권한 모델 한 눈에 보기 (7분)
D.Hub 의 역할(Reader/Writer/Owner)·컬렉션 ceiling·세분화된 정책(FGAC) 세 층을 관리자 한 페이지 요약 수준으로 정리합니다. 보안·법무 사전 조사 첫 30분에 들어맞게.
이 튜토리얼이 끝나면
- "누가 무엇을 보고 만질 수 있는가" 라는 질문에 포털 어휘로 답할 수 있다.
- AD/SAML/OIDC 사전 지식이 D.Hub 의 세 권한 층(역할 · 컬렉션 ceiling · FGAC) 어디에 매핑되는지 한 표로 잡힌다.
- 보안팀·법무팀 사전 조사용 한 페이지 요약의 권한 항목을 채울 만큼의 확신이 선다.
한 줄 요약 — D.Hub 권한은 (1) 자원별 역할 3단(Owner/Writer/Reader), (2) 컬렉션이 하위 자산의 상한선, (3) 같은 데이터셋도 사용자별로 컬럼·행을 다르게 가리는 FGAC 정책, 이 세 층의 곱(intersection)으로 결정된다.
1. 사전 지식 매핑 (1분)
엔터프라이즈 IT 어휘에서 들어왔다면 다음 매핑을 먼저 머리에 둔다.
| 익숙한 어휘 | D.Hub 어휘 | 비고 |
|---|---|---|
| AD 사용자·그룹 | 사용자·그룹 (로컬 / IdP 동기화) | IdP 그룹은 단방향 동기화 (IdP → D.Hub). |
| 역할 기반 접근(RBAC) | 역할 기반 권한 (Owner / Writer / Reader) | "관계 기반(ReBAC) + Ceiling" 변형. |
| 컬럼·행 수준 보안(CLS/RLS) | 세분화된 정책 (FGAC) | 데이터셋 단위, 대상별 컬럼 마스킹·행 필터. |
| 그룹 정책 / GPO | (없음) | 권한은 자원 단위 부여가 기본. 그룹 권한은 자원에 부착. |
용어 매핑은 본 튜토리얼 안에서만 쓰는 안내가 아니라 포털 본 화면의 라벨 그대로다. 사이드바 시스템 → 설정 → 사용자 / 그룹 / 인증 에서 곧바로 확인된다.
2. 자원별 역할 3단 (1분 30초)
자원(컬렉션 · 데이터셋 · 코드 · 파이프라인 · 지식 · 대시보드 · 에이전트 · 온톨로지)마다 사용자·그룹에 하나의 역할을 부여한다.
| 역할 | 조회 | 편집 | 삭제 · 권한 관리 |
|---|---|---|---|
| 뷰어 (Reader) | ✓ | ||
| 편집자 (Writer) | ✓ | ✓ | |
| 소유자 (Owner) | ✓ | ✓ | ✓ |
- 역할은 누적이다. Owner 는 Writer 권한을, Writer 는 Reader 를 포함한다.
- 자원을 만든 사용자에게 자동으로 Owner 가 부여되고, 이후 Owner 가 다른 사용자·그룹에 권한을 부여·회수한다.
- 권한 부여 대상은 사용자 또는 그룹. 그룹에 부여하면 멤버십 변경이 곧장 권한에 반영된다.
3. 컬렉션 ceiling 모델 (1분 30초)
컬렉션에 부여된 권한은 하위 자산의 상한선(Ceiling) 으로 동작한다. D.Hub 권한 모델의 특이점이고, 사전 조사에서 가장 자주 놓치는 지점이다.
- 컬렉션 뷰어 인 사용자는 그 안의 데이터셋·대시보드에서 편집자가 될 수 없다.
- 하위 자산에 권한을 부여할 때 멤버의 컬렉션 역할을 넘는 권한은 상한 배지로 차단된다.
- 컬렉션에서 사용자의 역할을 낮추거나 제거하면 그 영향이 하위 자산으로 자동 전파되고, 변경 직전에 영향 범위가 모달로 뜬다.
운영 관점에서의 의미 — 데이터셋 한 개의 권한을 부여·회수하기 전에 그 컬렉션의 멤버 구성을 먼저 봐야 한다. 그러지 않으면 "왜 Writer 를 줬는데도 편집이 안 되느냐" 같은 문의가 되풀이된다.
4. 세분화된 정책 — 같은 데이터셋, 다른 뷰 (1분 30초)
역할이 "이 데이터셋을 볼 수 있는가" 를 결정한다면, 정책(Policies, FGAC) 은 그 위에 컬럼 마스킹 · 행 필터를 얹어 같은 데이터셋도 사용자·그룹별로 보이는 범위와 형태를 다르게 만든다.
- 컬럼 마스킹 — 컬럼 숨김 · NULL 대체 · 고정 텍스트 · 앞/뒤 N자리 · 해시(SHA-256/MD5) 중 택1. 스키마는 그대로 두고 값만 대상별로 달라진다.
- 행 필터 —
컬럼 · 연산자 · 값조건을 AND/OR 그룹으로 묶어 중첩(최대 3단계). WHERE 절과 같다. - 적용 단위 — 데이터셋 단위. 데이터셋 상세의 데이터 접근 정책 탭에서 관리하고, 정책 추가·편집·삭제는 해당 데이터셋의 삭제 권한(Owner) 보유자가 한다.
정책은 사용자가 데이터를 조회(SELECT) 할 때 작동한다. 권한 자체를 막는 게 아니라 결과를 좁히는 층이라는 점이 운영 관점의 핵심.
5. 인증 ↔ 권한 분리 (30초)
- D.Hub 는 인증(누구인지)과 권한(무엇을 할 수 있는지)을 분리해 다룬다.
- 인증은 로컬 로그인 또는 SSO (OIDC) 두 경로. SSO 가 구성되면 IdP 사용자·그룹을 등록·동기화한다.
- SSO 사용자의 비밀번호는 D.Hub 에 저장되지 않는다. 이름·이메일은 IdP 가 관리한다.
- 사용자 유형(역할) 은 관리자 / 매니저 / 사용자 3단. 관리자(admin) 만 사용자·그룹·인증 등 관리 화면에 들어갈 수 있다.
SSO 도입·자동화 인증(OIDC 클라이언트) 흐름은 별도 튜토리얼 — SSO·계정 프로비저닝 한 페이지 — 에서 다룬다.
6. 사전 조사 한 페이지 체크리스트
보안·법무 요약 문서에 그대로 옮길 수 있는 형식으로 마무리한다.
- 인증 — 로컬 / SSO(OIDC) 동시 운영. 비상용 로컬 계정 보유 정책 확정.
- 사용자 유형 — admin / manager / user 3단 중 admin 보유자는 누구인지 명시.
- 역할(자원 권한) — Owner / Writer / Reader 3단. 자원을 만든 사용자가 자동 Owner.
- 컬렉션 ceiling — 컬렉션 권한이 하위 자산 상한선. 멤버 회수 시 하위로 전파.
- FGAC — 컬럼 마스킹 · 행 필터 데이터셋 단위. 운영 대상 데이터셋 목록 1차 확정.
- 그룹 운용 — 권한 부여 대상은 사용자보다 그룹 우선. IdP 그룹 단방향 동기화 전제.
- 변경 이력 — 자원 변경 흐름은 포털의 최근 항목 화면(
/recents) 에서 1차 확인 가능 (정식 보안 감사 로그·export 는 별도 문의).
다음 단계
- 인증 도입 흐름과 자동화 인증(OIDC 클라이언트)이 다음 의제라면 SSO·계정 프로비저닝 한 페이지 로.
- FGAC 컬럼·행 마스킹의 실전 정책 작성·롤아웃 흐름은 컬럼·행 마스킹 정책 운영 로 — 본 페이지 5번 항목의 운영 버전.
- 권한 모델이 실제 분석가 흐름에서 어떻게 보이는지는 분석가 코스의 06 레슨 — 공유와 다음 단계 에서 같은 권한 다이얼로그가 분석가 시점으로 열리는 모습을 볼 수 있다.