- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
API キーは組織に固有で、Datadog Agent でメトリクスとイベントを Datadog に送信するには、API キーが必要です。
組織の API キーと組み合わせてアプリケーションキーを使用すると、ユーザーは Datadog のプログラム API に完全にアクセスできます。アプリケーションキーは、これを作成したユーザーアカウントに関連付けられており、デフォルトで作成したユーザーのアクセス許可とスコープを備えています。
アプリケーションの保護と安全性を高めるために、アプリケーションキーに認可スコープを指定して、より細かい権限を定義し、アプリケーションが Datadog のデータにアクセスできる範囲を最小化することが可能です。これにより、アプリケーションに対するきめ細かなアクセス制御が可能になり、余計なアクセスを制限することでセキュリティの脆弱性を最小限に抑えることができます。例えば、ダッシュボードを読むだけのアプリケーションには、ユーザーを管理したり、組織のデータを削除したりするための管理者権限は必要ありません。
アプリケーションキーのスコープに関する推奨されるベストプラクティスは、アプリケーションが意図したとおりに機能するために必要な最小限の特権と最小限の権限をキーに与えることです。スコープされたアプリケーションキーには、ユーザーが指定したスコープのみが与えられ、それ以外の追加的な許可は与えられません。アプリケーションキーの認可スコープはいつでも変更できますが、 その変更がアプリケーションの既存の機能やアクセスにどのような影響を及ぼすかを考慮してください。
注:
user_app_keys
権限、または自分の組織内の任意のユーザーが所有するアプリケーションキーをスコープするためには org_app_keys_write
権限が必要です。サービスアカウントのアプリケーションキーをスコープするには、service_account_write
権限が必要です。403 Forbidden
エラーを表示します。様々なエラーレスポンスについての詳細は、Datadog API のドキュメントを参照してください。セキュリティ上の理由から、API キーはクライアント側で公開されるため、ブラウザ、モバイル、TV アプリからのデータ送信には使用できません。その代わりに、エンドユーザー向けアプリケーションでは、クライアントトークンを使用して Datadog にデータを送信します。
以下の例を含む、いくつかのタイプのクライアントが、クライアントトークンを必要とするデータを送信します。
クライアントトークンは、組織に固有のものです。クライアントトークンを管理するには、Organization Settings に移動し、Client Tokens タブをクリックします。
注: クライアントトークンを作成したユーザーが非アクティブ化されても、クライアントトークンはアクティブなままです。
Datadog API キーまたはクライアントトークンを追加するには
注:
Datadog API キーまたはクライアントトークンを削除するには、キーまたはトークンのリストに移動し、削除するキーまたはトークンの横にある Revoke のあるごみ箱アイコンをクリックします。
Datadog アプリケーションキーを追加するには、Organization Settings > Application Keys に移動します。アプリケーションキーを作成するためのアクセス許可がある場合は、New Key をクリックします。
注:
Datadog アプリケーションキーを削除するには、Organization Settings > Application Keys に移動します。アプリケーションキーを作成、管理するためのアクセス許可がある場合は、自分のキーを表示して、取り消すキーの横にある Revoke をクリックできます。すべての組織アプリケーションキーを管理するアクセス許可がある場合は、取り消すキーを検索して、その横にある Revoke をクリックできます。
アプリケーションキーの認可スコープを指定するには、UI または Datadog API にリクエストして、アプリケーションキーを作成または編集してください。スコープは、現在のユーザーまたはサービスアカウントが所有するアプリケーションキーに対して指定することができます。このフィールドが指定されていない場合、アプリケーションキーはデフォルトで、作成したユーザーと同じスコープと権限をすべて持っています。
注:
組織に複数の API キーを設定することを検討します。たとえば、デプロイ方法ごとに異なる API キーを使用します(たとえば、AWS の Kubernetes に Agent をデプロイする用、Chef を使用してオンプレミスでデプロイする用、ダッシュボードやモニターを自動化する Terraform スクリプト用、ローカルでデプロイする開発者用など)。
複数の API キーを使用することで、セキュリティ対策の一環としてキーをローテーションしたり、特定のキーが誤って公開された場合やそのキーに関連づけられたサービスを停止したい場合に取り消すことができます。
API キーが定められた上限の 50 を超えて必要な場合は、上限の引き上げについてサポートチームまでお問い合わせください。
ユーザーのアカウントが無効になった場合、ユーザーが作成したアプリケーションキーはすべて取り消されます。無効なアカウントによって作成された API キーは削除されず、引き続き有効です。
セキュリティ上の理由から、Datadog はアプリケーションキーをユーザー間で転送しません。アプリケーションキーを共有する必要がある場合は、サービスアカウントを使用します。
プライベートキーが漏洩したり、一般に公開された場合、アカウントのセキュリティを確保するために、できるだけ早く措置を講じる必要があります。GitHub などの公開サイトからキーの入ったファイルを削除しても、それがすでに他の者によってアクセスされていないことを保証するものではありません。
以下の手順で、アカウントを保護してください。
注: 有効なキーを無効にすると、サービスに影響を与える可能性があります。使用範囲が広い場合や未確定の場合は、対象となるキーを無効にする前に、手順 2~5 の検討をお願いします。
異常な行動が確認された場合、またはアカウントの安全確保にさらに支援が必要な場合は、Datadog サポートに連絡してください。
ご不明な点は、Datadog のサポートチームまでお問合せください。