 많은 것부터 적은 순서대로 다음과 같습니다.In order of most-privileged to least-privileged access, the roles are as follows:

  • mdw_adminmdw_admin

  • mdw_writermdw_writer

  • mdw_readermdw_reader

    이러한 역할은 msdb 데이터베이스에 저장됩니다.These roles are stored in the msdb database. 기본적으로 사용자는 이러한 데이터베이스 역할의 멤버가 아닙니다.By default, no user is a member of these database roles. 이러한 역할의 사용자 멤버 자격은 명시적으로 부여되어야 합니다.User membership in these roles must be granted explicitly.

    sysadmin 고정 서버 역할의 멤버인 사용자는 데이터 수집기 뷰에 대한 모든 액세스 권한을 가집니다.Users who are members of the sysadmin fixed server role have full access to data collector views. 하지만 다른 작업을 수행하기 위한 데이터베이스 역할에 명시적으로 추가되어야 합니다.However, they need to be explicitly added to database roles to perform other operations.

mdw_admin 역할mdw_admin Role

mdw_admin 역할의 멤버는 관리 데이터 웨어하우스에 대한 읽기, 쓰기, 업데이트 및 삭제 권한을 갖습니다.Members of the mdw_admin role have Read, Write, Update, and Delete access to the management data warehouse.

이 역할의 멤버는 다음 작업을 수행할 수 있습니다.Members of this role can perform the following operations:

  • 새 컬렉션 유형 설치 시 새 테이블을 추가하는 것과 같이 필요 시 관리 데이터 웨어하우스 스키마 변경.Change the management data warehouse schema when required (for example, adding a new table when a new collection type is installed).

    참고

    스키마를 변경할 경우 새 수집기 유형 설치에 msdb의 데이터 수집기 구성에 대한 업데이트 권한이 필요하므로 해당 동작을 수행하려면 사용자가 dc_admin 역할의 멤버이기도 해야 합니다.Where there is a schema change, the user must also be a member of the dc_admin role to install a new collector type, since this action requires permission to update the data collector configuration in msdb.

  • 관리 데이터 웨어하우스에 대한 보관 또는 정리와 같은 유지 관리 작업 실행Run maintenance jobs on the management data warehouse, such as archive or cleanup.

mdw_writer 역할mdw_writer Role

mdw_writer 역할의 멤버는 관리 데이터 웨어하우스에 데이터를 업로드하고 쓸 수 있습니다.Members of the mdw_writer role can upload and write data to the management data warehouse. 관리 데이터 웨어하우스에 데이터를 저장하는 모든 데이터 수집기는 이 역할의 멤버여야 합니다.Any data collector that stores data in the management data warehouse has to be a member of this role.

mdw_reader 역할mdw_reader Role

mdw_reader 역할의 멤버는 관리 데이터 웨어하우스에 대한 읽기 권한을 갖습니다.Members of the mdw_reader role have Read access to the management data warehouse. 이 역할은 기록 데이터에 대한 액세스를 제공하여 문제 해결을 지원하기 위한 것이므로 이 역할의 멤버는 관리 데이터 웨어하우스 스키마의 다른 요소를 볼 수 없습니다.Because the purpose of this role is to support troubleshooting by providing access to historical data, members of this role cannot view other elements of the management data warehouse schema.

참고 항목See Also

SQL Server 에이전트 보안 구현Implement SQL Server Agent Security