로그 RBAC 권한

개요

로그에 대한 RBAC 역할을 생성하면 해당 역할에 권한을 할당하거나 제거합니다.

Datadog 사이트에서 역할 업데이트]1를 통해 직접 역할에 권한을 할당하거나 제거할 수 있습니다.

Datadog 권한 API을 통해 직접 역할에 권한을 할당하거나 제거할 수 있습니다.

개별 권한에 대한 자세한 내용은 아래에서 확인하세요.

로그 설정 액세스

logs_generate_metrics

메트릭 생성 기능을 사용할 수 있는 권한을 부여합니다.

이 권한은 글로벌 기능으로 새로운 메트릭 생성과 기존 메트릭 편집 또는 삭제 모두를 활성화합니다.

logs_write_facets

역할에 패싯 생성, 편집 및 삭제를 사용할 수 있는 권한을 부여합니다.

이 권한은 글로벌 기능으로 새로운 패싯 생성과 기존 패싯 편집 또는 삭제 모두를 활성화합니다.

logs_modify_indexes

로그 인덱스를 생성하고 수정할 수 있는 권한을 역할에 부여합니다. 여기에는 다음이 포함됩니다.

이 권한은 글로벌 적용이 가능한 기능으로 새 인덱스 생성 및 기존 인덱스 편집 모두를 활성화합니다.

logs_write_exclusion_filters

인덱스 내에서 제외 필터를 만들거나 수정할 수 있는 권한을 역할에 부여합니다.

이 권한은 전역으로 할당하거나 인덱스의 하위 집합으로 제한할 수 있습니다.

인덱스의 하위 집합:

  1. 역할에 대한 글로벌 권한을 제거합니다.
  2. 인덱스를 편집하고 ‘이 인덱스의 제외 필터 편집 권한 부여 대상’ 필드에 역할을 추가하여 Datadog 사이트 인덱스 페이지에서 역할에 이 권한을 부여합니다.

이 설정은 UI를 통해서만 지원됩니다.

logs_write_pipelines

역할에 로그 프로세싱 파이프라인을 만들고 수정할 수 있는 권한을 부여합니다. 여기에는 다음이 포함됩니다.

  • 파이프라인 이름 설정하기
  • 프로세싱 파이프라인에 입력해야 하는 로그에 대한 파이프라인 필터 설정
  • 파이프라인 재주문
  • 다른 역할에 로그 쓰기 프로세서 권한을 부여하여 해당 파이프라인을 위한 범위 지정
  • 표준 속성 또는 엘리어싱 패싯 관리

logs_write_processors

역할에 프로세서 및 중첩된 파이프라인을 생성, 편집 또는 삭제할 수 있는 권한을 부여합니다.

이 권한은 글로벌 할당하거나 파이프라인의 하위 집합으로 제한할 수 있습니다.

특정 파이프라인의 Edit 모달에서 역할을 할당합니다.

  1. 특정 파이프라인에 할당하려는 역할의 역할 ID를 가져옵니다.
  2. 해당 지역의 logs_write_processors 권한 API 에 대한 권한 ID 가져오기를 수행합니다.
  3. 다음 호출을 통해 해당 역할에 권한을 부여합니다.
curl -X POST \
        https://app.datadoghq.com/api/v2/roles/<ROLE_UUID>/permissions \
        -H "Content-Type: application/json" \
        -H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
        -H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
        -d '{
                "id": "<PERMISSION_UUID>",
                "type": "permissions"
            }'

logs_write_archives

로그 아카이브를 생성, 편집 또는 삭제할 수 있는 권한을 부여합니다. 여기에는 다음이 포함됩니다.

  • 아카이브로 라우팅할 로그에 대한 아카이브 필터 설정
  • 아카이브 이름 설정하기
  • 아카이브 재정렬
  • 로그 아카이브 읽기](#logs_read_archives) 권한을 역할의 하위 집합으로 제한합니다.

이 권한은 글로벌 적용되며 새 아카이브 생성, 편집 및 기존 아카이브 삭제를 활성화합니다.

logs_read_archives

아카이브 설정의 세부 정보에 액세스할 수 있는 권한을 부여합니다. 로그 기록 보기 쓰기와 함께 이 권한은 아카이브에서 복원을 트리거할 수 있는 기능도 부여합니다.

이 권한은 아카이브의 하위 집합으로 범위를 지정할 수 있습니다. 제한이 없는 아카이브는 logs_read_archives 권한이 있는 역할에 속한 모든 사람이 액세스할 수 있습니다. 제한이 있는 아카이브는 등록된 역할 중 하나에 속한 사용자만 액세스할 수 있으며, 해당 역할에 logs_read_archives 권한이 있는 경우에만 액세스할 수 있습니다.

다음 예에서는 Guest 역할을 제외한 모든 역할에 logs_read_archive 권한이 있다고 가정합니다.

  • 스테이징은 Guest 역할에 전용으로 속한 사용자를 제외한 모든 사용자가 액세스할 수 있습니다.
  • Prod는 Customer Support 에 속한 모든 사용자가 액세스할 수 있습니다.
  • Customer Support 에 속해 있는 사용자는 Audit & Security 에도 속해 있지 않으면 보안 감사에 액세스할 수 없습니다.
커스텀 역할 생성

아카이브 생성을 진행하거나 아카이브를 편집하는 동안 언제든지 업데이트할 수 있습니다.

커스텀 역할 생성

로그 아카이브 API를 사용하여 지정된 아카이브에서 역할을 할당 또는 취소하세요.

logs_write_historical_views

기록 보기를 작성하는 기능, 즉 로그 복원*을 트리거하는 기능을 부여합니다.

이 권한은 글로벌 권한입니다. 이 권한을 통해 사용자는 로그 아카이브 읽기 권한이 있는 아카이브에 대한 복원을 트리거할 수 있습니다.

기록 보기 쓰기

위 예시에 대해 다음이 적용됩니다.

  • ADMIN 역할 멤버는 기록 보기 쓰기(복원) 권한과 해당 아카이브에 대한 아카이브 읽기 권한이 있으므로 Audit Archive 에서 복원할 수 있습니다.
  • AUDIT 역할 멤버는 기록 보기 쓰기(복원) 권한이 없으므로 Audit Archive 에서 복원할 수 없습니다.
  • PROD 역할 멤버는 아카이브 읽기 권한이 없으므로 Audit Archive 에서 복원할 수 없습니다.

Audit Archive에서 복원된 모든 로그에 team:audit 태그를 할당할 때는 team:audit로그 읽기가 제한된 Audit 역할 회원만 복원된 콘텐츠에 액세스할 수 있도록 해야 합니다. 태그 및 복원 추가 방법에 대한 자세한 내용은 아카이브 설정 섹션을 참조하세요. 로그 아카이브 설정 섹션을 참조하세요.

Prod Archive에서 복원한 service:ci-cd 로그의 경우 다음 사항에 유의하세요.

  • 만약 사용하지 않는다면 로그 읽기 인덱스 데이터 레거시 권한을 사용하면 CI-CD 역할 멤버가 이 로그에 액세스할 수 있습니다.
  • 로그 읽기 인덱스 데이터 레거시 권한을 사용하는 경우, 결과 기록 보기가 PRODADMIN 역할 구성원으로 제한되므로 CI-CD 역할 멤버는 이러한 로그에 액세스할 수 없습니다.

제거됨: logs_public_config_api

Datadog logs_public_config_api 권한을 제거했습니다.

다섯 가지 개별 권한으로 Datadog API 을 통해 로그 설정을 보고, 생성하고, 수정할 수 있는 기능을 제어합니다.

로그 데이터 액세스

로그 데이터의 하위 집합에 대한 읽기 액세스 권한을 관리하려면 다음 권한을 부여하세요.

  • 로그 데이터 읽기(권장)는 역할의 액세스를 로그 제한 쿼리와 일치하는 값으로 제한하여 더 세분화된 액세스 제어를 제공합니다.
  • 로그 읽기 인덱스 데이터는 인덱싱된 로그에 대한 데이터 액세스를 제한하는 레거시 방식입니다(인덱싱된 데이터에 액세스하려면 여전히 이 권한을 활성화해야 함).

logs_read_data

로그 데이터에 대한 읽기 액세스입니다. 허용된 경우 logs_read_index_data 또는 제한 쿼리와 같은 다른 제한이 적용됩니다.

역할은 추가적으로 부여됩니다. 사용자가 여러 역할에 속해 있는 경우 액세스할 수 있는 데이터는 각 역할의 모든 권한을 합친 것입니다.

:

  • 사용자가 로그 데이터 읽기 권한이 있는 역할에 속해 있고 로그 데이터 읽기 권한이 없는 역할에도 속해 있으면 데이터 읽기 권한이 있는 것입니다.
  • 사용자가 한 역할을 통해 service:sandbox로 제한되고 다른 역할을 통해 env:prod로 제한되는 경우 사용자는 env:prodservice:sandbox 로그에 모두 액세스할 수 있습니다.
읽기 데이터 액세스

사용자가 제한 쿼리와 일치하는 로그를 더 이상 볼 수 없도록 제한하려면 데이터 액세스 페이지를 사용합니다.

  1. 제한 쿼리를 생성합니다.
  2. 제한 쿼리에 하나 또는 여러 역할을 [할당](#어떤 역할을 제한에 할당-쿼리)합니다.
  3. 어떤 역할과 사용자가 어떤 제한 쿼리에 할당되었는지 점검합니다.

이 보기에는 목록이 표시됩니다:

  • Restricted Access 섹션: 모든 제한 쿼리와 할당된 역할을 봅니다.
  • Unrestricted Access 섹션: log_read_data 권한이 있는 모든 역할에 추가 제한이 없습니다,
  • No Access 섹션: log_read_data 권한이 없는 모든 역할입니다.

제한 쿼리 생성

쿼리 필터를 정의하는 새 제한 쿼리를 생성합니다. 새 쿼리가 역할이 할당되지 않은 채로 제한 목록에 표시됩니다.

제한 쿼리에 역할 할당

원하는 역할을 선택한 다음 의도한 제한 쿼리에 할당됩니다.

참고: 역할에는 제한을 하나 이상 지정할 수 없습니다. 즉, 제한 쿼리에 역할을 할당하면 이미 연결된 제한 쿼리와의 연결이 손실됩니다.

마찬가지로 동일한 ‘이동’ 상호작용을 사용하여 Unrestricted Access 역할에 권한을 부여하거나 반대로 No Access 역할로 전환할 수 있습니다.

제한 쿼리 점검

데이터 액세스 페이지에는 최대 50개의 제한 쿼리와 섹션당 50개의 역할이 표시됩니다. 페이지에 표시할 수 있는 것보다 더 많은 역할과 제한 쿼리가 있는 경우 필터를 사용하여 이 보기 범위를 좁힙니다.

  • 제한 쿼리 필터를 사용합니다.

    필터 제한 쿼리
  • 역할 필터를 사용하세요.

    역할로 보기
  • 사용자 필터를 사용하면 여러 역할에 속한 특정 사용자가 실제로 어떤 항목에 액세스할 수 있는지 편리하게 확인할 수 있습니다.

    역할로 보기

역할 API이 있는 역할에서 이 권한을 취소하거나 부여합니다. 제한 쿼리를 사용하여 로그를 남기다 데이터의 하위 집합에 대한 권한을 범위 부여합니다.

레거시 권한

이러한 권한은 기본적으로 모든 사용자에게 글로벌 활성화되어 있습니다.

로그 데이터 읽기 권한은 이러한 레거시 권한 위에 추가됩니다. 예를 들어 사용자가 쿼리 service:api로 제한되어 있다고 가정해 보겠습니다.

  • 이 사용자가 auditerrors 인덱스에 대해 인덱스 데이터 읽기 권한을 설정한 경우, 이 사용자는 해당 인덱스 내에서 service:api 로그만 볼 수 있습니다.
  • 이 사용자에게 라이브테일 권한이 있는 경우, 이 사용자는 라이브테일에서 service:api 로그만 볼 수 있습니다.

logs_read_index_data

특정 수의 로그 인덱스에 대한 역할 읽기 액세스 권한을 부여합니다. 글로벌 설정하거나 로그 인덱스의 하위 집합으로 제한할 수 있습니다.

인덱스의 하위 집합에 이 권한을 범위 부여하려면 먼저 역할에서 logs_read_index_datalogs_modify_indexes 권한을 제거합니다. 그 뒤 다음을 수행합니다.

설정 페이지의 인덱스에 대한 액세스 권한을 이 역할에 부여합니다.

특정 역할에 인덱스에 대한 읽기 권한 부여
  • 특정 파이프라인에 할당하려는 역할의 역할 ID를 가져옵니다.
  • 해당 지역의 logs_write_processors 권한 API에 대한 권한 ID 가져오기를 수행합니다.
  • 다음 호출을 통해 해당 역할에 권한을 부여합니다.
curl -X POST \
        https://app.datadoghq.com/api/v2/roles/<ROLE_UUID>/permissions \
        -H "Content-Type: application/json" \
        -H "DD-API-KEY: <YOUR_DATADOG_API_KEY>" \
        -H "DD-APPLICATION-KEY: <YOUR_DATADOG_APPLICATION_KEY>" \
        -d '{
                "id": "<PERMISSION_UUID>",
                "type": "permissions"
            }'

logs_live_tail

역할에 라이브 테일 기능을 사용할 수 있는 권한을 부여합니다.

이 권한은 글로벌 권한으로, 로그 인덱스 데이터 읽기 권한에 관계없이 라이브 테일에 대한 액세스 권한을 부여합니다.

참고 자료


*Log Rehydration은 Datadog, Inc.의 상표입니다.