ACL 규칙 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 사용자 지정 ACL(접근 제어 목록) 규칙을 구성하여 새 객체에 대한 액세스를 보호하거나 기본 보안 동작을 변경합니다.

    시작하기 전에

    필요한 역할: security_admin

    이 태스크 정보

    ACL 규칙을 생성하려면 security_admin 역할에 대한 권한을 상승시켜야 합니다.

    ACL 규칙 기록과 범위가 다른 테이블의 경우 규칙 유형이 제한됩니다. 범위 마스터 테이블에서 범위를 파생시키고 범위 지정 ACL을 실행하려면 속성을 true로 설정합니다glide.enforce_security_scope.<scope_name>. 이렇게 하면 관련 테이블에 생성된 범위별 ACL이 있는 경우 전역 범위의 ACL이 일치하지 않습니다. 예를 들어 sys_attachment 또는 sys_question_answer 테이블과 같은 전역 범위의 공유 애플리케이션 테이블 내에서 데이터를 보호하는 경우를 들 수 있습니다.

    프로시저

    1. 권한 역할이 security_admin 역할로 상승되었습니다.
    2. 다음으로 이동 시스템 보안 > 접근 제어(ACL).
    3. 새로 만들기를 클릭합니다.
      팁:
      새 ACL을 만들 때 를 거부-미포함 ACL검토하는 것이 좋습니다.
    4. 양식을 작성합니다.
      표 1. 접근 제어 필드
      필드 설명
      유형 이 ACL 규칙이 보호하는 개체의 종류를 선택합니다. 개체의 형식은 개체의 이름을 지정하는 방법과 사용 가능한 작업을 결정합니다. 이 필드는 ACL 규칙이 생성된 후에 읽기 전용이 됩니다. 유형을 변경하려면 ACL을 삭제하고 올바른 유형으로 새 ACL을 만들어야 합니다.
      운영 이 ACL 규칙이 보호하는 작업을 선택합니다. 각 개체 형식에는 고유한 작업 목록이 있습니다. ACL 규칙은 하나의 작업만 보호할 수 있습니다. 여러 작업을 보호하려면 각각에 대해 별도의 ACL 규칙을 생성합니다.

      report_view 작업에 대한 규칙을 만드는 경우 도 Report_view access control참조하십시오 .
      결정 유형 ACL의 결정 유형을 선택합니다. 평가 성공 시 액세스를 허용하는 경우 허용. 미충족 거부 는 평가에 성공하지 못한 경우 접근을 거부합니다. 자세한 내용은 을 참조하십시오 거부-미포함 ACL .
      관리자 재정의

      관리자 역할을 가진 사용자가 이 ACL 규칙에 대한 권한 검사를 자동으로 통과하도록 하려면 이 확인란을 선택합니다. admin 사용자는 적용되는 스크립트 또는 역할 제한에 관계없이 통과합니다. 그러나 직원만 ServiceNow 할당할 수 있는 nobody 역할이 admin 재정의 옵션보다 우선합니다. ACL에 아무도 역할이 할당된 경우 관리자 재정의 를 선택한 경우에도 관리자 사용자는 자원에 액세스할 수 없습니다. 기본 시스템 역할을 참조하십시오.

      관리자가 보안 개체에 접근하기 위해 이 ACL 규칙에 정의된 권한을 충족해야 하는 경우 이 확인란의 선택을 취소합니다. 관리자는 항상 역할 검사를 통과하므로( 필수 역할 필드에 대한 설명 참조) 조건 작성기 또는 스크립트 필드를 사용하여 관리자가 통과해야 하는 권한 검사를 만듭니다.
      보호 정책 ACL에 보호 정책을 설정하려면 이 항목을 선택합니다.
      이름 보안이 유지되는 객체의 이름(기록 이름 또는 테이블 및 필드 이름)을 입력합니다. 이름이 구체적일수록 ACL 규칙도 더 구체적입니다. 기록, 테이블 또는 필드 이름 대신 와일드카드 문자 별표(*)를 사용하여 기록 유형, 모든 테이블 또는 모든 필드와 일치하는 모든 객체를 선택할 수 있습니다. 와일드카드 문자와 텍스트 검색을 결합할 수 없습니다. 예를 들어, inc*는 유효한 ACL 규칙 이름이 아니지만 incident.* 및 *.number는 유효한 ACL 규칙 이름입니다.
      주:
      파란색 삼각형을 클릭하여 보호 중인 객체의 기록 이름 또는 테이블 및 필드 이름을 수동으로 입력합니다. 드롭다운에 나타나지 않는 개체를 보호하려면 이 옵션을 사용합니다.
      설명 이 ACL 규칙이 보호하는 개체 또는 권한에 대한 설명을 입력합니다.
      활성 이 ACL 규칙을 적용하려면 이 확인란을 선택합니다.
      고급 고급 조건 필드를 표시하려면 이 확인란을 선택합니다. 6단계를 참조하십시오.
    5. 옵션: ACL의 범위를 좁히려면 필요에 따라 조건 필드를 채웁니다.
      역할 필요 이 목록을 사용하여 사용자가 객체에 액세스하는 데 필요한 역할을 지정합니다. 여러 역할을 나열하는 경우 나열된 역할 중 하나를 가진 사용자가 객체에 액세스할 수 있습니다. 역할 필요 목록이 관련 목록으로 나타납니다.
      주:
      관리자 역할이 사용자에게 다른 모든 역할을 자동으로 부여하기 때문에 관리자 역할을 가진 사용자는 항상 이 권한 검사를 통과합니다.
      데이터 조건 조건 작성기 를 사용하여 사용자가 객체에 액세스하는 데 예여야 하는 필드와 값을 선택합니다.
      주:
      조건 필드는 대/소문자를 구분합니다
    6. 옵션: 고급 상자가 선택되어 있으면 필요에 따라 고급 조건 필드를 채웁니다
      참조에 의해 제어됨 관련 기록에 ACL을 적용합니다. 자세한 내용은 관련 기록 접근 문서를 참조하십시오.
      스크립트 객체에 접근하는 데 필요한 권한을 설명하는 사용자 지정 스크립트를 입력합니다. 스크립트는 비즈니스 규칙과 시스템 속성의 현재이전 전역 변수 값을 사용할 수 있습니다. 스크립트는 다음 두 가지 방법 중 하나로 true 또는 false 응답을 생성해야 합니다.
      • true 또는 false 값으로 설정된 응답 변수를 반환합니다.
      • True 또는 False로 평가

      두 경우 모두 스크립트가 true로 평가되고 사용자가 ACL 규칙의 조건을 충족하는 경우에만 객체에 액세스할 수 있습니다. 사용자가 객체에 액세스하려면 조건과 스크립트가 모두 true로 평가되어야 합니다.

      스크립트 필드에 스크립트가 있는 경우 이 스크립트는 필드가 양식에 표시되지 않아도 실행됩니다.

      주:
      평가된 항목이 관련 목록에 있으면 현재 는 ACL이 대상인 현재 항목이 아니라 관련 목록이 있는 항목을 가리킵니다. 그러나 ACL을 평가 중인 항목이 관련 목록에 없는 경우 현재 가 실제 항목을 가리킵니다.
    7. 양식 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 선택합니다.