ログ管理のためのロールベースのアクセス制御

ログ管理のためのロールベースのアクセス制御

この機能を有効にするには、営業担当者またはカスタマーサクセスマネージャーにお問い合わせください。

ロール

ログ管理内で、どのユーザーがどのログデータを読み取ることができ、どのユーザーがパイプライン、インデックス、アーカイブなどのログ関連のアカウント資産を管理できるかを指定できます。

すぐに使用できるロールは、ログ管理に次のように影響します。

ロールデフォルトのアクセス
Datadog 管理者Datadog アカウントのすべてのログデータを照会し、すべてのログ関連アセットを作成または変更できます。
Datadog 標準ロールDatadog アカウントのすべてのログデータを照会し、すべてのログ関連アセットを作成または変更できます。アクセス許可を制限するために変更できます。
Datadog 読み取り専用ロールDatadog アカウントのすべてのログデータを照会できます。アクセス許可を制限するために変更できます。

ログ管理アクセス許可

次のアクセス許可を付与してログデータのサブセットの読み取りアクセス権を管理できます。

  • logs_read_index_data: いくつかのログインデックスでロールに読み取りアクセス権を付与します。インデックスを編集し、“Grant access of this index’s content to” フィールドにロールを追加することで、Datadog アプリの処理パイプラインページでロールにこのアクセス許可を付与できます(下のスクリーンショット)。
  • logs_live_tail: Live Tail 機能を使用する能力をロールに付与します。このアクセス許可は、Roles API を介してロールから付与または取り消すことができます。

  • logs_generate_metrics: メトリクスの生成機能を使用する能力をロールに付与します。このアクセス許可は、Roles API を介してロールから付与または取り消すことができます。

次のアクセス許可を付与してさまざまなログ関連のアカウントアセットの書き込みアクセス権を管理できます。

  • logs_modify_indexes: ロールにログインデックスを変更する能力を付与します。これには、ログをインデックスにルーティングする包含フィルターの設定、そのインデックスに対する読み取りアクセス権を持つロール(logs_read_index_data)、およびそのインデックスの除外フィルターを変更できるロール(logs_write_exclusion_filters)の制限が含まれます。このアクセス許可は、Roles API を介してロールから付与または取り消すことができます。注: このアクセス許可は、すべてのログインデックスの読み取りアクセスとすべてのインデックス除外フィルターの書き込みアクセス許可も付与します。インデックスを変更できるロールは、これらの追加のアクセス許可も付与できるためです。

  • logs_write_exclusion_filters: インデックス内で除外フィルターを作成または変更する能力をロールに付与します。インデックスを編集し、“Grant editing Exclusion Filters of this index to” フィールドにロールを追加することで、Datadog アプリの処理パイプラインページでロールにこのアクセス許可を付与できます(下のスクリーンショット)。

  • logs_write_pipelines: ロールにログ処理パイプラインを作成および変更する能力を付与します。これには、処理パイプラインに入るログの一致フィルターの設定、パイプラインの名前の設定、そのパイプライン内のプロセッサーへの書き込みアクセス権を持つロールの制限(logs_write_processors)が含まれます。このアクセス許可は、Roles API を介してロールから付与または取り消すことができます。

  • logs_write_processors: 処理パイプライン内でプロセッサーを作成または変更する能力をロールに付与します。処理パイプラインを編集し、“Grant editing Processors of this index to” フィールドにロールを追加することで、Datadog アプリの処理パイプラインページでロールにこのアクセス許可を付与できます(下のスクリーンショット)。

  • logs_write_archives: ログアーカイブを作成または変更する能力を付与します。このアクセス許可は、Roles API を介してロールから付与または取り消すことができます。

RBAC の概要

デフォルトでは、既存のユーザーは、すぐに使用できる 3 つの Datadog 管理者、標準、または読み取り専用ロールのいずれかにすでに関連付けられているため、すべてのユーザーはすべてのログを読み取るアクセス許可をすでに持ち、管理者または標準ユーザーはログ関連のアカウントアセットの書き込みアクセス許可をすでに持っています。

既存のユーザーのこれらのアクセス許可の制限を開始するには、カスタムロールを作成し、それらのロールに既存のユーザーを割り当てます。その後、次のいずれかのアクションを実行することで、そのアクセス許可をカスタムロールのアクセス許可に制限できます。

  • Roles API を介して、Datadog 標準または読み取り専用ロールからユーザーを削除します。

  • Roles API を介して、Datadog 標準または読み取り専用ロールからアクセス許可を削除します。

  • Roles API を介して、Datadog 標準または読み取り専用ロールを削除します。

その他の参考資料