Contrôle d'accès à base de rôles (RBAC)

Les rôles permettent de classifier les utilisateurs et de définir les autorisations d’accès qu’ils possèdent. Vous pouvez ainsi choisir le type de données qu’ils peuvent lire ou encore le type de ressources de compte qu’ils peuvent modifier. Par défaut, Datadog propose trois rôles. Vous pouvez cependant créer des rôles personnalisés afin de vous assurer que vos utilisateurs possèdent le bon niveau d’autorisation.

Lorsque vous attribuez des autorisations à un rôle, tous les utilisateurs associés à ce rôle bénéficient de ces autorisations. Lorsque les utilisateurs sont associés à plusieurs rôles, ils bénéficient de l’ensemble des autorisations correspondant à chacun de ces rôles. Plus un utilisateur dispose de rôles, plus il peut accéder aux différentes fonctionnalités d’un compte Datadog.

Si un utilisateur dans une organisation enfant dispose de l’autorisation org_management, cela ne signifie pas que c’est aussi le cas dans l’organisation parente. Les rôles des utilisateurs ne sont pas partagés entre les organisations parent et enfant.

Remarque : si vous avez recours à un fournisseur d’identité SAML, vous pouvez l’intégrer à Datadog pour l’authentification et mapper des attributs d’identité à des rôles Datadog par défaut ou personnalisés. Consultez la section Authentification unique avec SAML pour en savoir plus.

Rôles Datadog par défaut

Rôle Admin Datadog
Utilisateurs ayant accès aux informations de facturation, autorisés à révoquer des clés API et capables de gérer des utilisateurs et de configurer des dashboards en lecture seule. Ils peuvent également accorder le rôle d’administrateur à un utilisateur standard.  
Rôle Standard Datadog
Utilisateurs autorisés à consulter et à modifier toutes les fonctionnalités de surveillance offertes par Datadog, telles que les dashboards, les monitors, les événements et les notebooks. Ils peuvent également inviter d’autres utilisateurs à rejoindre une organisation.
Rôle Read-Only Datadog
Utilisateurs n’ayant aucun droit de modification dans Datadog. Ce rôle est particulièrement utile lorsque vous souhaitez partager des vues spécifiques en lecture seule avec un client ou lorsqu’un membre d’un service souhaite partager un dashboard avec une personne d’un autre service.

Rôles personnalisés

Les rôles personnalisés offrent à votre organisation la possibilité de créer des rôles dotés d’autorisations uniques. Gérez vos rôles personnalisés sur le site de Datadog, avec l’API Role Datadog ou directement via SAML. Poursuivez votre lecture pour découvrir comment créer, mettre à jour et supprimer un rôle. Consultez la section Autorisations des rôles Datadog pour en savoir plus sur les autorisations disponibles. Seuls les utilisateurs disposant de l’autorisation User Access Management peuvent créer ou modifier des rôles dans Datadog.

Activer les rôles personnalisés

  1. Accédez aux Paramètres d’organisation.
  2. À gauche de la page, sélectionnez Roles.
  3. Cliquez sur l’icône en forme d’engrenage en haut à droite. La fenêtre contextuelle Custom Roles s’affiche alors.
  4. Dans la fenêtre contextuelle Custom Roles, cliquez sur Enable pour activer la fonctionnalité.
Fenêtre contextuelle des rôles personnalisés avec bouton d'activation

Vous pouvez également effectuer un appel POST sur l’endpoint d’API Create Role afin d’activer automatiquement les rôles personnalisés pour votre organisation.

Créer un rôle personnalisé

    Pour créer un rôle personnalisé :

    1. Accédez à votre page Roles sur Datadog.
    2. Sélectionnez New Role en haut à droite.
    3. Attribuez un nom à votre rôle.
    4. Attribuez un ensemble d’autorisations à votre rôle. Consultez la section Autorisations des rôles Datadog pour en savoir plus sur les autorisations disponibles.

    Une fois votre rôle créé, vous pouvez l’ajouter à des utilisateurs existants.

    Pour découvrir un exemple de création de rôle avec l’API, consultez la documentation à ce sujet.

    Mettre à jour un rôle

      Pour modifier un rôle personnalisé :

      1. Accédez à votre page Roles sur Datadog.
      2. Sélectionnez le bouton de modification pour le rôle de votre choix.
      3. Modifiez l’ensemble d’autorisations de votre rôle. Consultez la section Autorisations des rôles Datadog pour en savoir plus sur les autorisations disponibles.
      4. Enregistrez vos modifications.

      Une fois votre rôle modifié, les autorisations sont mises à jour pour l’ensemble des utilisateurs qui disposent de ce rôle.

      Pour découvrir un exemple de mise à jour de rôle avec l’API, consultez la documentation à ce sujet.

      Dupliquer un rôle

        Pour dupliquer un rôle existant :

        1. Accédez à votre page Roles sur Datadog.
        2. Passez votre curseur sur le rôle que vous souhaitez dupliquer. Plusieurs boutons apparaissent sur la droite.
        3. Sélectionnez le bouton de duplication pour le rôle de votre choix.
        4. Si besoin, modifiez le nom ou les autorisations du rôle.
        5. Cliquez sur le bouton Save en bas.
        Liste de deux rôles avec le bouton de duplication mis en évidence

        Pour découvrir un exemple de duplication de rôle avec l’API, consultez la documentation à ce sujet.

        Supprimer un rôle

          Pour supprimer un rôle personnalisé :

          1. Accédez à votre page Roles sur Datadog.
          2. Passez votre curseur sur le rôle que vous souhaitez supprimer. Plusieurs boutons apparaissent sur la droite.
          3. Sélectionnez le bouton de suppression pour le rôle de votre choix.
          4. Confirmez l’action.

          Une fois votre rôle supprimé, les autorisations sont mises à jour pour tous les utilisateurs qui disposent de ce rôle. Les utilisateurs sans autre rôle ne peuvent pas exploiter toutes les fonctionnalités de Datadog, mais conservent un accès limité.

          Pour découvrir un exemple de suppression de rôle avec l’API, consultez la documentation à ce sujet.

          Appliquer un modèle de rôle

          Lorsque vous créez ou mettez à jour un rôle sur le site de Datadog, vous pouvez utiliser un modèle de rôle pour appliquer un ensemble prédéfini d’autorisations au rôle.

          1. Sur la page de création ou de modification d’un rôle, cliquez sur le bouton Show Role Templates à droite.
          2. Un menu déroulant apparaît avec les différents modèles de rôle.
          3. Depuis le menu, sélectionnez le modèle de rôle dont vous souhaitez appliquer les autorisations.
          4. Cliquez sur le bouton Apply.
          5. Apportez d’autres modifications à votre rôle si vous le souhaitez.
          6. Cliquez sur le bouton Save.
          Menu déroulant des modèles de rôle avec le rôle Datadog Billing Admin sélectionné

          Restreindre l’accès à des ressources spécifiques (contrôles d’accès granulaires)

          Vous avez la possibilité de limiter l’accès à certaines ressources à des rôles, équipes (bêta) ou utilisateurs (bêta) spécifiques. Datadog vous recommande d’utiliser des équipes pour accorder des accès à des groupes fonctionnels au sein de votre organisation (par exemple, rendre la modification d’un dashboard possible uniquement par l’équipe qui en est propriétaire), des rôles pour accorder des accès à des types d’utilisateurs (par exemple, rendre la modification des moyens de paiement possible uniquement par les responsables de la facturation), et des utilisateurs individuels uniquement lorsque cela est nécessaire. Ce mode de fonctionnement encourage le partage des connaissances et la collaboration.

          Ressources compatibles avec les contrôles d’accès granulairesAccès par équipeAccès par rôleAccès par utilisateur / compte de service
          Dashboards
          Monitors
          Notebooks
          Règles de sécurité
          Service Level Objectives
          Tests Synthetic

          Pour aller plus loin

          Documentation, liens et articles supplémentaires utiles:

          Gérer les rôles et les autorisations avec l’API RolesDOCUMENTATION more more Gérer vos autorisations avec l'API PermissionsDOCUMENTATION more more Découvrir la liste des permissions disponiblesDOCUMENTATION more more Activer l'authentification unique avec SAMLDOCUMENTATION more more Concevoir une stratégie de conformité, gouvernance et transparence pour toutes vos équipes avec le journal d'audit DatadogBLOG more more