Analysis Services 데이터베이스 내의 큐브, 차원 및 마이닝 모델에 대한 비관리 사용자 액세스 권한은 하나 이상의 데이터베이스 역할의 멤버 자격을 통해 부여됩니다. Analysis Services 관리자는 이러한 데이터베이스 역할을 만들어 Analysis Services 개체에 대한 읽기 또는 읽기/쓰기 권한을 부여한 다음 Microsoft Windows 사용자 및 그룹을 각 역할에 할당합니다.
Analysis Services는 사용자 또는 그룹이 속한 각 데이터베이스 역할과 연결된 권한을 결합하여 특정 Windows 사용자 또는 그룹에 대한 유효 권한을 결정합니다. 따라서 한 데이터베이스 역할이 사용자 또는 그룹에게 차원, 측정값 또는 특성을 볼 수 있는 권한을 부여하지 않지만 다른 데이터베이스 역할이 해당 사용자 또는 그룹 권한을 부여하는 경우 사용자 또는 그룹은 개체를 볼 수 있는 권한을 갖습니다.
중요합니다
Analysis Services 서버 관리자 역할의 멤버 및 모든 권한(관리자) 권한이 있는 데이터베이스 역할의 멤버는 데이터베이스의 모든 데이터 및 메타데이터에 액세스할 수 있으며 특정 개체를 볼 수 있는 추가 권한이 필요하지 않습니다. 또한 Analysis Services 서버 역할의 멤버는 데이터베이스의 개체에 대한 액세스를 거부할 수 없으며, 데이터베이스 내에서 모든 권한(관리자) 권한이 있는 Analysis Services 데이터베이스 역할의 멤버는 해당 데이터베이스 내의 개체에 대한 액세스를 거부할 수 없습니다. 처리와 같은 특수한 관리 작업은 권한이 적은 별도의 역할을 통해 권한을 부여할 수 있습니다. 자세한 내용은 프로세스 권한 부여(Analysis Services) 를 참조하세요.
데이터베이스에 대해 정의된 역할 나열
관리자는 SQL Server Management Studio에서 간단한 DMV 쿼리를 실행하여 서버에 정의된 모든 역할 목록을 가져올 수 있습니다.
SSMS에서 데이터베이스를 마우스 오른쪽 단추로 클릭하고 새 쿼리 | MDX를 선택합니다.
다음 쿼리를 입력하고 F5 키를 눌러 실행합니다.
Select * from $SYSTEM.DBSCHEMA_CATALOGS결과에는 데이터베이스 이름, 설명, 역할 이름 및 마지막으로 수정한 날짜가 포함됩니다. 이 정보를 시작점으로 사용하여 개별 데이터베이스로 이동하여 특정 역할의 멤버 자격 및 권한을 확인할 수 있습니다.
Analysis Services 권한 부여의 하향식 개요
이 섹션에서는 사용 권한을 구성하기 위한 기본 워크플로에 대해 설명합니다.
1단계: 서버 관리
첫 번째 단계로 서버 수준에서 관리자 권한이 있는 사용자를 결정합니다. 설치하는 동안 SQL Server를 설치하는 로컬 관리자는 하나 이상의 Windows 계정을 Analysis Services 서버 관리자로 지정해야 합니다. 서버 관리자는 서버에서 모든 개체를 보고 수정하고 삭제하거나 연결된 데이터를 볼 수 있는 권한을 포함하여 서버에 대해 가능한 모든 권한을 갖습니다. 설치가 완료되면 서버 관리자가 계정을 추가하거나 제거하여 이 역할의 멤버 자격을 변경할 수 있습니다. 이 사용 권한 수준에 대한 자세한 내용은 서버 관리자 권한 부여(Analysis Services) 를 참조하세요.
2단계: 데이터베이스 관리
다음으로 테이블 형식 또는 다차원 솔루션이 만들어지면 서버에 데이터베이스로 배포됩니다. 서버 관리자는 해당 데이터베이스에 대한 모든 권한이 있는 역할을 정의하여 데이터베이스 관리 작업을 위임할 수 있습니다. 이 역할의 멤버는 데이터베이스의 개체를 처리하거나 쿼리할 뿐만 아니라 데이터베이스 자체 내에서 큐브, 차원 및 기타 개체에 액세스하기 위한 추가 역할을 만들 수 있습니다. 자세한 내용은 데이터베이스 권한 부여(Analysis Services) 를 참조하세요.
3단계: 쿼리 및 처리 워크로드에 큐브 또는 모델 액세스 사용
기본적으로 서버 및 데이터베이스 관리자만 큐브 또는 테이블 형식 모델에 액세스할 수 있습니다. 조직의 다른 사용자가 이러한 데이터 구조를 사용할 수 있도록 하려면 Windows 사용자 및 그룹 계정을 큐브 또는 모델에 매핑하는 추가 역할 할당과 권한을 지정 Read 하는 권한이 필요합니다. 자세한 내용은 큐브 또는 모델 권한 부여(Analysis Services) 를 참조하세요.
처리 작업은 다른 관리 기능과 격리할 수 있으므로 서버 및 데이터베이스 관리자가 이 작업을 다른 사용자에게 위임하거나 예약 소프트웨어를 실행하는 서비스 계정을 지정하여 무인 처리를 구성할 수 있습니다. 자세한 내용은 프로세스 권한 부여(Analysis Services) 를 참조하세요.
비고
사용자는 Analysis Services에서 데이터를 로드하는 기본 관계형 데이터베이스의 관계형 테이블에 대한 사용 권한이 필요하지 않으며 Analysis Services 인스턴스가 실행 중인 컴퓨터에 대한 파일 수준 권한이 필요하지 않습니다.
4단계(선택 사항): 내부 큐브 개체에 대한 액세스 허용 또는 거부
Analysis Services는 데이터 모델 내의 차원 멤버 및 셀을 포함하여 개별 개체에 대한 사용 권한을 설정하기 위한 보안 설정을 제공합니다. 자세한 내용은 차원 데이터에 대한 사용자 지정 액세스 권한 부여(Analysis Services) 및 셀 데이터에 대한 사용자 지정 액세스 권한 부여(Analysis Services)를 참조하세요.
사용자 ID에 따라 사용 권한을 변경할 수도 있습니다. 이를 동적 보안이라고도 하며 MDX(UserName) 함수를 사용하여 구현됩니다.
모범 사례
사용 권한을 더 잘 관리하려면 다음과 유사한 방법을 권장합니다.
역할을 유지 관리하는 사람이 역할이 허용하는 것을 한 눈에 볼 수 있도록 함수별 역할(예: dbadmin, cubedeveloper, processadmin)을 만듭니다. 다른 곳에서 설명한 것처럼 모델 정의에서 역할을 정의하여 후속 솔루션 배포를 통해 해당 역할을 유지할 수 있습니다.
Active Directory에서 해당 Windows 보안 그룹을 만든 다음 Active Directory에서 보안 그룹을 유지 관리하여 적절한 개별 계정이 포함되도록 합니다. 이렇게 하면 조직의 계정 유지 관리에 사용되는 도구 및 프로세스에 대한 숙련도를 이미 갖춘 보안 전문가에게 보안 그룹 멤버 자격을 맡깁니다.
모델이 원본 파일에서 서버로 다시 배포될 때마다 역할 할당을 신속하게 복제할 수 있도록 SQL Server Management Studio에서 스크립트를 생성합니다. 스크립트를 빠르게 생성하는 방법에 대한 자세한 내용은 큐브 또는 모델 권한 부여(Analysis Services) 를 참조하세요.
역할의 범위와 멤버 자격을 반영하는 명명 규칙을 채택합니다. 역할 이름은 디자인 및 관리 도구에서만 볼 수 있으므로 큐브 보안 전문가에게 적합한 명명 규칙을 사용합니다. 예를 들어 processadmin-windowsgroup1 은 개별 Windows 사용자 계정이 windowsgroup1 보안 그룹의 구성원인 조직의 사용자에 대한 읽기 액세스 및 처리 권한을 나타냅니다.
계정 정보를 포함하면 다양한 역할에서 사용되는 계정을 추적하는 데 도움이 될 수 있습니다. 역할은 가산적이므로 windowsgroup1 과 연결된 결합된 역할은 해당 보안 그룹에 속한 사용자에게 유효한 권한 집합을 구성합니다.
큐브 개발자는 개발 중인 모델 및 데이터베이스에 대한 모든 권한을 요구하지만 데이터베이스가 프로덕션 서버에 롤아웃된 후에만 읽기 권한이 필요합니다. 개발, 테스트 및 프로덕션 배포를 비롯한 모든 시나리오에 대한 역할 정의 및 할당을 개발해야 합니다.
이와 같은 방법을 사용하면 모델의 역할 정의 및 역할 멤버 자격에 대한 변동을 최소화하고 큐브 권한을 보다 쉽게 구현하고 유지 관리할 수 있는 역할 할당에 대한 가시성을 제공합니다.
또한 참조하십시오
서버 관리자 권한 부여(Analysis Services)
역할 및 권한(Analysis Services)
Analysis Services에서 지원하는 인증 방법