Red Hat Summit5.6. 역할 기반 액세스 제어 구성
RBAC(역할 기반 액세스 제어)는 조직 내의 개별 사용자의 역할에 따라 리소스에 대한 액세스를 제한하는 보안 메커니즘입니다. 기능 저장소 RBAC는 권한이 부여된 사용자 또는 그룹만 특정 리소스에 액세스하거나 수정하여 데이터 보안 및 운영 무결성을 유지할 수 있도록 합니다.
기능 저장소의 RBAC 구현은 다음과 같은 기능을 제공하도록 설계되었습니다.
- 권한을 할당 - 관리자가 역할을 기반으로 사용자 또는 그룹에 다양한 작업 및 리소스에 대한 권한을 할당할 수 있습니다.
- 원활한 통합 - 상당한 수정없이 기존 비즈니스 코드와 원활하게 통합됩니다.
- 이전 버전과의 호환성 - 이전 버전과의 호환성을 보장하기 위해 인증되지 않은 모델을 기본값으로 지원합니다.
Feature Store RBAC는 다음과 같은 이점을 제공합니다.
- 기능 공유 - 여러 팀이 액세스 제어를 보장하면서 기능 저장소를 공유할 수 있습니다. 이 기능을 사용하면 데이터 보안을 손상시키지 않고 협업 작업을 수행할 수 있습니다.
- 액세스 제어 관리 - 팀별 리소스 및 공간에 대한 무단 액세스를 방지하여 각 사용자 또는 그룹이 수행할 수 있는 작업을 제어합니다.
기능 저장소 권한 모델을 사용하면 기능 저장소에 정의된 모든 리소스에 대한 세분화된 권한 정책을 구성할 수 있습니다.
권한 부여 적용은 요청이 Python( Feature Store) 서버 중 하나를 통해 실행될 때 수행됩니다.
- 온라인 기능 서버(REST)
- 오프라인 기능 서버(Apache Arrow Flight)는 gRPC 통신 프로토콜을 사용하여 데이터를 교환합니다. 이 서버는 기존 오프라인 저장소 구현에 대한 호출을 래핑하고 인터페이스를 Arrow Flight 엔드포인트로 노출합니다.
- 레지스트리 서버(gRPC)
로컬 공급자(기본값)를 사용하여 기능 저장소를 구성하는 경우 Feature Store API에 액세스할 때 권한 적용이 없습니다.
5.6.1. 기본 권한 부여 구성
기본 구성에서는 권한 적용이 적용되지 않습니다. 다음 예제 Feature Store에는 권한이 없음을 나타내는 spec.authz 섹션이 포함되어 있지 않습니다.
apiVersion: feast.dev/v1alpha1
kind: FeatureStore
metadata:
name: sample-no-auth
spec:
feastProject: my_project선택적으로 OIDC 및 Kubernetes RBAC 권한 부여 프로토콜을 구성할 수 있습니다.
5.6.2. OIDC 권한 부여 구성의 예
다음 예제에서는 Feature Store CRD(사용자 정의 리소스 정의)의 OIDC 권한 부여 구성을 보여줍니다.
apiVersion: feast.dev/v1alpha1
kind: FeatureStore
metadata:
name: sample-oidc-auth
spec:
feastProject: my_project
authz:
oidc:
secretRef:
name: oidc-secret
---
kind: Secret
apiVersion: v1
metadata:
name: oidc-secret
stringData:
client_id: client_id
auth_discovery_url: auth_discovery_url
client_secret: client_secret
username: username
password: password이 예제 코드를 사용하려면 사용 사례와 관련된 값으로 편집해야 합니다.
자세한 내용은 Feast 문서의 OIDC 구성 을 참조하십시오.
5.6.3. Kubernetes 권한 부여 구성의 예
다음 예제에서는 Feature Store CRD(사용자 정의 리소스 정의)의 Kubernetes 권한 부여 구성을 보여줍니다.
apiVersion: feast.dev/v1alpha1
kind: FeatureStore
metadata:
name: sample-kubernetes-auth
spec:
feastProject: feast_rbac
authz:
kubernetes:
roles:
- feast-writer
- feast-reader예제 코드를 사용하려면 사용 사례와 관련된 값으로 편집해야 합니다.
자세한 내용은 Feast 설명서의 Kubernetes RBAC 구성 을 참조하십시오.
Kubernetes RBAC 권한 부여를 구현하는 방법의 예는 Feast Operator를 사용하여 Kubernetes에서 Feast RBAC 예제 실행을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}