Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理 🔗
アクセストークン(組織トークン)は、有効期間の長い組織レベルのトークンです。アクセストークンは、管理者アクセス権を持つユーザーに関連付けられたトークンを必要とするものを除いて、すべてのAPIリクエストで使用できます。詳細は Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理 を参照してください。
アクセストークンを使って、以下のことが実行できます:
APIコールを使ってSplunk Observability Cloudにデータポイントを送信する。
APIを呼び出すスクリプトを実行する。
ユーザー、サービス、チームなど、さまざまなグループ別の使用状況を追跡してリソースを管理する。例えば、米国とカナダにユーザーがいてSplunk Observability Cloudにデータを送信しているとします。それぞれのグループに固有のアクセストークンを与えると、それぞれの国から入るデータ量を比較することができます。
注釈
デフォルトでは、管理者であるユーザーのみがすべてのアクセストークンを検索および表示できます。このデフォルトは、アクセストークンを作成または更新するときに変更できます。
組織内でトークンへのアクセス権を持つパワーユーザーにはバナーが表示されますが、トークンをローテーションする必要があることを伝えるメールは管理者のみに届きます。
トークンの有効期限 🔗
アクセストークンの有効期限は、作成日から1年です。2022年2月28日以前に作成されたアクセストークンの場合、有効期限は作成日から5年間のままです。Splunk Observability Cloud APIを使用すると、有効期限が切れる前にトークンをローテーションできます。詳細は、アクセストークンのローテーション を参照してください。
Every organization admin will receive an email 30 days before a token in their org expires. The email includes a link to Splunk Observability Cloud that displays a list of expiring tokens. You cannot customize the token expiration email.
デフォルトのアクセストークン 🔗
デフォルトでは、どの組織にも組織レベルのアクセストークンが1つあります。追加のトークンを作成しない場合、Splunk Observability Cloudにデータを送信するすべてのAPIリクエストは、このアクセストークンを使用する必要があります。
アクセストークンの管理 🔗
以下の手順で、アクセス(組織)トークンを管理します:
Settings メニューを開きます。
を選択します。
大きなリストからアクセストークンを見つけるには、検索ボックスにトークンの名前を入力します。Splunk Observability Cloudが一致する結果を返します。
To look at the details for an access token, select the expand icon next to the token name.
Authorization Scopes フィールドの値によって許可されるアクセストークンの権限については、アクセストークンの作成 の権限に関するステップを参照してください。
組織管理者の場合、リストに表示されたトークンの右側にアクションメニュー(⋯ アイコン)が表示されます。このメニューからトークンのアクションを選択できます。
トークンの可視性を変更するには、以下の手順に従ってください:
利用可能な権限を表示するには、Access Token Permissions ボックスで右矢印を選択します。以下の権限オプションが表示されます:
:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。
:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。
:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。
権限を追加するには、Access Token Permissions の下にある左矢印を選択します。
Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです:
Select Add Team or User. Splunk Observability Cloud displays a list of teams and users in your organization.
大きなリストからチームやユーザー名を見つけるには、検索ボックスにそれらの名前を入力します。Splunk Observability Cloudが一致する結果を返します。ユーザーまたはチームを選択します。
さらにチームやユーザーを追加する必要がある場合は、Add Team or User を再度選択します。
注釈
ダイアログの途中で次のようなメッセージが表示される場合があります:
あなたは現在、「アクセス制限」を無効にしたチームにアクセス権限を付与しようとしています。これは、任意のユーザーがこのチームに参加でき、このアクセストークンにアクセスできることを意味します。
このメッセージは、すべてのユーザーがこのチームに参加でき、このアクセストークンの表示または読み取りができることを意味します。
チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。
トークンを更新するには、Update を選択します。
アクセストークンの表示とコピー 🔗
アクセストークンの値を表示するには、トークン名を選択し、Show Token を選択します。
トークン値をコピーするには、Copy を選択します。アクセストークンを表示またはコピーするには、管理者である必要はありません。
アクセストークンの作成 🔗
注釈
以下のタスクを実行するには、組織管理者である必要があります。
以下の手順でアクセストークンを作成します:
Open the Splunk Observability Cloud main menu.
を選択し、 を選択します。
New Token を選択します。あなたの組織のアクセストークンリストが長い場合は、このボタンにアクセスするためにリストの一番下までスクロールダウンする必要があるかもしれません。
一意のトークン名を入力します。すでに使用されているトークン名を入力した場合、たとえそのトークンが非アクティブであっても、Splunk Observability Cloudはその名前を受け付けません。
Select an authorization scope for the token from 1 of the following values:
注釈
Assign only 1 authorization scope to each token. Applying both the API and Ingest authorization scopes to the same token might raise a security concern.
RUMトークン:RUM取り込みエンドポイントでこのトークンを使用して認証する場合は、この認証スコープを選択します。これらのエンドポイントは次のベースURLを使用します:
https://rum-ingest.<REALM>.signalfx.com/v1/rum
注意
RUMは、ブラウザで表示可能なURIにRUMトークンを表示します。セキュリティを保持するため、取り込み または API 認証スコープをRUMトークンに割り当てることはできません。
取り込みトークン:データの取り込みエンドポイントでこのトークンを使用して認証する場合は、この認証スコープを選択します。これらのエンドポイントは、以下のベースURLを使用します:
POST
https://ingest.<REALM>.signalfx.com/v2/datapoint
POST
https://ingest.<REALM>.signalfx.com/v2/datapoint/otlp
POST
https://ingest.<REALM>.signalfx.com/v2/event
POST
https://ingest.<REALM>.signalfx.com/v1/trace
これらのエンドポイントに関する情報は、データポイントの送信 を参照してください。
注釈
Splunk Distribution of the OpenTelemetry Collectorの取り込みの認証スコープを使用します。Splunk Distribution of the OpenTelemetry Collector の利用開始 を参照してください。
API トークン:Splunk Observability Cloudのエンドポイントでこのトークンを使用して認証する場合は、この認証スコープを選択します。使用例としては、Terraform、ビジネスオブジェクトのためのAPIのプログラム的使用などがあります。これらのエンドポイントは、以下のベースURLを使用します:
https://api.<REALM>.signalfx.com
wss://stream.<REALM>.signalfx.com
When you create an access token with API authentication scope, select at least one Splunk Observability Cloud role to associate with the token. You can select from
power
,usage
, orread_only
. To learn more about Splunk Observability Cloud roles, see Splunk Observability Cloud のロールについて.これらのエンドポイントに関する情報は、Splunk Observability CloudのAPIエンドポイントの概要 を参照してください。
表示権限の編集:
利用可能な権限を表示するには、Access Token Permissions ボックスで右矢印を選択します。以下の権限オプションが表示されます:
:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。
:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。
:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。
To add permissions, select the arrow below Access Token Permissions.
Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです:
Select Add Team or User. Splunk Observability Cloud displays a list of teams and users in your organization.
大きなリストからチームやユーザー名を見つけるには、検索ボックスにそれらの名前を入力します。Splunk Observability Cloudが一致する結果を返します。ユーザーまたはチームを選択します。
さらにチームやユーザーを追加する場合は、Add Team or User を再度選択します。
注釈
ダイアログの途中で次のようなメッセージが表示される場合があります:
あなたは現在、「アクセス制限」を無効にしたチームにアクセス権限を付与しようとしています。これは、任意のユーザーがこのチームに参加でき、このアクセストークンにアクセスできることを意味します。
このメッセージは、すべてのユーザーがこのチームに参加でき、このアクセストークンの表示または読み取りができることを意味します。
チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。
新しいトークンを作成するには、Create を選択します。
アクセストークンのローテーション 🔗
Splunk Observability Cloud APIを使ってアクセストークンをローテーションできます。これにより、トークンの新しいシークレットが作成され、トークンの以前のシークレットは無効化されます。オプションで、以前のトークンシークレットが失効するまでの猶予期間を設定できます。
有効期限が切れたトークンをローテーションすることはできません。有効期限が切れる前にトークンをローテーションしなかった場合、新しいトークンを作成して置き換える必要があります。
注釈
トークンをローテーションするには、Splunk Observability Cloudの管理者である必要があります。
アクセストークンをローテーションするには、Splunk Observability Cloud API の POST /token/{name}/rotate
エンドポイントを使用します。トークンをローテーションする API呼び出しは、次のようになります:
curl -X POST "https://api.{realm}.signalfx.com/v2/token/{name}/rotate?graceful={gracePeriod}" \
-H "Content-type: application/json" \
-H "X-SF-TOKEN: <your-user-session-api-token-value>"
以下の手順に従ってください:
realm
フィールドに自分のSplunkレルムを入力します。Enter your API session token in the
your-user-session-api-token-value
field. To find or create an API session token, see Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理.name
フィールドにローテーションさせたいトークンの名前を入力します。オプションで、
gracePeriod
フィールドに、猶予期間を秒単位で指定します。APIエンドポイントを呼び出してトークンをローテーションします。
例えば、以下のAPIコールは、myToken
をローテンションし、以前のトークンシークレットの有効期限が切れるまでの猶予期間を604800秒(7日間)に設定するものです。
curl -X POST "https://api.us0.signalfx.com/v2/token/myToken/rotate?graceful=6048000" \
-H "Content-type: application/json" \
-H "X-SF-TOKEN: <123456abcd>"
After you’re finished rotating the token, update any of your OpenTelemetry Collector configurations with the new token secret before the grace period ends.
このエンドポイントの詳細やリクエストと応答の例を確認するには、Splunk 開発者向けドキュメント を参照してください。
アクセストークンの名前を変更する 🔗
以下の手順で、トークンの名前を変更します:
トークンのアクションメニュー(⋯)から
を選択します。トークンの新しい名前を入力します。
OK を選択します。
トークンの名前を変更しても、トークンの値には影響しません。
注釈
クラウドのインテグレーション(AWS、GCP、または Azure) の場合、アクセストークンの名前を変更した後、APIを使用して新しいトークン名を選択する必要があります。AWSの場合は、UIで 新しいトークンを設定することもできます。
アクセストークンの無効化または有効化 🔗
注釈
トークンを削除することはできません。無効化のみ実行可能です。
トークンを非アクティブにするには、トークンのアクションメニュー(⋯ アイコン)から
を選択します。そのトークンを表示する行の背景に影が付いて、トークンが非アクティブであることを示します。UIでは、非アクティブ化されたトークンが、トークンリストの最後(アクティブなトークンの後)に表示されます。非アクティブなトークンをアクティブ化するには、非アクティブなトークンのアクションメニュー(⋯ アイコン)から
を選択します。そのトークンを表示する行の背景は薄い色になっており、トークンが非アクティブであることを示しています。