API キーとアプリケーションキー

API キーとアプリケーションキー

API キー

API キーは組織に固有で、Datadog Agent でメトリクスとイベントを Datadog に送信するには、API キーが必要です。

アプリケーションキー

組織の API キーと組み合わせてアプリケーションキーを使用すると、ユーザーは Datadog のプログラム API に完全にアクセスできます。アプリケーションキーは、これを作成したユーザーアカウントに関連付けられており、作成したユーザーのアクセス許可と機能を備えています。

クライアントトークン

クライアントトークンを管理するには、Organization Settings に移動し、Client Tokens タブをクリックします。

クライアントトークンは組織に固有です。クライアントトークンは、ウェブブラウザーのログコレクターがログを、また Real User Monitoring がイベントとログを Datadog に送信するために必要です。

セキュリティ上の理由から、API キーを使用してブラウザーからデータを送信することはできません。JavaScript キーでクライアント側に公開されるためです。ウェブブラウザーからログを収集するには、クライアントトークンを使用する必要があります。

API キーまたはクライアントトークンを追加する

Datadog API キーまたはクライアントトークンを追加するには

  1. オーガニゼーション設定に移動し、API keys または Client Tokens タブをクリックします。
  2. 作成するものに応じて、New Key (新しいキー) または New Client Token (新しいクライアントトークン) ボタンをクリックします。
  3. キーまたはトークンの名前を入力します。
  4. Create API key (API キーの作成) または Create Client Token (クライアントトークンの作成) をクリックします。

注:

  • 組織には、少なくとも最低 1 つ、最大 50 の API キーが必要です。
  • キー名は、オーガニゼーション全体で一意である必要があります。

API キーまたはクライアントトークンを削除する

Datadog API キーまたはクライアントトークンを削除するには、キーまたはトークンのリストに移動し、削除するキーまたはトークンの横にある Revoke のあるごみ箱アイコンをクリックします。

アプリケーションキーを追加する

Datadog アプリケーションキーを追加するには、Organization Settings > Application Keys に移動します。アプリケーションキーを作成するためのアクセス許可がある場合は、New Key をクリックします。

注: アプリケーションキー名を空白にすることはできません。

アプリケーションキーを削除する

Datadog アプリケーションキーを削除するには、Organization Settings > Application Keys に移動します。アプリケーションキーを作成、管理するためのアクセス許可がある場合は、自分のキーを表示して、取り消すキーの横にある Revoke をクリックできます。すべての組織アプリケーションキーを管理するアクセス許可がある場合は、取り消すキーを検索して、その横にある Revoke をクリックできます。

複数の API キーの使用

組織に複数の API キーを設定することを検討します。たとえば、デプロイ方法ごとに異なる API キーを使用します(たとえば、AWS の Kubernetes に Agent をデプロイする用、Chef を使用してオンプレミスでデプロイする用、ダッシュボードやモニターを自動化する Terraform スクリプト用、ローカルでデプロイする開発者用など)。

複数の API キーを使用することで、セキュリティ対策の一環としてキーをローテーションしたり、特定のキーが誤って公開された場合やそのキーに関連づけられたサービスを停止したい場合に取り消すことができます。

API キーが定められた上限の 50 を超えて必要な場合は、上限の引き上げについてサポートチームまでお問い合わせください。

ユーザーアカウントの無効化

ユーザーのアカウントが無効になった場合、ユーザーが作成したアプリケーションキーはすべて取り消されます。無効なアカウントによって作成された API キーは削除されず、引き続き有効です。

キーの転送

セキュリティ上の理由により、Datadog は API/アプリケーションキーをユーザー間で転送しません。推奨されるベストプラクティスは、API/アプリケーションキーをトレースし、ユーザーが退職した後にそれらのキーをローテーションすることです。こうすると、退職したユーザーがアカウントおよび Datadog の API にアクセスできなくなります。API/アプリケーションキーを転送した場合、退職したユーザーは引き続き Datadog API からデータを送受信できます。API/アプリケーションキーが関連付けられているハンドルを変更することを求められるお客様もいますが、依然として、退職したユーザーが引き続き Datadog API からデータの送受信をすることができるという固有の問題を解決するものではありません。

また、API/アプリケーションキーを所有するために「サービスアカウント」を検討することも選択肢の一つです。「サービスアカウント」を使用して API キーを所有することが理にかなうケースもありますが、これは誰もがアクセス可能な共有アカウント以上のものであることを充分ご理解ください。「サービスアカウント」の使用を計画している場合は、最小権限の原則を適用した上で、サービスアカウントの認証情報を安全に保管(パスワードマネージャーの使用など)することが重要です。サービスアカウントの認証情報の偶発的な漏洩を防ぐため、アクセス権は少人数に制限すること、理想的にはアカウントの維持をする必要のあるユーザーのみに限定する必要があります。

トラブルシューティング

ご不明な点は、Datadog のサポートチームまでお問合せください。