- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
ログの RBAC ロールを作成したら、そのロールにアクセス許可を割り当てたり削除したりできます。
Datadog サイトでロールを更新して、ロールへアクセス許可を直接割り当てたり削除したりできます。
Datadog Permission API を使用して、ロールへアクセス許可を直接割り当てたり削除したりできます。
個々のアクセス許可に関する詳細は、以下をご覧ください。
logs_generate_metrics
Generate Metrics 機能を使用する能力をロールに付与します。
このアクセス許可はグローバルで、これにより新しいメトリクスの作成と、既存のメトリクスの編集または削除の両方が可能になります。
logs_write_facets
ファセットの作成、編集、および削除を使用する能力をロールに付与します。
このアクセス許可はグローバルで、これにより新しいファセットの作成と、既存のメトリクスの編集または削除の両方が可能になります。
logs_modify_indexes
ログインデックスを作成および変更する能力をロールに付与します。それには以下が含まれます。
このアクセス許可はグローバルで、これにより新しいインデックスの作成と、既存のインデックスの編集の両方が可能になります。
logs_write_exclusion_filters
インデックス内で除外フィルターを作成または変更する能力をロールに付与します。
このアクセス許可は、グローバルに割り当てることも、インデックスのサブセットに制限することもできます。
インデックスのサブセット:
このコンフィギュレーションは、UI を通じてのみサポートされます。
logs_write_pipelines
ログ処理パイプラインを作成および変更する能力をロールに付与します。それには以下が含まれます。
logs_write_processors
プロセッサとネストされたパイプラインを作成、編集、または削除する能力をロールに付与します。
このアクセス許可は、グローバルに割り当てることも、パイプラインのサブセットに制限することもできます。
特定のパイプラインのモーダルでロールを割り当てます。
logs_write_processors
アクセス許可 API のアクセス許可 ID を取得します。curl -X POST \
https://app.datadoghq.com/api/v2/roles/<ROLE_UUID>/permissions \
-H "Content-Type: application/json" \
-H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
-H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
-d '{
"id": "<PERMISSION_UUID>",
"type": "permissions"
}'
logs_write_archives
ログアーカイブを作成、編集、または削除する能力を付与します。それには以下が含まれます。
このアクセス許可はグローバルで、これにより新しいアーカイブの作成と、既存のアーカイブの編集と削除が可能になります。
logs_read_archives
アーカイブコンフィギュレーションの詳細にアクセスする能力を付与します。 ログ書き込み履歴ビューと組み合わせて、このアクセス許可はアーカイブからリハイドレートをトリガーする能力も付与します。
このアクセス許可の対象はアーカイブのサブセットとなります。アクセス制限のないアーカイブは、logs_read_archives
アクセス許可をもつロールに属するユーザー全員が閲覧できます。アクセスが制限されているアーカイブは、logs_read_archives
が許可されているロールを除き、登録済みのロールのいずれかに属するユーザーのみしかアクセスできません。
以下の例では、Guest
以外のすべてのロールに logs_read_archive
許可が付与されていることを前提としています。
Guest
ロールのみに属するユーザーを除くすべてのユーザーがアクセスできます。Customer Support
に属するすべてのユーザーがアクセスできます。Customer Support
に属するユーザーはアクセスできません。Audit & Security
も同時に付与されている場合はアクセスが可能です。logs_write_historical_views
Log Rehydration* をトリガーすることを意味する、履歴ビューを書き込む能力を付与します。
このアクセス許可はグローバルです。 これにより、ユーザーは、ログ読み取りアーカイブアクセス許可を持つアーカイブのリハイドレートをトリガーできます。
上記の例では
ADMIN
ロールメンバーは、そのアーカイブに対する履歴ビューの書き込み (リハイドレート) アクセス許可と、アーカイブの読み取りアクセス許可を持っているため、Audit Archive
からリハイドレートできます。AUDIT
ロールメンバーは、履歴ビューの書き込み (リハイドレート) アクセス許可を持っていないため、Audit Archive
からリハイドレートすることはできません。PROD
ロールメンバーは、アーカイブの読み取りアクセス許可を持っていないため、Audit Archive
からリハイドレートすることはできません。Audit Archive
からリハイドレートされたすべてのログに team:audit
タグを割り当てるときは、team:audit
ログの読み取りに制限されている Audit
ロールメンバーがリハイドレートされたコンテンツにのみアクセスできることを確認してください。タグの追加とリハイドレートの方法の詳細については、ログアーカイブ設定セクションを参照してください。
Prod Archive
からリハイドレートされた service:ci-cd
ログの場合、次の点に注意してください。
CI-CD
ロールメンバーがアクセスできます。PROD
および ADMIN
ロールメンバーに制限されるため、これらのログには CI-CD
ロールメンバーはアクセスできません。logs_public_config_api
Datadog は logs_public_config_api
権限を削除しました。
以下の 5 つの権限が、Datadog API を通じて、ログ構成の表示、作成、修正の能力を制御します。
次のアクセス許可を付与してログデータのサブセットの読み取りアクセス権を管理します。
logs_read_data
ログデータへの読み取りアクセス権。付与された場合、他の制限が適用されます (logs_read_index_data
または制限クエリなど)。
ロールは付加的です。ユーザーが複数のロールに属している場合、ユーザーがアクセスできるデータは、各ロールからのすべてのアクセス許可の結合になります。
例:
service:sandbox
に制限されており、別のロールで env:prod
に制限されている場合、ユーザーはすべての env:prod
と service:sandbox
ログにアクセスできます。制限クエリに一致するログ以外は見られないようユーザーを制限するには、Data Access ページを使用します。
このビューには以下が表示されます。
Restricted Access
セクション: すべての制限クエリと、それらにアタッチされているロールUnrestricted Access
セクション: log_read_data
許可が付与されているすべてのロール(それ以上の制限はなし)No Access
セクション: log_read_data
許可が付与されていないすべてのロールクエリフィルターを定義する新しい制限クエリを作成します。新しいクエリは、ロールなしで制限リストに表示されます。
任意のロールを選択し、目的の制限クエリに割り当てます。
注: ロールを割り当てられるのは、1 つの制限クエリのみです。つまり、ロールを制限クエリに割り当てると、このロールにすでにアタッチされていた制限クエリとの関係性を失います。
同様に、同じ “Move” インタラクションを使用してロールに Unrestricted Access
を付与するか、反対に No Access
ロールに変更します。
Data Access ページには、セクションごとに最大 50 の制限クエリ、50 のロールが表示されます。ページで表示可能な数よりも多くのロールと制限クエリがある場合、フィルターを使用してこの表示を絞り込みます。
これらのアクセス許可は、デフォルトですべてのユーザーに対してグローバルに有効になっています。
ログ読み取りデータアクセス許可は、これらのレガシーアクセス許可の上にあります。たとえば、ユーザーがクエリ service:api
に制限されているとします。
audit
および errors
インデックスのスコープ読み取りインデックスデータアクセス許可を持っている場合、このユーザーにはこれらのインデックス内の service:api
ログのみが表示されます。service:api
ログのみが表示されます。logs_read_index_data
いくつかのログインデックスでロールに読み取りアクセス権を付与します。これは、グローバルに割り当てることも、ログインデックスのサブセットに制限することもできます。
このアクセス許可の範囲をインデックスのサブセットに設定するには、まずロールの logs_read_index_data
および logs_modify_indexes
アクセス許可を削除します。その後、
このロールにコンフィギュレーションページのインデックスへのアクセスを許可します。
logs_write_processors
アクセス許可 API のアクセス許可 ID を取得します。curl -X POST \
https://app.datadoghq.com/api/v2/roles/<ROLE_UUID>/permissions \
-H "Content-Type: application/json" \
-H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
-H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
-d '{
"id": "<PERMISSION_UUID>",
"type": "permissions"
}'
logs_live_tail
ロールに Live Tail 機能を使用する能力を付与します。
このアクセス許可はグローバルで、ログ読み取りインデックスデータアクセス許可に関係なく、livetail へのアクセスを許可します。
お役に立つドキュメント、リンクや記事: