Claves de API y aplicación

Claves de API

Las claves de API son exclusivas de tu organización. El Datadog Agent requiere una clave de API para enviar métricas y eventos a Datadog.

Claves de aplicación

Las claves de aplicación, junto con la clave de API de tu organización, ofrecen a los usuarios acceso a las API programáticas de Datadog. Las claves de aplicación están asociadas a la cuenta de usuario que las haya creado y, de manera predeterminada, tienen los permisos y contextos del usuario que las haya creado.

Contextos

Para proteger mejor tus aplicaciones, puedes indicar contextos de autorización para tus claves de aplicación. De este modo, podrás definir permisos más específicos y minimizar el acceso que las aplicaciones tienen a tus datos de Datadog. Esto te da un control pormenorizado sobre tus aplicaciones y minimiza las vulnerabilidades de seguridad al limitar el acceso externo. Por ejemplo, una aplicación que solo lee dashboards no necesita derechos de administrador para gestionar usuarios ni eliminar los datos de tu organización.

La forma recomendada de determinar el contexto de las claves de aplicación es otorgar los mínimos privilegios y permisos necesarios para que una aplicación funcione según lo previsto. A las claves de aplicación con contexto solo se les conceden los contextos indicados por el usuario y ningún otro permiso. Aunque puedes modificar los contextos de autorización de tus claves de aplicación en cualquier momento, deberás valorar cómo esos cambios podrían afectar a la funcionalidad o al acceso de tu aplicación.

Notas:

  • Los usuarios o cuentas de servicio con permisos para crear o editar claves de aplicación pueden definir el contexto de las claves de aplicación. Los usuarios deben tener el permiso user_app_keys para definir el contexto de sus propias claves de aplicación, o el permiso org_app_keys_write para definir el contexto de las claves de aplicación que pertenezcan a cualquier usuario de su organización. Los usuarios deben tener el permiso service_account_write para definir el contexto de las claves de aplicación en el caso de las cuentas de servicio.
  • Los propietarios de aplicaciones no pueden autorizar una aplicación si les faltan los permisos necesarios, ni siquiera si definen el contexto de una clave de aplicación con contextos de autorización de otra persona.
  • Los errores debido a la falta de permisos al escribir claves de aplicación o autorizar aplicaciones mostrarán el código 403 Forbidden. Encontrarás más información sobre las distintas respuestas de error en la documentación acerca de la API de Datadog.
  • Si el rol o los permisos de algún usuario cambian, los contextos de autorización indicados para sus claves de aplicación seguirán iguales.

Tokens de cliente

Por razones de seguridad, las claves de API no pueden utilizarse para enviar datos desde un navegador, un móvil o una aplicación de TV, ya que quedarían expuestas al cliente. En su lugar, las aplicaciones destinadas al usuario final utilizan tokens de cliente para enviar datos a Datadog.

Varios tipos de clientes envían datos que requieren un token de cliente, como los siguientes ejemplos:

Los tokens de cliente son exclusivos de tu organización. Para gestionarlos, accede a Organization Settings (Parámetros de organización) y haz clic en la pestaña Client Tokens (Tokens de cliente).

Nota: Cuando se desactiva un usuario que ha creado un token de cliente, ese token de cliente permanece activo.

Añadir una clave de API o token de cliente

Para añadir una clave de API o token de cliente de Datadog:

  1. Ve a Parámetros de organización y haz clic en la pestaña API keys (Claves de API) o Client Tokens (Tokens de cliente).
  2. Haz clic en el botón New Key (Nueva clave) o New Client Token (Nuevo token de cliente), según lo que vayas a crear.
  3. Indica un nombre para tu clave o token.
  4. Haz clic en Create API key (Crear clave de API) o Create Client Token (Crear token de cliente).
Navega a la página de claves de API para tu organización en Datadog

Notas:

  • Tu organización debe tener al menos una clave de API y un máximo de 50.
  • Los nombres de las claves deben ser únicos en toda tu organización.

Eliminar claves de API o tokens de cliente

Para eliminar una clave de API o token de cliente de Datadog, accede a la lista de claves o tokens y haz clic en el icono de la papelera con Revoke (Revocar) junto a la clave o token que quieras eliminar.

Añadir claves de aplicación

Para añadir una clave de aplicación de Datadog, ve a Organization Settings > Application Keys (Parámetros de organización > Claves de aplicación). Si tienes permiso para crear claves de aplicación, haz clic en New Key (Nueva clave).

Navega a la página de Claves de aplicación para tu organización en Datadog

Notas:

  • Los nombres de las claves de aplicación no pueden quedar en blanco.

Eliminar claves de aplicación

Para eliminar una clave de aplicación de Datadog, accede a Organization Settings (Parámetros de organización) > Application Keys (Claves de aplicación). Si tienes permiso para crear y gestionar claves de aplicación, podrás ver tus claves y hacer clic en Revoke (Revocar) junto a la que quieras revocar. Si tienes permiso para gestionar todas las claves de aplicaciones de tu organización, podrás buscar la que quieres revocar y hacer clic en Revoke junto a ella.

Definir el contexto de las claves de aplicación

Para especificar contextos de autorización para claves de aplicación, haz una solicitud a la API de Datadog o a la interfaz de usuario para crear o editar una clave de aplicación. Los contextos pueden especificarse para claves de aplicación propiedad del usuario actual o de una cuenta de servicio. Si no se especifica este campo, las claves de aplicación tendrán por defecto los mismos contextos y permisos que el usuario que las creó.

Notas:

  • Los nombres de los contextos distinguen entre mayúsculas y minúsculas.

Usar varias claves de API

Valora la posibilidad de configurar varias claves de API para tu organización. Por ejemplo, usa distintas claves de API para cada uno de tus métodos de implementación: una para implementar un Agent en Kubernetes, en AWS; otra para hacerlo localmente con Chef; otra para scripts de Terraform que automaticen tus dashboards o monitores, y otra para desarrolladores que hagan implementaciones en local.

El uso de varias claves de API te permite rotar las claves como parte de tus protocolos de seguridad, o revocar una clave en concreto si se expone inadvertidamente o si quieres dejar de usar el servicio al que está asociada.

Si tu organización necesita más del límite incorporado de 50 claves de API, ponte en contacto con Soporte para solicitar información sobre cómo aumentar tu límite.

Desactivar una cuenta de usuario

Cuando la cuenta de un usuario está desactivada, se revocan todas las claves de aplicación que haya creado ese usuario. No obstante, las claves de API creadas por la cuenta desactivada no se eliminarán y seguirán siendo válidas.

Transferir claves

Por motivos de seguridad, Datadog no transfiere claves de aplicaciones de un usuario a otro. Si necesitas compartir una clave de aplicación, utiliza una cuenta de servicio.

Qué hacer si una clave de API o aplicación se ve expuesta

Si alguna clave privada está en riesgo o se ha filtrado públicamente, se deben tomar medidas lo antes posible para garantizar la seguridad de la cuenta. Eliminar el archivo que contiene la clave de un sitio público como GitHub no garantiza que otras personas no hayan accedido ya a él.

Sigue estos pasos para proteger tu cuenta:

Nota: Revocar una clave activa puede afectar a tus servicios. Si el contexto de uso es amplio o indeterminado, plantéate seguir los pasos del 2 al 5 antes de revocar la clave afectada.

  1. Revoca la clave afectada.
  2. Elimina el código que contiene la clave privada de cualquier archivo con acceso público:
    • Publica el archivo saneado en tu repositorio público.
    • Elimina los datos confidenciales de tu historial de confirmaciones.
  3. Crea una clave nueva.
  4. Actualiza los servicios afectados con la nueva clave.
  5. Revisa la cuenta para comprobar si ha habido algún acceso no autorizado:
    • Usuarios añadidos recientemente
    • Nuevos recursos
    • Cambios en permisos o roles

Si se detecta alguna actividad inusual o si necesitas más información sobre cómo proteger tu cuenta, ponte en contacto con el soporte de Datadog.

Solucionar problemas

¿Necesitas ayuda? Ponte en contacto con el soporte de Datadog.