Par défaut, si le paramètre adminRole n'est pas renseigné lors de l'appel de l'action, SAS Viya considère que vous souhaitez abandonner le rôle SUPERUSERRôle d'administration CAS disposant de privilèges illimités sur un serveur. Il peut gérer les sessions, les nœuds et toutes les données, indépendamment des permissions d'accès standards.. Cette approche sécuritaire par défaut garantit que les droits les plus puissants sont retirés en priorité, protégeant ainsi l'intégrité de la gouvernance des donnéesEnsemble de règles, processus et outils (comme SAS Information Governance) assurant la qualité, la conformité, la sécurité et la disponibilité des actifs de données au sein de l'écosystème Viya. au sein de votre environnement CAS.
Configuration par défaut : que se passe-t-il si vous ne précisez pas le rôle à abandonner ?
Sécurité par défaut du rôle CAS
Exemples pour l'action dropRole
Abandon du rôle Superuser par défaut
Cet exemple montre comment renoncer simplement au rôle Superuser, qui est la valeur appliquée par défaut si le paramètre adminRole n'est pas spécifié.
Abandon d'un rôle d'accès spécifique (DATA)
Si vous aviez temporairement pris le rôle DATA spécifiquement pour manipuler ou créer des Caslibs sans être bloqué par les permissions, voici comment le rendre proprement de manière ciblée.
Vous pourriez aussi aimer...
Architecture et Observabilité des Flux de Données : Analyse Exhaustive du Traçage SQL de SAS 9 vers SAS Viya 4 Aperçu de l'articleOptimisez vos requêtes SQL ! Guide technique du traçage de données, de l'option SASTRACE (SAS 9) à l'observabilité Kubernetes sous SAS Viya 4.
L'optimisation de vos flux de données exige une analyse fine des interactions avec votre SGBD. Ce guide technique explore les mécanismes de traçage de SAS/ACCESS. Apprenez à maîtriser l'option historique SASTRACE sous SAS 9 pour auditer vos requêtes (SQL Pass-Through). Surtout, décryptez la révol...
Conseil de l'Expert
Dans l'architecture CAS (Cloud Analytic Services), la gestion des privilèges repose sur le principe du moindre privilège : on n'active une session "Superuser" que pour le temps nécessaire à une tâche d'administration, puis on l'abandonne immédiatement pour redevenir un utilisateur standard.
Toujours privilégier l'abandon explicite du rôle via l'action dropRole immédiatement après une opération d'administration (comme le chgOwner ou la modification de contrôles d'accès). Ne comptez pas uniquement sur la fin de session pour libérer ces privilèges, afin de limiter la surface d'exposition en cas d'interception de session.
Toujours privilégier l'abandon explicite du rôle via l'action dropRole immédiatement après une opération d'administration (comme le chgOwner ou la modification de contrôles d'accès). Ne comptez pas uniquement sur la fin de session pour libérer ces privilèges, afin de limiter la surface d'exposition en cas d'interception de session.
Mécanismes techniques de l'action dropRole
- Priorité au rôle SUPERUSER : L'action accessControl.dropRole sans paramètre cible automatiquement le rôle le plus élevé dans la hiérarchie CAS.
- Portée de la session : L'abandon du rôle est spécifique à la session active ; cela n'affecte pas les autres sessions ouvertes par le même administrateur.
- Validation d'état : Si vous tentez d'abandonner un rôle que vous ne possédez pas ou qui n'est pas actif, l'action retournera une erreur de type denied ou un avertissement, selon le contexte.
- Impact sur la CASLib : Une fois le rôle abandonné, l'accès aux bibliothèques système (comme SystemData) redevient restreint aux permissions explicites définies dans les ACL.
- Non-récursivité : L'abandon du rôle de Superutilisateur n'active pas automatiquement d'autres rôles secondaires ; il replace simplement l'identité dans son groupe d'utilisateurs par défaut.
Cette réponse vous a-t-elle aidé ?
À lire aussi...
Sécurité maximale : pourquoi devez-vous absolument abandonner vos droits de Superuser ?
Hygiène IT : quel est le danger caché de conserver ses privilèges d'administrateur ?
Maîtrise des accès : quels rôles spécifiques pouvez-vous relâcher dans CAS ?
Agilité administrative : comment changer de casquette sans se déconnecter de Viya ?