Skip to main content
Skip table of contents

Permissions 부여 및 회수하기

Overview

관리자는 사용자 또는 사용자 그룹에 서버 또는 서버그룹에 대한 접근 권한(Permission)을 직접 부여하거나 회수할 수 있습니다. 한번 부여된 Permission은 수정이 불가능하고, 삭제만 가능합니다.

Permissions 부여하기

1. 권한을 부여할 대상을 선택합니다.

image-20240828-015212.png

Administrator > Servers > Server Access Control > Access Control

  1. Administrator > Servers > Server Access Control > Access Control 메뉴로 이동합니다.

  2. 권한을 부여할 사용자 또는 사용자 그룹을 선택합니다.

2. STEP 1 : 권한을 부여할 서버 또는 서버 그룹의 계정을 선택합니다.

image-20240828-015324.png

Administrator > Servers > Server Access Control > Access Control > Details > Grant Permissions Step 1

  1. 먼저 왼쪽 목록에서 접근 권한을 부여할 서버 그룹을 선택합니다.

  2. 선택한 서버 그룹에 속한 서버 및 계정이 오른쪽에 표시됩니다. 목록에서 권한을 부여할 서버와 계정을 선택합니다.

    1. 우측에서 Servers에서 권한을 부여할 서버를 선택합니다.

    2. 우측 하단 Accounts에서 선택된 서버에 접속할 수 있는 Account를 선택합니다.

  3. Next 버튼을 클릭합니다.

3. STEP 2 : 선택한 서버에 대한 접근 가능 정책을 설정합니다.

image-20241209-124201.png

Administrator > Servers > Server Access Control > Access Control > Details > Grant Permissions Step 2

  1. STEP 1 에서 선택했던 전체 계정을 최종 확인하여 잘못 부여된 계정이 없는지 확인합니다. 만약 수정을 원할 경우 Previous 버튼을 클릭하여 이전 단계로 이동할 수 있습니다.

  2. 정책의 각 항목은 아래와 같습니다.

    1. {n} Server(s) selected : 항목은 STEP 1 에서 선택했던 Server 수 x Account의 수가 표시됩니다. 클릭하면 각 항목을 리스트 형태로 확인할 수있습니다.

    2. Protocols : 서버 접속에 사용할 프로토콜을 사용합니다.

    3. Command Template : 서버에 접속 후 사용 불가능한 명령 세트를 설정할 수 있습니다. 하단의 Command Template Details을 클릭하여 설정된 세부 조건을 확인할 수 있습니다.

      • 제약사항: (10.2.1) Grant Permissions에서는 Deny로 설정된 Command Template만 사용이 가능합니다.

    4. Configure Whitelist : Command Template을 통해 명령어를 제어하는 과정에서 특정 명령어에 대한 예외처리 허용을 지원합니다. Configure Whitelist 체크 박스를 체크하면 이하의 설정이 나타납니다:

      1. Commands : 허용이 필요한 명령어를 기입합니다.

        1. Keyword : 키워드로 입력 (ls, cat 등)

        2. RegEx : 정규표현식으로 입력 (^sudo\b[^&|;\n]*$ 등)

      2. Whitelist Expiration Date : 위 명령에 대한 별도 예외처리 만료일자를 지정합니다.

    5. Access Start Time : 접속 가능 시작 시간을 설정합니다.

    6. Access End Time : 접속 가능 종료 시간을 설정합니다.

    7. Access Weekday : 접속을 허용하는 요일을 설정합니다.

    8. IP Addresses : 접속을 허용하는 IP 주소를 설정합니다.

    9. Command Audit : 이 Permission을 통해 연결된 세션에서 사용된 command의 로깅 여부를 설정합니다.

    10. Command Detection : Script 및 Alias가 호출될 때, 내부의 금지 명령어 탐지 여부를 설정합니다.

      • 제약사항: (10.2.1) Bash Shell에서만 동작, Script에서 다른 Script를 호출하는 명령어는 수행 차단

    11. Proxy Usage : QueryPie Agent에서 이 Permission을 통해 서버 접속 가능 여부를 설정합니다.

    12. Max Sessions : 한 유저가 한 서버에 동시 연결 가능한 세션 수를 제한합니다.

    13. Session Timeout (minutes) : 입력된 시간(분) 만큼 활동하지 않으면 세션은 종료됩니다.

    14. Expiration Date : 접속 권한 만료일을 설정합니다. 최대 1년까지 설정할 수 있습니다. (Default = 1년 후)

  3. 우측 하단의 Grant 버튼을 클릭하면 권한 부여가 완료됩니다.

Access Control 권한 회수하기

image-20240421-025726.png

Administrator > Servers > Server Access Control > Access Control > Servers

  1. Server Settings > Server Access Control > Access Control 메뉴로 이동합니다.

  2. 권한을 부여할 사용자 또는 사용자 그룹을 선택합니다.

  3. 접속 가능 서버 목록에서 회수할 서버/계정을 선택합니다. (복수 선택 가능)

  4. 목록 왼쪽 상단에 표시되는 Revoke 버튼을 클릭합니다.

  5. 확인 팝업에서 Revoke 입력 후 Revoke 버튼을 누르면 Role이 성공적으로 회수됩니다.

Q. 권한이 부여되거나 회수된 이력을 확인할 수 있는 곳이 있나요?

A. Audit 메뉴에서 Servers > Access Control Logs 메뉴를 선택하면 확인할 수 있습니다.

Command Whitelist 별도 부여하기

해당 기능은 Direct Permission에 한정하여 화이트리스트 기능을 제공하고 있습니다. 기존에 이미 부여된 내역에 화이트리스트 대상을 다시 부여하는 경우, 기존의 화이트리스트를 회수하고 새로 다시 부여합니다.

image-20241209-124830.png

Administrator > Servers > Server Access Control > Access Control > Servers > Server Details

  1. Administrator > Servers > Server Access Control > Access Control 메뉴로 이동합니다.

  2. 별도 명령어 예외처리 권한을 부여할 사용자 또는 사용자 그룹을 선택합니다.

  3. Servers 탭 목록에서 대상 서버/계정을 선택하여 드로워 상세 페이지에 진입합니다.

  4. 상세 페이지 하단에 Whitelisted Commands 하단의 Configure 버튼을 클릭합니다.

  5. 모달이 나타나면, 이하를 설정한 뒤 Grant 버튼을 클릭하여 예외처리를 마무리합니다.

    1. Commands : 허용이 필요한 명령어를 기입합니다.

      1. Keyword : 키워드로 입력 (ls, cat 등)

      2. RegEx : 정규표현식으로 입력 (^sudo\b[^&|;\n]*$ 등)

    2. Whitelist Expiration Date : 위 명령에 대한 별도 예외처리 만료일자를 지정합니다.

Q. 권한이 부여되거나 회수된 이력을 확인할 수 있는 곳이 있나요?

A. Audit 메뉴에서 Servers > Access Control Logs 메뉴를 선택하면 Whitelist Granted/Revoked 이벤트를 확인할 수 있습니다.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.