쿼리 서비스의 데이터 거버넌스

Adobe Experience Platform은 여러 엔터프라이즈 시스템의 데이터를 함께 가져오며 필요에 따라 쿼리 서비스를 통해 데이터를 정리하고, 구체화하고, 조작하고, 보강할 수 있습니다. 이를 통해 마케터는 고객을 더 나은 방식으로 식별하고, 이해하고, 참여시킬 수 있습니다. 특정 데이터는 조직 정책 및 법적 규정에 따라 사용 제한이 발생할 수 있으므로 적절한 데이터 거버넌스 보장은 개인 정보 처리에 있어 중요한 측면입니다. 수집된 데이터 및 관련 작업이 정의된 데이터 사용 정책을 준수하는지 확인하는 것이 중요합니다.

Query Service 내의 데이터 거버넌스를 사용하면 고객 데이터를 관리하고 데이터 사용에 적용되는 규정, 제한 사항 및 정책을 준수할 수 있습니다. 이는 비즈니스 정의에 정의된 규정에 따라 사용 정책이 적용되었는지 확인할 때 중요한 역할을 합니다.

데이터 처리를 일상적으로 수행하는 조직에서는 모든 사용자를 위한 개인 정보 보호 환경을 만들기 위해 이러한 지침을 개요, 실습 및 적용하는 것이 좋습니다.

다음 카테고리는 쿼리 서비스를 사용할 때 데이터 준수 규정을 준수하는 데 유용합니다.

이 문서에서는 다양한 거버넌스 영역을 살펴보고 쿼리 서비스를 사용할 때 데이터 규정 준수를 용이하게 하는 방법을 보여 줍니다. Experience Platform을 통해 고객 데이터를 관리하고 규정 준수를 보장하는 방법에 대한 자세한 내용은 거버넌스, 개인 정보 및 보안 개요를 참조하십시오.

보안 security

데이터 보안은 데이터의 무단 액세스로부터 데이터를 보호하고 전체 수명주기 동안 안전한 액세스를 보장하는 프로세스입니다. 보안 액세스는 역할 기반 액세스 제어 및 속성 기반 액세스 제어와 같은 기능별 역할 및 권한 적용을 통해 Experience Platform 시 유지됩니다. 또한 자격 증명, SSL 및 데이터 암호화를 사용하여 플랫폼 전반에서 데이터를 보호합니다.

쿼리 서비스와 관련된 보안은 다음 카테고리로 나뉩니다.

액세스 제어 access-control

Adobe Experience Platform의 액세스 제어를 사용하면 Adobe Admin Console을(를) 사용하여 역할 기반 권한을 사용하여 쿼리 서비스 기능에 대한 액세스를 관리할 수 있습니다. 마찬가지로 스키마와 데이터 필드에 대한 레이블 관리를 통해 특정 데이터 속성에 대한 액세스를 제어할 수 있습니다.

이 섹션에서는 쿼리 서비스 기능을 완전히 활용하기 위해 사용자가 보유해야 하는 필수 액세스 제어 권한에 대해 간략히 설명합니다. 제품 프로필에 액세스 권한을 할당하는 방법에 대한 자세한 지침은 권한 관리 및 사용자 관리의 문서를 참조하십시오.

관련 권한

관련 액세스 제어 권한은 범위 수준에 따라 아래 표에 정의되어 있습니다.

쿼리 실행 권한

쿼리 서비스 내에서 쿼리를 실행하려면 사용자에게 다음 권한이 있는 역할을 할당해야 합니다.

데이터 집합 권한

이 섹션은 쿼리 서비스를 통해 데이터를 쿼리하는 동안 데이터 세트에 액세스하는 데 필요한 리소스 기반 액세스 가이드 역할을 합니다.

권한 인터페이스를 통해 다음 권한을 사용하여 데이터 세트 및 스키마에 대한 리소스 기반 액세스 제어를 정의할 수 있습니다.

열/필드에 대한 액세스 제어

속성 기반 액세스 제어 기능을 사용하면 쿼리 서비스 사용자가 중요한 사용자 데이터에 대한 액세스를 제한할 수 있습니다. 액세스 권한은 역할에 할당된 권한에 따라 부여되거나 제한될 수 있습니다. 개별 열에 대한 사용자 액세스는 관련 데이터 사용 레이블 및 사용자에게 할당된 역할에 적용되는 권한 집합에 의해 제어됩니다.

데이터 사용 레이블이 있는 스키마 필드 그룹 및 클래스에 태그를 지정하면 필드 그룹 및 클래스가 동일한 모든 스키마에 데이터 사용 제한이 적용됩니다. 이 기능에 대한 자세한 내용은 특성 기반 액세스 제어에 대한 개요를 참조하십시오.

이 기능을 사용하면 선택한 사용자 그룹에 기밀 열에 대한 액세스 권한을 부여할 수 있습니다. 열에 대한 액세스 제어를 사용하면 특정 유형의 사용자에 대해 읽기 및 쓰기 기능을 모두 제한할 수 있습니다.

열에 대한 액세스 제어는 표준 및 임시 스키마 모두에 대해 스키마 수준에서 적용할 수 있습니다. XDM 스키마에 데이터 사용 레이블을 적용하여 하나 이상의 열에 대한 액세스를 제한합니다. 데이터 레이블 지정은 CTAS 작업의 일부로 생성된 사전 정의된 스키마 또는 애드혹 스키마를 사용하여 쿼리 서비스를 통해 생성된 데이터 세트에 대해서도 일관되게 적용됩니다.

레이블과 역할을 사용하여 적절한 액세스 수준이 적용되면 사용자가 액세스할 수 없는 데이터에 액세스하려고 하면 다음과 같은 시스템 동작이 발생합니다.

보기에 대한 액세스 제어

Query Service는 CREATE VIEW 문에 표준 ANSI SQL을 사용하는 기능을 제공합니다. 중요한 데이터 워크플로우의 경우 보기를 만들 때 적절한 제어를 적용해야 합니다.

CREATE VIEW 키워드는 쿼리 보기를 정의하지만 보기가 실제로 구체화되지 않습니다. 대신 쿼리에서 보기를 참조할 때마다 쿼리가 실행됩니다. 사용자가 데이터 집합에서 보기를 만들 때 상위 데이터 집합에 대한 역할 및 특성 기반 액세스 제어 규칙이 계층적으로 not 적용됩니다. 따라서 보기를 만들 때 각 열에 대한 권한을 명시적으로 설정해야 합니다.

가속화된 데이터 세트에 대한 필드 기반 액세스 제한 사항 만들기 create-field-based-access-restrictions-on-accelerated-datasets

특성 기반 액세스 제어 기능을 사용하여 가속 저장소의 팩트 및 차원 데이터 세트에 대한 조직 또는 데이터 사용 범위를 정의할 수 있습니다. 이를 통해 관리자는 특정 세그먼트에 대한 액세스를 관리하고 사용자 또는 사용자 그룹에 부여된 액세스를 더 잘 관리할 수 있습니다.

가속화된 데이터 세트에 대한 필드 기반 액세스 제한을 만들려면 쿼리 서비스 CTAS 쿼리를 사용하여 가속화된 데이터 세트를 만들고 기존 XDM 스키마 또는 애드혹 스키마를 기반으로 이러한 데이터 세트를 구조화할 수 있습니다. 그런 다음 관리자는 스키마에 대한 데이터 사용 레이블을 추가 또는 임시 스키마할 수 있습니다. 스키마 UI의 레이블 작업 영역에서 스키마를 적용, 만들기 및 편집할 수 있습니다.

데이터 사용 레이블은 데이터 세트 UI를 통해 데이터 세트에 직접 적용 또는 편집하거나 액세스 제어 레이블 작업 영역에서 만들 수도 있습니다. 자세한 내용은 새 레이블을 만드는 방법에 대한 안내서를 참조하십시오.

개별 열에 대한 사용자 액세스는 첨부된 데이터 사용 레이블 및 사용자에게 할당된 역할에 적용되는 권한 세트에 의해 제어될 수 있습니다.

연결 connectivity

쿼리 서비스는 Platform UI를 통해 또는 외부 호환 클라이언트와 연결을 형성하여 액세스할 수 있습니다. 사용 가능한 모든 프론트에 대한 액세스는 자격 증명 집합에 의해 제어됩니다.

외부 클라이언트를 통한 연결

서드파티 클라이언트를 사용하여 쿼리 서비스에 액세스하려면 인증을 위한 자격 증명이 필요합니다. 이러한 자격 증명은 호환되는 외부 클라이언트에서 Query Service에 액세스하는 데 필요합니다. 만료되는 자격 증명 또는 만료되지 않는 자격 증명을 사용하여 외부 클라이언트에 연결할 수 있습니다.

만료 자격 증명을 통한 제한된 연결 시간 expiring-credentials

자격 증명 만료을(를) 통해 사용자는 외부 클라이언트와 임시 연결을 구성할 수 있습니다. 이 자격 증명 집합은 24시간 동안만 유효합니다. 이러한 유형의 자격 증명 만료는 쿼리 서비스 대시보드의 자격 증명 탭과 함께 볼 수 있습니다.

만료되지 않는 자격 증명 non-expiring-credentials

만료되지 않는 자격 증명을 사용하면 외부 클라이언트와 영구적으로 연결할 수 있으므로 수동 암호를 사용하지 않고도 Query Service에 쉽게 연결할 수 있습니다.

만료되지 않는 자격 증명을 생성하는 옵션을 활성화하려면 요약된 필수 워크플로를 따라야 합니다. 이 프로세스의 일부로, 조직 관리자가 제품 프로필에 대한 권한을 구성해야 하며, 관리자가 만료되지 않는 자격 증명을 사용할 수 있는 액세스 권한을 보유할 수 있습니다.

만료되지 않는 자격 증명으로 허용된 기술 사용자 계정에는 역할로 할당하여 책임 및 요구 사항에 따라 읽기 및 쓰기 액세스 범위를 정의하여 적절한 데이터 거버넌스를 보장할 수 있습니다. 쿼리 서비스에 대한 액세스를 관리하려면 액세스 제어를 통해 역할 기반 권한 사용에 대한 이전 섹션을 참조하십시오.

필수 구성 요소 워크플로가 완료되면 이제 권한이 있는 사용자가 필요한 연결 자격 증명을 생성할 수 있습니다.

SSL 데이터 암호화

보안 강화를 위해 Query Service는 클라이언트/서버 통신을 암호화하기 위한 SSL 연결을 기본적으로 지원합니다. 플랫폼은 사용자의 데이터 보안 요구 사항에 맞게 다양한 SSL 옵션을 지원하며 암호화 및 키 교환의 처리 오버헤드를 조정합니다.

verify-full SSL 매개 변수 값을 사용하여 연결하는 방법 등 자세한 내용은 쿼리 서비스에 대한 타사 클라이언트 연결에 사용할 수 있는 SSL 옵션에 대한 가이드를 참조하십시오.

암호화 및 CMK(고객 관리 키) encryption-and-customer-managed-keys

암호화는 데이터를 암호화하고 읽을 수 없는 텍스트로 변환하는 알고리즘 프로세스를 사용하여 암호 해독 키 없이 정보를 보호하고 액세스할 수 없도록 합니다.

Query Service 데이터 규정 준수는 데이터가 항상 암호화되도록 합니다. 전송 중인 데이터는 항상 HTTPS를 준수하며, 사용하지 않는 데이터는 시스템 수준 키를 사용하여 Azure Data Lake 저장소에서 암호화됩니다. 자세한 내용은 Adobe Experience Platform에서 데이터를 암호화하는 방법에 대한 설명서를 참조하십시오. 사용하지 않는 데이터를 Azure Data Lake Storage에서 암호화하는 방법에 대한 자세한 내용은 공식 Azure 설명서를 참조하세요.

전송 중인 데이터는 항상 HTTPS를 준수하며 데이터가 데이터 레이크에 있는 경우에도 마찬가지로 암호화는 데이터 레이크 관리에서 이미 지원하는 CMK(고객 관리 키)로 수행됩니다. 현재 지원되는 버전은 TLS1.2입니다. Adobe Experience Platform에 저장된 데이터에 대한 자체 암호화 키를 설정하는 방법에 대해 알아보려면 CMK(고객 관리 키) 설명서를 참조하십시오.

감사 audit

쿼리 서비스는 사용자 활동을 기록하고 해당 활동을 다른 로그 유형으로 분류합니다. 누가 ​에서 what 작업을 수행했으며 when ​에 대한 제공 정보를 기록합니다. 로그에 기록된 각 작업에는 작업 유형, 날짜 및 시간, 작업을 수행한 사용자의 이메일 ID 및 작업 유형과 관련된 추가 속성을 나타내는 메타데이터가 포함됩니다.

Platform 사용자가 원하는 대로 모든 로그 범주를 요청할 수 있습니다. 이 섹션에서는 Query Service에 대해 캡처된 정보 유형 및 이 정보에 액세스할 수 있는 위치에 대한 세부 정보를 제공합니다.

쿼리 로그 query-logs

쿼리 로그 UI를 사용하면 쿼리 편집기 또는 쿼리 서비스 API를 통해 실행된 모든 쿼리에 대한 실행 세부 정보를 모니터링하고 검토할 수 있습니다. 이렇게 하면 쿼리 서비스 활동을 투명하게 하여 쿼리 서비스 간에 실행된 쿼리에 대한 모든 ​의 메타데이터를 확인할 수 있습니다. 탐색적 쿼리, 일괄 처리 쿼리 또는 예약된 쿼리인지에 관계없이 모든 유형의 쿼리가 포함됩니다.

쿼리 로그는 쿼리 작업 영역의 로그 탭에서 Platform UI를 통해 액세스할 수 있습니다.

감사 로그 audit-logs

감사 로그에는 쿼리 로그보다 자세한 정보가 포함되어 있으며 이를 통해 사용자, 날짜, 쿼리 유형 등의 속성을 기준으로 로그를 필터링할 수 있습니다. 감사 로그는 쿼리 로그 UI에서 사용할 수 있는 세부 사항 외에 개별 사용자에 대한 세부 사항을 세션 데이터 또는 서드파티 클라이언트와의 연결과 함께 저장합니다.

감사 추적을 통해 사용자 작업에 대한 정확한 기록을 제공함으로써 문제 해결에 도움을 주고 기업 데이터 관리 정책 및 규정 요구 사항을 효과적으로 준수할 수 있습니다. 감사 로그는 모든 플랫폼 활동에 대한 기록을 제공합니다. 감사 로그를 사용하여 쿼리 실행, 템플릿 및 예약된 쿼리와 관련된 사용자 작업을 감사하여 쿼리 서비스에서 사용자가 수행한 작업의 투명성과 가시성을 높일 수 있습니다.

다음 표는 감사 로그로 캡처된 쿼리 범주와 이들이 기록하는 작업 유형을 나타냅니다.

다음은 쿼리 로그에 있는 것보다 더 많은 세부 정보를 포함하는 세 개의 확장 서버 로그 목록입니다. 확장 로그는 감사 로그 쿼리 범주 내에서 찾을 수 있습니다.

감사 로그를 통해 조직의 데이터 규정 준수에 어떻게 도움이 되는지에 대한 자세한 내용은 감사 로그 개요를 참조하십시오.

데이터 사용 data-usage

플랫폼의 데이터 거버넌스 프레임워크는 모든 Adobe 솔루션, 서비스 및 플랫폼에서 데이터를 책임감 있게 사용할 수 있는 동일한 방법을 제공합니다. Adobe Experience Cloud 전체에서 메타데이터를 캡처, 통신 및 사용하는 시스템 접근 방식을 조정합니다. 이렇게 하면 데이터 제어자가 필요한 마케팅 작업과 이러한 의도된 마케팅 작업에서 해당 데이터에 지정된 제한 사항에 따라 데이터에 레이블을 지정하는 데 도움이 됩니다. 데이터 거버넌스에서 데이터 세트 및 필드에 데이터 사용 레이블을 적용하는 방법에 대한 자세한 내용은 데이터 사용 레이블에 대한 개요를 참조하십시오.

데이터 여정의 모든 단계에서 데이터 규정 준수를 위해 작업하는 것이 가장 좋습니다. 이를 위해 임시 스키마를 사용하는 파생된 데이터 세트는 데이터 거버넌스 프레임워크의 일부로 적절하게 레이블이 지정되어야 합니다. Query Service에서 형성되는 파생 데이터 세트에는 표준 스키마를 사용하는 데이터 세트와 애드혹 스키마를 사용하는 데이터 세트, 이렇게 두 가지 유형이 있습니다.

애드혹 스키마는 특정 목적을 위해 개별 사용자에 의해 생성되므로 XDM 스키마 필드는 해당 특정 데이터 세트에 대해 네임스페이스가 지정되며 다른 데이터 세트에서 사용하기 위한 것이 아닙니다. 따라서 임시 스키마는 기본적으로 Experience Platform UI에 표시되지 않습니다. 표준 스키마와 애드혹 스키마 간에 데이터 사용 레이블 적용에 차이가 없지만 레이블 지정을 위해 쿼리 서비스에서 생성한 애드혹 스키마는 먼저 Platform UI에 표시해야 합니다. 자세한 내용은 플랫폼 UI 내에서 임시 스키마 찾기에 대한 안내서를 참조하십시오.

스키마에 액세스한 후에는 개별 필드에 레이블을 적용할 수 있습니다. 스키마에 레이블이 지정되면 해당 스키마에서 파생된 모든 데이터 세트는 해당 레이블을 상속합니다. 여기에서 특정 레이블이 있는 데이터의 활성화를 특정 대상으로 제한할 수 있는 데이터 사용 정책을 설정할 수 있습니다. 자세한 내용은 데이터 사용 정책에 대한 개요를 참조하십시오.

개인정보 보호 privacy

Privacy Service은(는) 법적 개인 정보 보호 규정에 따라 고객의 데이터 액세스 및 삭제 요청을 관리하는 데 도움이 됩니다. 이렇게 하려면 데이터에 기존 식별자를 검색하고 요청된 개인 정보 작업에 따라 해당 데이터에 액세스하거나 삭제합니다. 서비스에서 개인 정보 보호 작업 중에 액세스하거나 삭제할 필드를 결정하려면 데이터에 올바른 레이블을 지정해야 합니다. 개인 정보 보호 요청의 대상이 되는 데이터는 다양한 데이터를 개인 정보 보호 요청이 적용되는 개별 사용자와 연결하기 위해 고객 ID 정보를 포함해야 합니다. Query Service는 개인 정보 보호 작업을 충족하기 위해 고유 식별자로 사용하는 데이터를 보강할 수 있습니다.

개인 정보 보호 요청은 데이터 레이크 또는 프로필 데이터 저장소로 전송될 수 있습니다. 데이터 레이크에서 삭제된 레코드는 해당 레코드에서 만든 프로필을 삭제하지 않습니다. 또한 데이터 레이크에서 개인 정보를 삭제하는 개인 정보 작업은 프로필을 삭제하지 않으므로 개인 정보 작업 완료 후 수집된 정보(해당 프로필 ID가 포함)는 해당 프로필을 정상적으로 업데이트합니다. 이렇게 하면 임시 스키마에 사용되는 데이터를 제대로 식별해야 하는 필요성이 재확인됩니다.

개인 정보 보호 요청에 대한 ID 데이터에 대한 자세한 내용 및 데이터 작업을 구성하고 Adobe 기술을 활용하여 고객 개인 정보 보호 요청에 대한 적절한 ID 정보를 효과적으로 검색하는 방법에 대한 자세한 내용은 Privacy Service 설명서를 참조하십시오.

데이터 거버넌스를 위한 쿼리 서비스 기능은 데이터 분류 프로세스 및 데이터 사용 규정 준수를 간소화하고 간소화합니다. 데이터가 식별되면 쿼리 서비스를 사용하여 모든 출력 데이터 세트에 기본 ID를 할당할 수 있습니다. 데이터 개인 정보 보호 요청을 용이하게 하고 데이터 규정 준수 작업을 위해 데이터 집합에 ID를 ​추가해야 합니다.

Platform UI를 통해 스키마 데이터 필드를 ID 필드로 설정할 수 있으며 쿼리 서비스를 통해 SQL 명령 'ALTER TABLE'🔗을(를) 사용하여 기본 ID를 표시할 수도 있습니다. ALTER TABLE 명령을 사용하여 ID를 설정하는 것은 Platform UI를 통해 스키마에서 직접 만드는 것이 아니라 SQL을 사용하여 데이터 세트를 만들 때 특히 유용합니다. 표준 스키마를 사용할 때 UI에서 ID 필드를 정의하는 방법에 대한 지침은 설명서를 참조하세요.

데이터 위생 data-hygiene

"데이터 위생"이란 오래된 데이터, 부정확한 데이터, 잘못된 포맷, 중복 데이터 또는 불완전한 데이터를 복구하거나 제거하는 프로세스를 말합니다. 이러한 프로세스를 통해 모든 시스템에서 데이터 세트가 정확하고 일관되도록 할 수 있습니다. 데이터 여정의 모든 단계와 심지어 초기 데이터 저장소 위치에서 적절한 데이터 위생을 보장하는 것이 중요합니다. Experience Platform 쿼리 서비스에서 데이터 레이크 또는 가속 저장소입니다.

Platform의 중앙 집중식 데이터 위생 서비스에 따라 데이터 관리를 허용하도록 파생된 데이터 세트에 ID를 할당할 수 있습니다.

반대로 가속화된 스토어에서 집계된 데이터 세트를 만들면 집계된 데이터를 원본 데이터를 파생시키는 데 사용할 수 없습니다. 이러한 데이터 집계로 인해 데이터 위생 요청을 제기할 필요성이 없어졌습니다.

이 시나리오의 예외는 삭제의 경우입니다. 데이터 세트에서 데이터 위생 삭제가 요청되고 삭제가 완료되기 전에 다른 파생된 데이터 세트 쿼리가 실행되는 경우 파생된 데이터 세트는 원래 데이터 세트의 정보를 캡처합니다. 이 경우 데이터 세트 삭제 요청이 전송된 경우 동일한 데이터 세트 소스를 사용하여 새로 파생된 데이터 세트 쿼리를 실행해서는 안 된다는 점을 염두에 두어야 합니다.

Adobe Experience Platform의 데이터 위생에 대한 자세한 내용은 데이터 위생 개요를 참조하세요.