Este permiso es global y permite tanto la creación de nuevos índices, como la edición de los índices ya existentes.
logs_write_exclusion_filters
Concede a un rol la capacidad de crear o modificar filtros de exclusión dentro de un índice.
Este permiso puede asignarse globalmente o restringirse a un subconjunto de índices.
Subconjunto de índices:
Elimina el permiso global para el rol.
Concede este permiso al rol en la página de índices del sitio Datadog, editando un índice y añadiendo un rol al campo “Grant editing Exclusion Filters of this index to” (Conceder filtros de exclusión de edición de este índice a" (captura de pantalla a continuación).
Esta configuración sólo es compatible a través de la interfaz de usuario.
Este permiso es global y permite crear nuevos archivos, así como editar y eliminar los archivos existentes.
logs_read_archives
Concede la capacidad de acceder a los detalles de configuración del archivo. Junto con las vistas históricas de escritura en logs. Este permiso también concede la capacidad de activar una recuperación a partir de archivos.
Este permiso puede aplicarse a un subconjunto de archivos. Un archivo sin restricciones es accesible para cualquier persona que pertenezca a un rol con el permiso logs_read_archives. Un archivo con restricciones sólo es accesible para los usuarios que pertenecen a uno de los roles registrados, siempre que estos roles tengan el permiso logs_read_archives.
En el siguiente ejemplo, suponiendo que todos los roles excepto Guest tienen el permiso logs_read_archive:
La función de staging es accesible para todos los usuarios, excepto aquellos que sólo pertenecen al rol Guest.
La producción es accesible para todos los usuarios pertenecientes a Customer Support.
La auditoría de seguridad no es accesible para los usuarios que pertenecen a Customer Support, a menos que también pertenezcan a Audit & Security.
Procede a crear el archivo o actualízalo en cualquier momento mientras lo editas.
Utiliza la API de archivos de logs para asignar o revocar un rol en un archivo determinado.
logs_write_historical_views
Concede la capacidad de escribir vistas históricas, lo que implica activar una recuperación de logs*.
Este permiso es global. Permite a los usuarios activar una recuperación de los archivos en los que tienen permiso para archivos de lectura de logs.
En el ejemplo anterior:
ADMIN Los miembros del rol pueden recuperar desde Audit Archive, ya que, para ese archivo, tienen el permiso para escribir la vista histórica (recuperar), así como el permiso para leer archivos.
AUDIT Los miembros del rol no pueden recuperarse desde Audit Archive, ya que no tienen el permiso para escribir la vista histórica (recuperar).
PROD Los miembros del rol no pueden recuperarse desde Audit Archive, ya que no tienen el permiso para leer archivos.
Al asignar etiquetas (tags) team:audit a todos los logs recuperados del Audit Archive, asegúrate de que los miembros con el rol Audit, que tienen restringida la lectura de logs team:audit, sólo pueden acceder al contenido recuperado. Para ver más información sobre cómo añadir etiquetas y la recuperación, consulta la sección Configuración del archivo de log.
Para los logs service:ci-cd que se recuperan a partir del Prod Archive, ten en cuenta lo siguiente:
Si sí utilizas el permiso para datos de índices de lectura de logs heredado, estos logs no son accesibles para los miembros del rol CI-CD, ya que la vista histórica resultante está restringida a miembros con los roles PROD y ADMIN.
Eliminado: logs_public_config_api
Datadog ha eliminado el permiso logs_public_config_api.
Cinco permisos distintos controlan la capacidad de ver, crear o modificar configuraciones de logs a través de la API Datadog:
Concede los siguientes permisos para gestionar el acceso de lectura a subconjuntos de datos de logs:
Los datos de lectura de logs (recomendado) ofrecen un control de acceso más detallado al restringir el acceso de un rol a los logs que coincidan con las consultas de restricción de un log.
Los datos de índices de lectura de logs son el enfoque heredado para restringir el acceso a los datos indexados de logs en función del índice (sigue siendo necesario tener este permiso habilitado para acceder a los datos indexados).
logs_read_data
Acceso de lectura a datos de logs. Si se concede, se aplican otras restricciones como logs_read_index_data o con la consulta de restricción.
Los roles son aditivos. Si un usuario pertenece a varios roles, los datos a los que tiene acceso son la unión de todos los permisos de cada uno de los roles.
Ejemplo:
Si un usuario pertenece a un rol con datos de lectura de logs y también pertenece a un rol sin datos de lectura de logs, tiene permiso para leer datos.
Si un usuario tiene restringido el acceso a service:sandbox a través de un rol y tiene restringido el acceso a env:prod a través de otro rol, puede acceder a todos los logs env:prod y service:sandbox.
Para restringir a los usuarios y que sólo vean los logs que coinciden con una consulta de restricción, utiliza la página de acceso a datos:
Asigna uno o múltiples roles a esa consulta de restricción.
Comprueba qué roles y usuarios están asignados a qué consultas de restricción.
Esta vista muestra:
Sección Restricted Access: todas las consultas de restricción y qué roles tienen adjuntos
Sección Unrestricted Access: todos los roles que tienen permiso log_read_data sin más restricciones
** SecciónNo Access**: todos los roles que no tienen el permiso log_read_data.
Crear una consulta de restricción
Crea una nueva consulta de restricción definiendo su filtro de consulta. La nueva consulta aparece en lista de restricciones sin ningún rol asociado.
Asignar un rol a una consulta de restricción
Elige el rol donde se encuentre y asígnalo a la consulta de restricción prevista.
Nota: Ten en cuenta que a un rol no se le puede asignar más de una consulta de restricción. Es decir, cuando se asigna un rol a una consulta de restricción, pierde la conexión con la consulta de restricción a la que estaba asignado.
Del mismo modo, utiliza la misma interacción “Move” (Mover) para conceder Unrestricted Access a un rol o, a la inversa, para convertirlo en un rol No Access.
Comprobar restricciones de consultas
La página de acceso a datos muestra un máximo de 50 restricciones de consultas y 50 roles por sección. Si tiene más funciones y restricciones de consultas de las que puede mostrar la página, utiliza los filtros para acotar esta vista:
con el filtro de restricción de consultas
con el filtro de roles:
con el filtro de usuario, que es una forma práctica de ver a qué tiene acceso realmente un usuario específico que pertenece a varios roles:
Estos permisos están globalmente habilitados por defecto para todos los usuarios.
El permiso para datos de lectura de logs se añade a estos permisos heredados. Por ejemplo, supongamos que un usuario tiene restringida la consulta service:api.
Si este usuario tiene un permiso para datos de lectura de logs restringido en los índices audit y errors, sólo verá logs service:api dentro de estos índices.
Si este usuario tiene un permiso Live Tail, sólo verá logs service:api en Live Tail.
logs_read_index_data
Concede a un rol acceso de lectura a un número determinado de índices de logs. Esto puede configurarse globalmente o limitarse a un subconjunto de índices de logs.
Para acotar este permiso a un subconjunto de índices, primero elimina los permisos logs_read_index_data y logs_modify_indexes del rol. A continuación: