AI 에이전트의 Now Assist 역할 마스킹
AI 에이전트 및 에이전틱 워크플로우에 대한 역할 마스킹은 사용자가 도구 실행 중에 역할을 제한하고 AI 에이전트가 최소 액세스 권한으로 실행되는지 확인할 수 있도록 하여 보안을 강화하는 데 도움이 됩니다.
역할 마스킹 개요
역할 마스킹을 사용하면 AI 관리자 AI 에이전트 스튜디오 가 호출하는 사용자로부터 상속할 수 있는 역할의 허용 목록을 정의하여 동적 사용자로 실행되도록 설정된 에이전틱 워크플로우 또는 AI 에이전트의 권한을 제한하고 최소 권한 액세스를 적용할 수 있습니다.
역할 마스킹을 사용하여 다음을 수행합니다.
- 에이전틱 워크플로우 또는 AI 에이전트가 동적 사용자를 대신하여 실행할 때 사용자가 최소 접근 원칙을 따를 수 있도록 권한을 부여합니다.
- 에이전틱 워크플로우, AI 에이전트 및 기술이 사용자로부터 상속하고 사용자가 호출할 때 적용할 수 있는 역할을 제한합니다.
기술 구성에 대한 자세한 내용은 다음 문서를 참조하십시오 Now Assist 기술 키트.
- AI 솔루션이 해서는 안 되는 자원에 액세스할 위험을 줄여 사용자에게 허용된 범위를 넘어서는 민감한 데이터 또는 역량에 대한 에이전틱 과잉 접근을 방지하는 데 도움이 됩니다.
- 보안 구성을 확장하면 에이전트 제품의 기능을 향상시키는 동시에 상승된 역할 또는 범위가 지정된 역할에 대한 거버넌스를 적용하여 보안 위험을 줄일 수 있습니다.
필수 구성요소
인스턴스에서 ServiceNow 역할 마스킹을 구성하려면 다음이 있어야 합니다.
- Now Assist 플랫폼 버전 10.0.2-SS용.
- sn_aia.admin 권한입니다.
역할 마스킹 동작
에이전틱 워크플로우, AI 에이전트 및 도구에서의 역할 마스킹 동작은 워크플로우 실행 중에 AI 에이전트 및 도구에서 사용할 수 있는 호출하는 사용자의 역할을 제어합니다. 역할은 에이전틱 워크플로우, AI 에이전트 및 도구 시퀀스의 계층에 순차적으로 적용되어 도구가 필요한 최소 권한으로 실행되는지 확인합니다.
역할 마스킹 규칙
- 역할 마스킹은 에이전틱 워크플로우, AI 에이전트 또는 기술이 실행할 수 있는 역할을 호출하는 사용자에게 할당된 역할과 승인된 역할 목록 마스킹에 포함된 역할 간의 교차로 제한합니다.
- AI 사용자 대 역할 마스크:
AI 관리자는 구성요소를 AI 사용자 또는 동적 사용자로 실행할지 선택할 수 있습니다. 동적 사용자로 실행되도록 설정된 경우 AI 관리자는 구성요소에 대한 역할 마스킹을 구성할 수 있습니다. 에이전틱 워크플로우 또는 AI 사용자로 실행되도록 설정된 AI 에이전트에 대해서는 역할 마스킹을 구성할 수 없습니다.
- AI 사용자가 선택되면 AI 사용자에게 할당된 모든 역할을 에이전틱 워크플로우 또는 AI 에이전트에서 사용할 수 있습니다. 이는 에이전틱 워크플로우 AI 에이전트에 대한 높은 액세스를 제공하는 데 사용할 수 있습니다. 주:도구는 항상 동적 사용자로 실행됩니다.
- 역할 마스킹이 동적 사용자로 실행되는 에이전틱 워크플로우, AI 에이전트 또는 도구에 적용되는 경우, 구성요소는 현재 호출하는 사용자의 역할과 승인된 역할 목록 마스킹에 포함된 역할의 교집합으로 제한된 역할을 가진 역할과 함께 실행됩니다.
- AI 사용자가 선택되면 AI 사용자에게 할당된 모든 역할을 에이전틱 워크플로우 또는 AI 에이전트에서 사용할 수 있습니다. 이는 에이전틱 워크플로우 AI 에이전트에 대한 높은 액세스를 제공하는 데 사용할 수 있습니다.
- 에이전틱 워크플로우 - AI 에이전트 - 도구 시퀀스에 여러 역할 마스크를 구성하고 적용할 수 있지만 각 마스크는 여전히 교차 규칙을 따릅니다.
- 역할 마스킹은 구성요소가 실행할 수 있는 역할만 제한하며 호출하는 사용자의 역할을 초과하는 구성요소 역할을 부여하지 않습니다. 따라서 호출하는 사용자에게 승인된 역할 목록에 포함되지 않은 역할이 있는 경우 구성요소를 해당 역할로 실행할 수 없습니다. 또한 승인된 역할 목록에 호출하는 사용자에게 할당되지 않은 역할이 포함되어 있으면 구성요소를 해당 역할로 다시 실행할 수 없습니다.
- AI 사용자로 실행되는 워크플로우가 역할 마스킹이 구성된 동적 사용자로 실행되는 AI 에이전트를 호출하면 AI 에이전트가 사용할 수 있는 역할은 AI 에이전트의 역할 마스킹 구성과 에이전틱 워크플로우의 AI 사용자에게 할당된 역할의 교차점이 됩니다. AI 사용자로 실행된 AI 에이전트가 역할 마스킹이 구성된 기술을 호출하는 경우에도 마찬가지입니다.
ACL 및 역할 마스킹 평가 시퀀스
다음 시퀀스는 에이전틱 워크플로우, AI 에이전트 및 도구 실행 컨텍스트에서 ACL 및 역할 마스크가 평가되는 방식을 정의합니다.
- 1단계: 에이전틱 워크플로우 ACL 확인
- 워크플로우에 대해 구성된 ACL은 호출하는 사용자(자동 또는 대화형) 세션 역할에 대해 평가됩니다.
- 2단계: 에이전틱 워크플로우 역할 마스크 애플리케이션
- 호출하는 사용자가 에이전틱 워크플로우의 ACL 기준을 충족하고 에이전틱 워크플로우가 역할 마스킹이 구성된 동적 사용자로 실행되도록 설정된 경우, 에이전틱 워크플로우 역할 마스킹이 호출하는 사용자의 역할에 적용됩니다(구성된 역할 마스킹과의 교차점에 따라 사용자 세션의 역할을 제한함).
- 3단계: AI 에이전트 ACL 확인
- 에이전틱 워크플로우가 AI 에이전트를 호출하면 하나의 AI 에이전트에 대해 AI 에이전트의 ACL이 확인됩니다. 에이전틱 워크플로우 실행이 승인된 역할 중 하나에 대해 ACL이 확인됩니다. 따라서:
- 에이전틱 워크플로우가 AI 사용자로 실행되도록 설정된 경우 AI 에이전트 ACL은 워크플로우에 구성된 AI 사용자 세션에 대해 확인합니다.
- 에이전틱 워크플로우가 역할 마스킹을 사용하여 동적 사용자로 실행되도록 설정된 경우, AI 에이전트 ACL은 워크플로우 역할 마스킹을 적용한 후 나머지 역할이 ACL 기준을 충족하는지 여부를 확인합니다.
- 4단계: AI 에이전트 역할 마스킹 애플리케이션
- 위의 에이전틱 워크플로우와 유사하게 AI 사용자 또는 AI 에이전트 역할 마스크가 적용됩니다.
- AI 사용자를 선택하면 AI 사용자의 모든 역할이 적용됩니다(마스킹 없음).
- 역할 마스크가 적용되면 워크플로우 역할 마스킹을 적용한 후 유효 역할과의 교차에 따라 역할이 더 제한됩니다.
- 5단계: 도구 ACL 확인
- 도구에서 ACL을 사용하는 경우 도구에 할당된 AI 에이전트가 사용하도록 허용된 역할에 대해 ACL이 확인됩니다. 즉, 역할 마스킹이 설정된 경우 확인 중에 마스킹 후에 남은 역할만 고려됩니다.
- 6단계: 도구 역할 마스킹 애플리케이션
- 도구가 기술이고 역할 마스크가 구성된 경우 승인된 역할이 AI 에이전트의 실행이 승인된 역할에 적용되므로 도구 실행에 대한 역할이 제한됩니다.
ACL 및 역할 마스킹 평가 순서 요약:
- 에이전틱 워크플로우 ACL → 호출(대화형 또는 자동화된) 사용자 세션의 역할로 확인됩니다.
- 에이전틱 워크플로우 역할 마스킹→ 호출하는 사용자 세션에 적용됩니다.
- AI 에이전트 ACL → 에이전틱 워크플로우의 승인된 역할(에이전틱 워크플로우의 AI 사용자 또는 워크플로우 역할 마스킹 후의 역할)으로 확인됩니다.
- AI 에이전트 역할 마스킹 → 에이전틱 워크플로우의 승인된 역할에 적용됩니다.
- 도구 ACL → AI 에이전트의 승인된 역할(AI 에이전트의 AI 사용자 또는 에이전트 역할 마스킹 후의 역할)으로 확인됩니다.
- 도구 역할 마스크(기술만 해당) → AI 에이전트의 승인된 역할에 적용됩니다.
주:
관리자는 ACL 및 역할 마스크를 평가할 때 ACL 또는 역할 마스크 제한으로 인해 실행이 실패한 위치와 이유를 식별할 수 있습니다.
구성
- AI 에이전트에 대한 역할 마스킹을 구성하려면 다음 문서를 참조하십시오 AI 에이전트에 대한 보안 통제 정의.
- AI 에이전트에 대한 역할 마스킹을 구성하려면 다음 문서를 참조하십시오 에이전틱 워크플로우에 대한 보안 통제 정의.