Docs » 認証とセキュリティ » Splunk Observability Cloudを使用して認証トークンを作成および管理する » Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理

Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理 🔗

アクセストークン(組織トークン)は、有効期間の長い組織レベルのトークンです。アクセストークンは、管理者アクセス権を持つユーザーに関連付けられたトークンを必要とするものを除いて、すべてのAPIリクエストで使用できます。詳細は Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理 を参照してください。

アクセストークンを使って、以下のことが実行できます:

  • APIコールを使ってSplunk Observability Cloudにデータポイントを送信する。

  • APIを呼び出すスクリプトを実行する。

  • ユーザー、サービス、チームなど、さまざまなグループ別の使用状況を追跡してリソースを管理する。例えば、米国とカナダにユーザーがいてSplunk Observability Cloudにデータを送信しているとします。それぞれのグループに固有のアクセストークンを与えると、それぞれの国から入るデータ量を比較することができます。

注釈

デフォルトでは、管理者であるユーザーのみがすべてのアクセストークンを検索および表示できます。このデフォルトは、アクセストークンを作成または更新するときに変更できます。

組織内でトークンへのアクセス権を持つパワーユーザーにはバナーが表示されますが、トークンをローテーションする必要があることを伝えるメールは管理者のみに届きます。

トークンの有効期限 🔗

You can view the expiration dates of your tokens through the access token page. To view this page, select Settings and select Access tokens. By default, access tokens expire 30 days after the creation date. You can rotate a token before it expires, or you can change the default expiration date during token creation. For details, see アクセストークンのローテーション and Configure an expiration date.

By default, every organization admin receives an email 30 days before a token in their org expires. The email includes a link to Splunk Observability Cloud that displays a list of expiring tokens. To change the expiration reminder date, see Configure an expiration date.

デフォルトのアクセストークン 🔗

デフォルトでは、どの組織にも組織レベルのアクセストークンが1つあります。追加のトークンを作成しない場合、Splunk Observability Cloudにデータを送信するすべてのAPIリクエストは、このアクセストークンを使用する必要があります。

アクセストークンの管理 🔗

To manage your access (org) tokens, follow these steps:

  1. Settings メニューを開きます。

  2. Select Access Tokens.

  3. Find your token by using the Status and Scope filters or enter the token name in the search bar.

  4. Select the expand icon next to the token name. This displays details about the token.

    Authorization Scopes フィールドの値によって許可されるアクセストークンの権限については、アクセストークンの作成 の権限に関するステップを参照してください。

  5. (Optional) If you’re an organization administrator, the actions menu (⋮) appears to the right side of the token listing. You can select token actions from this menu.

  6. See Change token permissions and Change token expiration date and expiration alerts to modify token permissions and token expiration settings, respectively.

Change token permissions 🔗

If you’re an organization administrator, you can change token permissions for other users and teams.

To change the token permissions, follow these steps:

  1. Select the Access Token Permissions box. Choose from the following permission options:

    • Only Admins can Read:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。

    • Admins and Select Users or Teams can Read:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。

    • Everyone can Read:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。

  2. 権限を追加するには、Access Token Permissions の下にある左矢印を選択します。

  3. If you selected Admins and Select Users or Teams can Read, select the users or teams to whom you want to give access.

  4. チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。

  5. トークンを更新するには、Update を選択します。

Change token expiration date and expiration alerts 🔗

To change the token expiration date and expiration alerts, follow these steps:

  1. In the token actions menu (⋮), select Expiration date.

  2. In the Expiration date box, select a new expiration date for the token.

  3. To change the visibility of the expiration alert, select from the following options:

    • Admins and users or teams with token permissions can receive alert: Admins and anyone with token permissions receive an alert when the token is close to expiring.

    • Only admins can receive alert: Only admins receive an alert when the token is close to expiring.

  4. Configure the type of alert that your recipients receive.

  5. Change the time at which recipients receive an alert. For example, a value of 7d means recipients receive an alert 7 days before the token expires.

  6. Select Update.

View and copy access token secrets 🔗

To view the token secret, select the token name and then select Show Token.

トークン値をコピーするには、Copy を選択します。アクセストークンを表示またはコピーするには、管理者である必要はありません。

アクセストークンの作成 🔗

To get started with creating an access token, follow these steps:

  1. Open the Splunk Observability Cloud main menu.

  2. Settings を選択し、Access Tokens を選択します。

  3. Select New Token.

Next, complete each step in the access token creation guided setup:

注釈

You must be an organization administrator to create access tokens.

Name the token and select the authorization scope 🔗

To get started with creating the token, enter a name and scope for the token. Complete the following steps:

  1. 一意のトークン名を入力します。すでに使用されているトークン名を入力した場合、たとえそのトークンが非アクティブであっても、Splunk Observability Cloudはその名前を受け付けません。

  2. Select an authorization scope. See the following table for information about the authorization scopes:

    Authorization scope

    説明

    RUM token

    Use this scope to authenticate with RUM ingest endpoints. These endpoints use the following base URL: https://rum-ingest.<REALM>.signalfx.com/v1/rum.

    Ingest token

    Use this scope to authenticate with data ingestion endpoints and when using the Splunk Distribution of OpenTelemetry Collector. These endpoints use the following base URLs:

    • POST https://ingest.<REALM>.signalfx.com/v2/datapoint

    • POST https://ingest.<REALM>.signalfx.com/v2/datapoint/otlp

    • POST https://ingest.<REALM>.signalfx.com/v2/event

    • POST https://ingest.<REALM>.signalfx.com/v1/trace

    これらのエンドポイントに関する情報は、データポイントの送信 を参照してください。

    API token

    Use this scope to authenticate with Splunk Observability Cloud API endpoints. These endpoints use the following base URLs:

    • https://api.<REALM>.signalfx.com

    • wss://stream.<REALM>.signalfx.com

    When you create an access token with API authentication scope, select at least one Splunk Observability Cloud role to associate with the token. You can select from power, usage, or read_only. To learn more about Splunk Observability Cloud roles, see Splunk Observability Cloud のロールについて.

    これらのエンドポイントに関する情報は、Splunk Observability CloudのAPIエンドポイントの概要 を参照してください。

  3. (Optional) Add a description for the token.

  4. Select Next to continue to the next step.

Determine who can view and use the token 🔗

Next, configure token permissions so your organization’s users and teams can use the token. Complete the following steps:

  1. Edit the visibility permissions. To display the available permissions, select the Access Token Permissions box. The following permission options appear:

    • Only Admins can Read:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。

    • Admins and Select Users or Teams can Read:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。

    • Everyone can Read:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。

    To add permissions, select the arrow below Access Token Permissions.

  2. Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです:

    1. Select Add Team or User. Splunk Observability Cloud displays a list of teams and users in your organization.

    2. 大きなリストからチームやユーザー名を見つけるには、検索ボックスにそれらの名前を入力します。Splunk Observability Cloudが一致する結果を返します。ユーザーまたはチームを選択します。

    3. さらにチームやユーザーを追加する場合は、Add Team or User を再度選択します。

      注釈

      ダイアログの途中で次のようなメッセージが表示される場合があります:

      あなたは現在、「アクセス制限」を無効にしたチームにアクセス権限を付与しようとしています。これは、任意のユーザーがこのチームに参加でき、このアクセストークンにアクセスできることを意味します。

      このメッセージは、すべてのユーザーがこのチームに参加でき、このアクセストークンの表示または読み取りができることを意味します。

    4. チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。

  3. Select Next to continue to the final step.

Configure an expiration date 🔗

To finish creating the token, select an expiration date for the token.

  1. In the Expiration date box, select a date at which the token will expire. The date can’t be over 18 years from the token creation date.

  2. In the Expiration alert box, select from one of the following options:

    • Only admins can receive alert: Only admins receive an alert when the token is close to its expiration date.

    • Admins and users or teams with token permissions can receive alert: Admins and any users with token permissions receive an alert when the token is close to its expiration date.

  3. (Optional) Set a time for when Splunk Observability Cloud sends an expiration alert. For example, a value of 7 days means Splunk Observability Cloud will send an alert 7 days before the token expires.

  4. Select Create to finish creating the new token.

アクセストークンのローテーション 🔗

You can rotate an access token using the access token menu or the Splunk Observability Cloud API. This creates a new secret for the token and deactivates the token’s previous secret. Optionally, you can provide a grace period before the previous token secret expires.

有効期限が切れたトークンをローテーションすることはできません。有効期限が切れる前にトークンをローテーションしなかった場合、新しいトークンを作成して置き換える必要があります。

注釈

トークンをローテーションするには、Splunk Observability Cloudの管理者である必要があります。

Rotate access tokens using the token menu 🔗

To rotate a token using the access token menu, follow these steps:

  1. In Splunk Observability Cloud, select Settings.

  2. Select Access tokens.

  3. In the access tokens menu, select the token you want to rotate.

  4. Select Rotate token.

  5. Enter an expiration date for the new token secret, and optionally, a grace period for the current token secret.

  6. Select Rotate.

After you’re finished rotating the token, update any of your OpenTelemetry Collector configurations with the new token secret before the grace period ends.

Rotate access tokens using the Splunk Observability Cloud API 🔗

To rotate an access token with the API, use the POST /token/{name}/rotate endpoint in the Splunk Observability Cloud API. An API call to rotate a token looks like this:

curl -X  POST "https://api.{realm}.signalfx.com/v2/token/{name}/rotate?graceful={gracePeriod}&secondsUntilExpiry={secondsUntilExpiry}" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <your-user-session-api-token-value>"

以下の手順に従ってください:

  1. realm フィールドに自分のSplunkレルムを入力します。

  2. Enter your API session token in the your-user-session-api-token-value field. To find or create an API session token, see Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理.

  3. name フィールドにローテーションさせたいトークンの名前を入力します。

  4. オプションで、gracePeriod フィールドに、猶予期間を秒単位で指定します。

  5. Optionally, provide the seconds until your token expires in the secondsUntilExpiry field. This can be any value between 0 second and 5,676,000,000 seconds (18 years), inclusive. If left unspecified, the token remains valid for 30 days.

  6. APIエンドポイントを呼び出してトークンをローテーションします。

例えば、以下のAPIコールは、myToken をローテンションし、以前のトークンシークレットの有効期限が切れるまでの猶予期間を604800秒(7日間)に設定するものです。

curl -X POST "https://api.us0.signalfx.com/v2/token/myToken/rotate?graceful=6048000" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <123456abcd>"

After you’re finished rotating the token, update any of your OpenTelemetry Collector configurations with the new token secret before the grace period ends.

このエンドポイントの詳細やリクエストと応答の例を確認するには、Splunk 開発者向けドキュメント を参照してください。

アクセストークンの名前を変更する 🔗

以下の手順で、トークンの名前を変更します:

  1. Select Edit Token from the token’s actions menu (⋮).

  2. トークンの新しい名前を入力します。

  3. OK を選択します。

Renaming a token does not affect the token’s secret.

注釈

クラウドのインテグレーション(AWS、GCP、または Azure) の場合、アクセストークンの名前を変更した後、APIを使用して新しいトークン名を選択する必要があります。AWSの場合は、UIで 新しいトークンを設定することもできます。

アクセストークンの無効化または有効化 🔗

注釈

トークンを削除することはできません。無効化のみ実行可能です。

To deactivate a token, select Deactivate from the token’s actions menu (⋮).

To activate a deactivated token, select Activate from the deactivated token’s actions menu (⋮).

You can search for activated or deactivated tokens using the Status filter in the access tokens page.

Manage token limits 🔗

To change limits for your access tokens, including host and container limits, follow these steps:

  1. Select the token that you want to edit. This opens the token detail page.

  2. Select the token actions menu (⋮), and select Manage limits.

  3. In the Manage limits menu, add the new token limits.

To learn more about token limits, see アクセストークンを使用したデータ取り込みの管理.

This page was last updated on 2024年11月06日.