데이터 수집기 보안

적용 대상:SQL Server

데이터 수집기는 SQL Server 에이전트 구현된 역할 기반 보안 모델을 사용합니다. 이 모델을 사용하면 데이터베이스 관리자가 해당 태스크를 수행하는 데 반드시 필요한 사용 권한만 있는 보안 컨텍스트에서 다양한 데이터 수집기 태스크를 실행할 수 있습니다. 이 방법은 저장 프로시저 또는 뷰를 사용해야만 액세스할 수 있는 내부 테이블과 관련된 작업에도 사용됩니다. 내부 테이블에는 권한이 부여되지 않습니다. 대신 테이블에 액세스하는 데 사용되는 저장 프로시저 또는 뷰의 사용자에 대한 사용 권한이 검사.

다음 섹션에서는 일반적인 데이터 컬렉션 보안을 비롯하여 데이터 수집기를 구성 및 사용하고 관리 데이터 웨어하우스 관련 태스크를 수행할 수 있도록 사용자에게 부여해야 하는 역할에 대해 설명합니다.

일반 보안

데이터 수집기는 SQL Server에 지정된 문서화된 표준에 따라 설치됩니다.

네트워크 보안

대상 인스턴스, 구성 서버와 연결된 관계형 인스턴스, 실행 중인 컬렉션 집합 및 관리 데이터 웨어하우스를 호스트하는 서버 간에 중요한 정보를 전달할 수 있습니다.

네트워크를 통해 전송되는 모든 데이터를 보호하기 위해 Transact-SQL에 대한 프로토콜 암호화와 같은 표준 보안 메커니즘이 구현됩니다.

데이터 수집기 구성 및 사용에 대한 권한

작업에 따라 사용자는 데이터 수집기용으로 제공된 하나 이상의 고정 데이터베이스 역할의 멤버여야 합니다. 최소 권한 액세스에 대한 가장 권한이 있는 순서대로 역할은 다음과 같습니다.

• dc_admin
• dc_operator
• dc_proxy

이러한 역할은 데이터베이스에 msdb 저장됩니다. 기본적으로 사용자는 이러한 데이터베이스 역할의 멤버가 아닙니다. 이러한 역할의 사용자 멤버 자격은 명시적으로 부여되어야 합니다.

sysadmin 고정 서버 역할의 멤버인 사용자는 SQL Server 에이전트 개체 및 데이터 수집기 뷰에 대한 모든 권한을 가집니다. 그러나 데이터 수집기 역할에 명시적으로 추가해야 합니다.

dc_admin 역할

dc_admin 역할에 할당된 사용자는 서버 인스턴스의 데이터 수집기 구성에 대한 전체 관리자 액세스(만들기, 읽기, 업데이트 및 삭제)를 갖습니다. 이 역할의 멤버는 다음 작업을 수행할 수 있습니다.

• 수집기 수준 속성을 설정합니다.
• 새 컬렉션 집합을 추가합니다.
• 새 컬렉션 형식을 설치합니다.
• dc_operator 역할에 허용된 모든 작업 수행

dc_admin 역할은 다음 역할의 구성원입니다.

• SQLAgentUserRole. 이 역할은 일정을 만들고 작업을 실행하기 위해 필요합니다.

  참고 항목

  데이터 수집기용으로 만든 프록시는 프록시를 만들고 프록시가 필요한 모든 작업 단계에서 사용하기 위해 dc_admin 대한 액세스 권한을 부여해야 합니다.

• dc_operator. dc_admin 멤버는 dc_operator 부여된 권한을 상속합니다.

dc_operator 역할

dc_operator 역할의 멤버는 읽기 및 업데이트 액세스 권한이 있습니다. 이 역할은 컬렉션 집합 실행 및 구성과 관련된 작업 태스크를 지원합니다. 이 역할의 멤버는 다음 작업을 수행할 수 있습니다.

• 컬렉션 집합을 시작하거나 중지합니다.

• 기존 컬렉션 집합을 열거합니다.

• 컬렉션 집합과 관련된 자세한 정보(예: 컬렉션 항목 및 컬렉션 빈도)를 확인합니다.

• 기존 컬렉션 집합의 업로드 빈도를 변경합니다.

• 기존 컬렉션 집합의 일부인 컬렉션 항목의 컬렉션 빈도를 변경합니다.

dc_operator 역할은 데이터 수집기 패키지를 열거하고 보는 데 필요한 다음 역할의 멤버입니다.

• db_ssisltduser
• db_ssisoperator

자세한 내용은 Integration Services 역할(SSIS 서비스)을 참조하세요.

dc_proxy 역할

dc_proxy 역할의 멤버는 데이터 수집기 컬렉션 집합 및 수집기 수준 속성에 대한 읽기 권한이 있습니다. 이 역할의 멤버는 자신이 소유한 작업을 실행하고 기존 프록시 계정으로 실행되는 작업 단계를 만들 수도 있습니다.

이 역할의 멤버는 다음 작업을 수행할 수 있습니다.

• 컬렉션 집합 구성 정보 보기(예: 컬렉션 항목의 입력 매개 변수 및 이러한 항목의 컬렉션 빈도).

• 서명된 저장 프로시저(예: 데이터 업로드에 사용되는 데이터 웨어하우스 연결 정보)에서만 액세스할 수 있는 내부 암호화된 정보를 가져옵니다.

• 로그 컬렉션 집합 런타임 이벤트입니다.

dc_proxy 역할은 데이터 수집기 패키지를 열거하고 보는 데 필요한 다음 역할의 멤버입니다.

• db_ssisltduser.
• db_ssisoperator

자세한 내용은 Integration Services 역할(SSIS 서비스)을 참조하세요.

관리 데이터 웨어하우스 구성 및 사용에 대한 권한

태스크에 따라 사용자는 관리 데이터 웨어하우스에 액세스하기 위해 제공된 하나 이상의 고정 데이터베이스 역할의 멤버여야 합니다. 최소 권한 액세스에 대한 가장 권한이 있는 순서대로 역할은 다음과 같습니다.

• mdw_admin
• mdw_writer
• mdw_reader

이러한 역할은 데이터베이스에 msdb 저장됩니다. 기본적으로 사용자는 이러한 데이터베이스 역할의 멤버가 아닙니다. 이러한 역할의 사용자 멤버 자격은 명시적으로 부여되어야 합니다.

sysadmin 고정 서버 역할의 멤버인 사용자는 데이터 수집기 뷰에 대한 모든 액세스 권한을 가집니다. 그러나 다른 작업을 수행하려면 데이터베이스 역할에 명시적으로 추가해야 합니다.

mdw_admin 역할

mdw_admin 역할의 멤버는 관리 데이터 웨어하우스에 대한 읽기, 쓰기, 업데이트 및 삭제 액세스 권한이 있습니다.

이 역할의 멤버는 다음 작업을 수행할 수 있습니다.

• 필요한 경우 관리 데이터 웨어하우스 스키마를 변경합니다(예: 새 컬렉션 형식이 설치될 때 새 테이블 추가).

  스키마 변경이 있는 경우 사용자는 새 수집기 형식을 설치하기 위해 dc_admin 역할의 멤버여야 합니다. 이 작업을 수행하려면 데이터 수집기 구성을 업데이트할 수 있는 msdb권한이 필요하기 때문에

• 관리 데이터 웨어하우스에서 기본 테넌스 작업(예: 보관 또는 클린up)을 실행합니다.

mdw_writer 역할

mdw_writer 역할의 멤버는 관리 데이터 웨어하우스에 데이터를 업로드하고 쓸 수 있습니다. 관리 데이터 웨어하우스에 데이터를 저장하는 모든 데이터 수집기는 이 역할의 멤버여야 합니다.

mdw_reader 역할

mdw_reader 역할의 멤버는 관리 데이터 웨어하우스에 대한 읽기 권한이 있습니다. 이 역할의 목적은 기록 데이터에 대한 액세스를 제공하여 문제 해결을 지원하는 것이므로 이 역할의 멤버는 관리 데이터 웨어하우스 스키마의 다른 요소를 볼 수 없습니다.

관련 콘텐츠

• SQL Server 에이전트 보안 구현