ロールを作成すると、Datadog アプリケーションでロールを更新するか Datadog Permission API を使用して、このロールへアクセス許可を直接割り当てたり削除したりできます。利用可能なアクセス許可の一覧は次のとおりです。
一般許可は、各ロールのユーザーに対して基本的なアクセス権を許可するものです。高度な許可は、一般許可に加えて付与される特定目的の許可を指します。
| 許可名称 | 説明 |
|---|---|
| 管理者 | このアクセス許可は、お使いの Datadog 組織内のすべてを表示し編集する権限をロールに与えます(明示的に定義されたアクセス許可を持つものを除く)。これには、請求、使用方法、ユーザー、キー、ロール、アクセス許可、組織管理が含まれます。これには「標準アクセス」で利用可能なすべてのアクセス許可を含みます。 |
| 標準的な方法 | APM、イベント、その他アカウントの管理に関連しない機能など、お使いの Datadog 組織の中で高度な許可によって制限されていないコンポーネントを表示および編集することができます。 |
注: ロールに admin と standard アクセス許可の両方がないことにより定義されるため、read-only アクセス許可はありません。
デフォルトでは、既存のユーザーは、すぐに使用できる 3 つの Datadog 管理者、標準、または読み取り専用ロールのいずれかにすでに関連付けられているため、すべてのユーザーは全種類のデータを読み取るアクセス許可をすでに持ち、管理者または標準ユーザーはアセットの書き込みアクセス許可をすでに持っています。
注: ユーザーに新しいカスタムロールを追加する際、新しいロールのアクセス許可を適用するために、そのユーザーに関連付けられている既存の Datadog ロールを必ず削除してください。
一般的なアクセス許可の他に、特定のアセットやデータタイプに対しより粒度の高いアクセス許可を定義することもできます。アクセス許可は、グローバルにすることも要素のサブセットに範囲を絞ることもできます。オプションの詳細と利用可能なアクセス許可に対する影響に関しては、以下をご覧ください。
ダッシュボードアセットのアクセス許可一覧は以下をご覧ください。
| 名前 | 説明 | Scopable |
|---|---|---|
| dashboards_read | ダッシュボードを表示する機能 | false |
| dashboards_write | ダッシュボードを作成および変更する機能 | false |
| dashboards_public_share | ダッシュボードを外部と共有する機能 | false |
モニターアセットのアクセス許可一覧は以下をご覧ください。
| 名前 | 説明 | Scopable |
|---|---|---|
| monitors_read | モニターを表示する機能 | false |
| monitors_write | モニターを変更、ミュート、削除する機能 | false |
| monitors_downtime | モニターのダウンタイムを設定する機能 | false |
セキュリティモニタリングアセットのアクセス許可一覧は以下をご覧ください。
| 名前 | 説明 | Scopable |
|---|---|---|
| security_monitoring_rules_read | 検出ルールを閲覧可能 | false |
| security_monitoring_rules_write | 検出ルールを作成、編集、削除可能 | false |
| security_monitoring_signals_read | セキュリティシグナルを閲覧可能 | false |
ログコンフィギュレーションアセットおよびログデータのアクセス許可一覧は、以下をご覧ください。
| 名前 | 説明 | Scopable |
|---|---|---|
| logs_read_data | ログデータへの読み取りアクセス権。付与された場合、他の制限が適用されます (logs_read_index_data または制限クエリなど)。 | true |
| logs_read_index_data | サブセットログデータの読み取り (インデックスベース) | true |
| logs_modify_indexes | ログインデックスの定義を更新可能 | false |
| logs_live_tail | Live Tail 機能にアクセス可能 | false |
| logs_write_exclusion_filters | 除外フィルターのサブセットを更新可能 | true |
| logs_write_pipelines | ログパイプラインのサブセットを更新可能 | true |
| logs_write_processors | インデックス内のログプロセッサーを更新可能 | true |
| logs_write_archives | 外部アーカイブのコンフィギュレーションを更新可能 | false |
| logs_read_archives | アーカイブからログをリハイドレートします。アーカイブのコンフィギュレーション詳細を参照してください。 | true |
| logs_public_config_api | ログパブリック構成 API にアクセス可能(読み取り/書き込み) | false |
| logs_generate_metrics | メトリクス生成機能にアクセス可能 | false |
アクセス許可に関する詳細は、以下をご覧ください。
メトリクスの生成機能を使用する能力をロールに付与します。このアクセス許可はグルーバルで、ログから生成されるすべてのメトリクスのコンフィギュレーションに適用されます。
Datadog ロールのページにアクセスし、指定するロールの other のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
ログインデックスを作成および変更する能力をロールに付与します。それには以下が含まれます。
logs_read_index_data) 。logs_write_exclusion_filters) 。注: このアクセス許可は、すべてのログインデックスの読み取りアクセスとすべてのインデックス除外フィルターの書き込みアクセス許可も付与します。
Datadog ロールのページにアクセスし、指定するロールの other のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
インデックス内で除外フィルターを作成または変更する能力をロールに付与します。これは、グローバルに割り当てることも、インデックスのサブセットに制限することもできます。
Global access:
Datadog ロールのページにアクセスし、指定するロールの write のチェックボックスを選択します(以下参照)。
インデックスのサブセット:
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
ロールにログ処理パイプラインを作成および変更する能力を付与します。これには、処理パイプラインに入るログの一致フィルターの設定、パイプラインの名前の設定、そのパイプライン内のプロセッサーへの書き込みアクセス権を持つロールの制限(logs_write_processors)が含まれます。
Datadog ロールのページにアクセスし、指定するロールの other のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
ID がそれぞれ abcd-1234 および bcde-2345 の 2 つの処理パイプラインにのみ書き込みアクセスを付与する場合、
logs_write_pipelines が割り当てられている場合、削除します。logs_write_pipelines アクセス許可 UUID を見つけます。以下の呼び出しで、そのロールにアクセス許可を付与します。
curl -X POST \
https://app.datadoghq.com/api/v1/role/<ROLE_UUID>/permission/<PERMISSION_UUID> \
-H "Content-Type: application/json" \
-H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
-H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
-d '{
"scope": {
"pipelines": [
"abcd-1234",
"bcde-2345"
]
}
}'処理パイプライン内でプロセッサーを作成または変更する能力をロールに付与します。
Global access:
Datadog ロールのページにアクセスし、指定するロールの write のチェックボックスを選択します(以下参照)。
パイプラインのサブセット:
logs_write_processors および logs_write_pipelines アクセス許可を削除します。Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
ログアーカイブを作成または変更する能力を付与します。
Datadog ロールのページにアクセスし、指定するロールの other のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
アーカイブからのリハイドレートを行う許可を取得し、アーカイブコンフィギュレーションの詳細にアクセスします。このアクセス許可の対象はアーカイブのサブセットとなります。
Datadog ロールのページにアクセスし、指定するロールの read のチェックボックスを選択します(以下参照)。
次に、アーカイブにロールを割り当てます。アーカイブを作成して割り当てるか、アーカイブの編集時にいつでも更新することができます。
アクセス制限のないアーカイブは、logs_read_archives アクセス許可をもつロールに属するユーザー全員が閲覧できます。アクセスが制限されているアーカイブは、logs_read_archives が許可されているロールを除き、登録済みのロールのいずれかに属するユーザーのみしかアクセスできません。
以下の例では、Guest 以外のすべてのロールに logs_read_archive 許可が付与されていることを前提としています。
Guest ロールのみに属するユーザーを除くすべてのユーザーがアクセスできます。Customer Support に属するすべてのユーザーがアクセスできます。Customer Support に属するユーザーはアクセスできません。Audit & Security も同時に付与されている場合はアクセスが可能です。Roles API から、logs_read_archive アクセス許可をロールに付与したり取り消すことができます。
Archive API を使用して、アーカイブ対象をロールのサブセットに設定することができます。
Datadog API でログコンフィギュレーションを作成または変更する能力を付与します。
Datadog ロールのページにアクセスし、指定するロールの other のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
次のアクセス許可を付与してログデータのサブセットの読み取りアクセス権を管理します。
logs_read_data(推奨) は、ログ制限クエリに一致するログへのロールのアクセスを制限することにより、よりきめ細かなアクセス制御を提供します。logs_read_index_data は、インデックスごとにインデックス付きログデータへのデータアクセスを制限する代替アプローチです。(インデックスされたデータにアクセスする際にもこのアクセス許可が求められます)これらのアクセス許可は一緒に使用することもできます。ロールは、ユーザーをインデックスのサブセットに制限し、さらに制限クエリを適用して、これらのインデックス内のアクセスを制限できます。
例: ユーザー A はインデックス audit とインデックス errors にアクセスでき、クエリ service:api に制限されています。
ログエクスプローラーを見ると、このユーザーには service:api から audit と errors インデックスへのログのみが表示されます。
さらに、Live Tail へのアクセスは、ユーザーのデータアクセス制限に関係なく、logs_live_tail アクセス許可で制限できます。
ログデータへの読み取りアクセス権。付与された場合、他の制限が適用されます (logs_read_index_data または制限クエリなど)。
“ロールの組み合わせは許容されます。ユーザーが複数の役割に属している場合、最も制限の少ないロールが適用されます。”
例:
service:sandbox に制限されており、別のロールで env:prod に制限されている場合、ユーザーはすべての env:prod と service:sandbox ログにアクセスできます。ログデータへのグローバルな読み取りアクセス権を付与する:
Datadog ロールのページにアクセスし、指定するロールの read のチェックボックスを選択します(以下参照)。
ログのサブセットへの読み取りアクセスを制限する:
このコンフィギュレーションは、API を通じてのみサポートされます。
いくつかのログインデックスでロールに読み取りアクセス権を付与します。これは、グローバルに割り当てることも、ログインデックスのサブセットに制限することもできます。
logs_read_data と制限クエリを使用する場合は、インデックスされたログにアクセスできるよう logs_read_index_data アクセス許可を必ずグローバルに設定する必要があります。
Global access:
Datadog ロールのページにアクセスし、指定するロールの read のチェックボックスを選択します(以下参照)。
インデックスのサブセット:
logs_read_index_data および logs_modify_indexes アクセス許可を削除します。このアクセス許可は、[Roles API][3] を介してロールから付与または取り消すことができます。たとえば、main および support の名前のついた 2 つのインデックスのみの読み取りアクセスをロールに付与する場合、API 呼び出しは以下のようになります。
logs_read_index_data が割り当てられている場合、削除します。logs_read_index_data アクセス許可 UUID を見つけます。以下の呼び出しで、そのロールにアクセス許可を付与します。
curl -X POST \
https://app.datadoghq.com/api/v1/role/<ROLE_UUID>/permission/<PERMISSION_UUID> \
-H "Content-Type: application/json" \
-H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
-H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
-d '{
"scope": {
"indexes": [
"main",
"support"
]
}
}'ロールに Live Tail 機能を使用する能力を付与します。
Datadog ロールのページにアクセスし、指定するロールの read のチェックボックスを選択します(以下参照)。
Roles API から、このアクセス許可をロールに付与したり取り消すことができます。
お役に立つドキュメント、リンクや記事:
このページ
