Docs » 認証とセキュリティ » Splunk Observability Cloudを使用して認証トークンを作成および管理する » Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理

Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理 🔗

アクセストークン(組織トークン)は、有効期間の長い組織レベルのトークンです。アクセストークンは、管理者アクセス権を持つユーザーに関連付けられたトークンを必要とするものを除いて、すべてのAPIリクエストで使用できます。詳細は Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理 を参照してください。

アクセストークンを使って、以下のことが実行できます:

  • APIコールを使ってSplunk Observability Cloudにデータポイントを送信する。

  • APIを呼び出すスクリプトを実行する。

  • ユーザー、サービス、チームなど、さまざまなグループ別の使用状況を追跡してリソースを管理する。例えば、米国とカナダにユーザーがいてSplunk Observability Cloudにデータを送信しているとします。それぞれのグループに固有のアクセストークンを与えると、それぞれの国から入るデータ量を比較することができます。

注釈

デフォルトでは、管理者であるユーザーのみがすべてのアクセストークンを検索および表示できます。このデフォルトは、アクセストークンを作成または更新するときに変更できます。

組織内でトークンへのアクセス権を持つパワーユーザーにはバナーが表示されますが、トークンをローテーションする必要があることを伝えるメールは管理者のみに届きます。

トークンの有効期限 🔗

トークンの有効期限は、アクセストークンページで確認できます。このページを表示するには、Settings を選択し、Access tokens を選択します。デフォルトでは、アクセストークンの有効期限は作成日から30日です。トークンの有効期限が切れる前にトークンをローテーションすることも、トークン作成時に有効期限のデフォルトを変更することもできます。詳細については、アクセストークンのローテーション および 有効期限の日付を設定する を参照してください。

デフォルトでは、組織内のトークンの有効期限の30日前に、すべての組織管理者にメールが届きます。このメールには、有効期限が近付いたトークンのリストを表示するSplunk Observability Cloudのページへのリンクが含まれます。期限切れの通知日の変更については、有効期限の日付を設定する を参照してください。

デフォルトのアクセストークン 🔗

デフォルトでは、どの組織にも組織レベルのアクセストークンが1つあります。追加のトークンを作成しない場合、Splunk Observability Cloudにデータを送信するすべてのAPIリクエストは、このアクセストークンを使用する必要があります。

アクセストークンの管理 🔗

アクセス(組織)トークンを管理するには、以下の手順にしたがいます:

  1. Settings メニューを開きます。

  2. Access Tokens を選択します。

  3. StatusScope のフィルターを使用しするか、検索バーにトークン名を入力して、トークンを見つけます。

  4. トークン名の横にある展開アイコンを選択します。するとトークンの詳細が表示されます。

    Authorization Scopes フィールドの値によって許可されるアクセストークンの権限については、アクセストークンの作成 の権限に関するステップを参照してください。

  5. (オプション)組織管理者の場合、リストに表示されたトークンの右側にアクションメニュー(⋮)が表示されます。このメニューからトークンアクションを選択できます。

  6. トークンの権限とトークンの有効期限の設定を変更するには、それぞれ トークンの権限を変更するトークンの有効期限と有効期限アラートを変更する を参照してください。

トークンの権限を変更する 🔗

組織の管理者であれば、他のユーザーやチームのトークン権限を変更できます。

トークンの権限を変更するには、以下の手順に従ってください:

  1. Access Token Permissions ボックスを選択します。以下の権限オプションから選択します:

    • Only Admins can Read:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。

    • Admins and Select Users or Teams can Read:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。

    • Everyone can Read:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。

  2. 権限を追加するには、Access Token Permissions の下にある左矢印を選択します。

  3. Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです:

  4. チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。

  5. トークンを更新するには、Update を選択します。

トークンの有効期限と有効期限アラートを変更する 🔗

トークンの有効期限と有効期限アラートを変更するには、以下の手順に従います:

  1. トークンのアクションメニュー(⋮)で、Expiration date を選択します。

  2. Expiration date ボックスで、トークンの新しい有効期限を選択します。

  3. 有効期限アラートの表示対象を変更するには、以下のオプションから選択します:

    • Admins and users or teams with token permissions can receive alert:管理者とトークン権限を持つすべての人に、トークンの有効期限が近づくとアラートが届きます。

    • Only admins can receive alert:管理者のみに、トークンの有効期限が近付くとアラートが届きます。

  4. 受信者が受け取るアラートの種類を設定します。

  5. 受信者がアラートを受け取るタイミングを変更します。例えば、値を 7d にすると、トークンの有効期限が切れる7日前に受信者がアラートを受け取ることを意味します。

  6. Update を選択します。

アクセストークンのシークレットを表示およびコピーする 🔗

トークンのシークレットを表示するには、トークン名を選択し、Show Token を選択します。

トークン値をコピーするには、Copy を選択します。アクセストークンを表示またはコピーするには、管理者である必要はありません。

アクセストークンの作成 🔗

アクセストークンの作成を開始するには、次の手順に従います:

  1. Splunk Observability Cloudのメインメニューを開きます。

  2. Settings を選択し、Access Tokens を選択します。

  3. New Token を選択します。

次に、アクセストークン作成ガイド付きセットアップの各ステップを完了します:

注釈

アクセストークンを作成するには、組織の管理者である必要があります。

トークンに名前を付け、認証スコープを選択する 🔗

トークンの作成を開始するには、トークンの名前とスコープを入力します。以下のステップを完了させます:

  1. 一意のトークン名を入力します。すでに使用されているトークン名を入力した場合、たとえそのトークンが非アクティブであっても、Splunk Observability Cloudはその名前を受け付けません。

  2. 認証スコープを選択します。認証スコープに関する情報は、以下の表を参照してください:

    認証スコープ

    説明

    RUMトークン

    RUM取り込みエンドポイントで認証する場合は、このスコープを使用します。これらのエンドポイントは、次のベースURLを使用します: https://rum-ingest.<REALM>.signalfx.com/v1/rum

    取り込みトークン

    データ取り込みエンドポイントで認証する場合とSplunk Distribution of OpenTelemetry Collectorを使用する場合は、このスコープを使用します。これらのエンドポイントは、次のベースURLを使用します:

    • POST https://ingest.<REALM>.signalfx.com/v2/datapoint

    • POST https://ingest.<REALM>.signalfx.com/v2/datapoint/otlp

    • POST https://ingest.<REALM>.signalfx.com/v2/event

    • POST https://ingest.<REALM>.signalfx.com/v1/trace

    これらのエンドポイントに関する情報は、データポイントの送信 を参照してください。

    APIトークン

    Splunk Observability CloudのAPIエンドポイントで認証する場合は、このスコープを使用します。これらのエンドポイントは、次のベースURLを使用します:

    • https://api.<REALM>.signalfx.com

    • wss://stream.<REALM>.signalfx.com

    API認証スコープでアクセストークンを作成する際、トークンに関連付けるSplunk Observability Cloudのロールを少なくとも1つ選択します。powerusageread_only から選択できます。Splunk Observability Cloudのロールの詳細については、Splunk Observability Cloud のロールについて を参照してください。

    これらのエンドポイントに関する情報は、Splunk Observability CloudのAPIエンドポイントの概要 を参照してください。

  3. (オプション)トークンの説明を追加します。

  4. Next を選択して次のステップに進みます。

トークンの表示と使用を許可する対象者を決定する 🔗

次に、トークンの権限を設定して、組織のユーザーやチームがトークンを使用できるようにします。以下のステップを完了させます:

  1. 表示に関する権限を編集します。利用可能な権限を表示するには、Access Token Permissions ボックスを選択します。以下の権限オプションが表示されます:

    • Only Admins can Read:管理者ユーザーのみが、新しいトークンの表示または読み取りができます。他のユーザーにはこのトークンが見えません。

    • Admins and Select Users or Teams can Read:管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。その他の人にはこのトークンが見えません。

    • Everyone can Read:組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。

    権限を追加するには、Access Token Permissions の下にある矢印を選択します。

  2. Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです:

    1. Add Team or User を選択します。Splunk Observability Cloudが、組織内のチームとユーザーのリストを表示します。

    2. 大きなリストからチームやユーザー名を見つけるには、検索ボックスにそれらの名前を入力します。Splunk Observability Cloudが一致する結果を返します。ユーザーまたはチームを選択します。

    3. さらにチームやユーザーを追加する場合は、Add Team or User を再度選択します。

      注釈

      ダイアログの途中で次のようなメッセージが表示される場合があります:

      あなたは現在、「アクセス制限」を無効にしたチームにアクセス権限を付与しようとしています。これは、任意のユーザーがこのチームに参加でき、このアクセストークンにアクセスできることを意味します。

      このメッセージは、すべてのユーザーがこのチームに参加でき、このアクセストークンの表示または読み取りができることを意味します。

    4. チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン( X )を選択します。

  3. Next を選択して最後のステップに進みます。

有効期限の日付を設定する 🔗

トークンの有効期限を選択すると、トークンの作成が完了します。

  1. Expiration date ボックスで、トークンの有効期限が切れる日付を選択します。トークン作成日から18年を超える日付は指定できません。

  2. Expiration alert ボックスで、以下のオプションのいずれかを選択します:

    • Only admins can receive alert:トークンの有効期限の日付が近づくと、管理者のみにアラートが届きます。

    • Admins and users or teams with token permissions can receive alert:トークンの有効期限の日付が近づくと、管理者とトークン権限を持つすべてのユーザーにアラートが届きます。

  3. (オプション)Splunk Observability Cloudが有効期限切れアラートを送信するタイミングを設定します。たとえば、値を7 daysと設定すると、トークンの有効期限が切れる7日前に Splunk Observability Cloudがアラートを送信するということになります。

  4. Create を選択して新しいトークンの作成を終了します。

アクセストークンのローテーション 🔗

アクセストークンメニューまたはSplunk Observability Cloud APIを使って、アクセストークンをローテーションできます。これにより、トークンの新しいシークレットを作成し、トークンの以前のシークレットを無効化します。オプションで、以前のトークンシークレットが失効するまでの猶予期間を設定できます。

有効期限が切れたトークンをローテーションすることはできません。有効期限が切れる前にトークンをローテーションしなかった場合、新しいトークンを作成して置き換える必要があります。

注釈

トークンをローテーションするには、Splunk Observability Cloudの管理者である必要があります。

トークンメニューを使用してアクセストークンをローテーションする 🔗

アクセストークンメニューを使用してトークンをローテーションするには、以下の手順にしたがいます:

  1. Splunk Observability Cloudで、Settings を選択します。

  2. Access tokens を選択します。

  3. アクセストークンメニューで、ローテーションするトークンを選択します。

  4. Rotate token を選択します。

  5. 新しいトークンシークレットの有効期限、および、(オプション)現在のトークンシークレットの猶予期間を入力します。

  6. Rotate を選択します。

トークンのローテーションが終了したら、猶予期間が終了する前に、新しいトークンシークレットを使ってOpenTelemetry Collectorの設定を更新してください。

Splunk Observability Cloud APIを使用してアクセストークンをローテーションする 🔗

APIを使用してアクセストークンをローテーションするには、Splunk Observability Cloud APIの POST /token/{name}/rotate エンドポイントを使用します。トークンをローテーションするためのAPIコールは、以下のようなものになります:

curl -X  POST "https://api.{realm}.signalfx.com/v2/token/{name}/rotate?graceful={gracePeriod}&secondsUntilExpiry={secondsUntilExpiry}" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <your-user-session-api-token-value>"

以下の手順に従ってください:

  1. realm フィールドに自分のSplunkレルムを入力します。

  2. your-user-session-api-token-value フィールドにAPIセッショントークンを入力します。APIセッショントークンの検索または作成については、Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理 を参照してください。

  3. name フィールドにローテーションさせたいトークンの名前を入力します。

  4. オプションで、gracePeriod フィールドに、猶予期間を秒単位で指定します。

  5. オプションで、トークンの有効期限が切れるまでの秒数を secondsUntilExpiry フィールドに入力します。この値には、0秒から5,676,000,000秒(18年)までの値を指定できます。未指定の場合、トークンは30日間有効になります。

  6. APIエンドポイントを呼び出してトークンをローテーションします。

例えば、以下のAPIコールは、myToken をローテンションし、以前のトークンシークレットの有効期限が切れるまでの猶予期間を604800秒(7日間)に設定するものです。

curl -X POST "https://api.us0.signalfx.com/v2/token/myToken/rotate?graceful=6048000" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <123456abcd>"

トークンのローテーションが終了したら、猶予期間が終了する前に、新しいトークンシークレットを使ってOpenTelemetry Collectorの設定を更新してください。

このエンドポイントの詳細やリクエストと応答の例を確認するには、Splunk 開発者向けドキュメント を参照してください。

アクセストークンの名前を変更する 🔗

以下の手順で、トークンの名前を変更します:

  1. トークンのアクションメニュー( Edit Token )から ⋮ を選択します。

  2. トークンの新しい名前を入力します。

  3. OK を選択します。

トークンの名前を変更しても、トークンのシークレットには影響しません。

注釈

クラウドのインテグレーション(AWS、GCP、または Azure) の場合、アクセストークンの名前を変更した後、APIを使用して新しいトークン名を選択する必要があります。AWSの場合は、UIで 新しいトークンを設定することもできます。

アクセストークンの無効化または有効化 🔗

注釈

トークンを削除することはできません。無効化のみ実行可能です。

トークンを無効化するには、トークンのアクションメニュー( Deactivate )から ⋮ を選択します。

無効化されたトークンを有効化するには、無効化されたトークンのアクションメニュー( Activate )から ⋮ を選択します。

有効なトークンまたは無効なトークンの検索は、アクセストークンページで Status フィルターを使用して実行できます。

トークンの制限を管理する 🔗

ホスト数とコンテナ数の制限を含むアクセストークンの制限を変更するには、以下の手順に従います:

  1. 編集するトークンを選択します。すると、トークンの詳細ページが開きます。

  2. トークンのアクションメニュー(⋮)を選択し、Manage limits を選択します。

  3. Manage limits メニューで、新しいトークンの制限を追加します。

トークンの制限に関する詳細は、アクセストークンを使用したデータ取り込みの管理 を参照してください。

このページは 2024年11月06日 に最終更新されました。