安全平台安全管理管理受限视图

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

管理受限视图

使用受限视图作为对象类型的后备

要在Object Explorer中为特定对象类型提供访问权限,请在Ontology Manager中将受限视图设置为后备数据集。要成功配置并保存由受限视图支持的对象类型,您必须对受限视图的输入数据集具有查看权限。

受限视图文件权限

要创建和编辑受限视图,您必须在角色界面中的细粒度权限管理工作流中满足以下条件。要访问角色界面,请导航至设置并在侧边栏的平台设置部分中选择角色。访问角色界面需要特殊的平台权限;如果您需要此级别的访问权限,请联系您的Palantir代表。

角色描述
创建受限视图资源需要在文件夹/项目上。
为数据集创建受限视图需要在受限视图上游的数据集上。
编辑资源细粒度策略编辑资源上的细粒度策略。
查看资源细粒度策略查看资源上的细粒度策略。
编辑受限视图资源需要对受限视图进行编辑(策略,假设权限标记)。
查看受限视图资源查看受限视图的属性(策略,假设权限标记)。
查看受限视图事务查看历史事务元数据(策略,假设权限标记)。

要搭建受限视图,您必须对输入数据集具有查看权限,并对输出受限视图具有编辑权限。

要在Contour分析中使用受限视图,您需要读取受限视图权限。

要配置并保存由受限视图支持的对象类型,您必须具有:

  • 对受限视图输入数据集的查看权限。
  • 对受限视图的编辑权限(查看/设置/更改策略)。
  • 是Ontology管理员组的成员(以访问Ontology Manager)。

要在Object Explorer中使用数据集支持的对象上的细粒度策略,您必须对数据集具有查看Ontology数据源权限,以查看该类型的任何对象。

受限视图策略管理

策略比较

受限视图策略支持以下比较类型:

  • 小于: 比较的左右两边必须都是单值(不是集合)且类型相同。
  • 小于或等于: 比较的左右两边必须都是单值(不是集合)且类型相同。
  • 等于: 比较的左右两边必须都是单值(不是集合)且类型相同。
  • 大于或等于: 比较的左右两边必须都是单值(不是集合)且类型相同。
  • 大于: 比较的左右两边必须都是单值(不是集合)且类型相同。
  • 交集: 至少一边必须是集合,且双方必须是相同类型(或该类型的集合)。

策略被定义为模板,用户属性、组成员资格和数据值可以填充其中:

当细粒度权限资源的消费应用请求数据时(例如在Contour中),策略模板会转换为查询,仅返回特定于用户属性和权限的行。

策略限制

单个策略最多可以有十个比较。受限视图策略根据策略是否将集合或常量与字段进行比较来权衡每个比较:

  • 将常量与字段进行比较的权重为1。
  • 将集合与字段进行比较的权重为1,000。
  • 策略中所有比较的权重总和必须低于10,000。

例如,在一个基本策略中:

  • 规则(1)的权重为1,因为它将常量(用户的ID)与字段匹配。
  • 规则(2)的权重为1,000,因为它将集合(用户所属的所有组)与特定的Platform Administrators组匹配。
  • 该策略中的权重总和为1,001(远低于10,000的限制)。

当前的策略构建限制旨在对特定策略设计施加最小的约束;它对可能超出权重限制的策略提供很少的保护。

如果在构建策略时收到权重限制错误,请联系您的Palantir代表以获取帮助。

策略管理

策略的更改会记录为受限视图上的新事务,但某些用户可能需要额外的控制来管理策略更改。

当您管理受限视图策略时,请考虑两个目标:

  • 透明度: 任何负责管理数据访问的人都应该了解策略以及策略如何与平台中的数据交互。
  • 健全的变更管理: 策略管理应该是一个有序的、组织化的过程。在应用更改之前,始终要审查和管理更改。

管理数据管道的完整性

受限视图策略对支持它们的数据引入了一系列假设。因此,只要这些假设为真,受限视图策略才能正确控制对数据的访问。考虑应用案例是否需要构建机制以确保这些假设成立,并且如果这些假设被打破,数据仍然保持安全。

解决此问题的一种方法是在受限视图上游的管道中引入一个步骤,检查对数据的假设。这些检查可能包括:

  • 不变量: 编写一份不变量列表,如果不为真,将强制受限视图数据集的下游构建失败。例如,假设当event_occurred_in_state的值为NY时,数据集中的另一列state_name应为New York。在将此数据展示给用户之前,请执行变换检查这是否为真。
  • 统计数据: 定义一组统计数据及其应始终保持的范围。例如,受限视图可能用于实施与组织层级相对应的访问控制;每个用户只能查看层级中其下属人员的数据。让变换断言,如果从一天的构建到下一天的构建,层级中的变化超过20%,则表明存在问题。在此时,负责策略管理的用户应检查以确保一切正常,然后再将此数据展示给用户。

受限视图限制

受限视图类似于数据集,但有一些关键区别。受限视图的内容结合了两个动态因素:(1)策略定义和(2)特定时间访问受限视图的特定用户的属性和组成员资格。虽然策略定义历史在受限视图的事务历史中维护,但事务历史不可能维护所有用户属性和组成员资格的完整历史。

受限视图旨在简化单个用户对管道的分析消费,不能被用作数据变换的输入。在Foundry中构建的管道应是可重现的,并且与运行它们的特定用户无关,这与受限视图的本质不兼容,因为受限视图提供基于用户属性的行级权限。

  • 尝试在受限视图上协作构建管道的用户可能无法访问策略声明,且可能没有相同的用户属性和组成员资格。因此,每个用户可能会在受限视图中看到不同的行和汇总;因此,用户不应假设基于细粒度权限数据的工作流将与基于Foundry中常规数据集资源的工作流表现相同。
  • 对于下游变换,没有强制确保后续下游变换保留策略列。相比之下,为了保护架构和列免受更改导致的受限数据暴露,受限视图是只读的。

以下列表总结了受限视图的当前限制:

操作受限视图是否支持?解释
读取YES受限视图可以通过对象或在Contour中读取
即时计算YES使用受限视图,可以通过对象(如在Quiver或函数中)或在数据集上(使用诸如Contour等工具)执行可访问行的计算
数据输出YES基于受限视图的对象可以定义数据输出
以{filetype}格式导出YES可以通过Quiver、Contour和其他应用程序导出受限视图中的数据
批处理NO受限视图不支持批处理,因为不同的用户会看到不同的数据子集
将输出保存为Foundry数据集NO不支持保存基于对受限视图进行变换的输出;由于Spark本身不支持行级权限,因此无法确保后续事务维护限制的保证
同步到PostgresNO不支持将受限视图同步到Postgres,因为基于用户属性的行级权限不会被维护