シナリオ:WeiがSplunk Observability Cloudを使って多くのチームとユーザーを抱える安全な組織を維持する 🔗
架空のゲーム会社であるButtercup Gamesは最近、自社のEコマースサイトをクラウドネイティブ化するためのリファクタリングを行いました。このサイトでは、アプリケーションアーキテクチャにマイクロサービスを使用し、基盤インフラにはコンテナを使用しています。
このシナリオでは、サイト信頼性エンジニアリング(SRE)マネージャーのWeiがSplunk Observability Cloudを使用し、以下のタスクを実行して組織のセキュリティを維持し、意図しない変更を最小限に抑える方法を説明します。
アクセス制限とトークンを使用してチームのセキュリティを強化する 🔗
オンコールSREであるKaiは、Buttercup Gamesサイトの稼働時間がこの1時間で大幅に低下し、顧客がウェブサイトにアクセスできなくなっているとWeiに知らせます。しかしWeiは、システムの稼働時間の低下に関連するアラートを何も受け取っていません。
WeiはラップトップでSplunk Observability Cloudにログインして調査を行います。アラートリストにアクセスしてアラート設定を確認し、関連する稼働時間ディテクターがミュートされていることに気が付きます。
Weiは Detector Info タブでこのディテクターの履歴をチェックし、最新の編集がSREチーム外の誰かによって行われたことを確認しました。Weiは、その人物がディテクターを表示しているときに誤ってミュートした可能性があることに気が付きました。
調査の中で、Weiは稼働時間ディテクターの書き込み権限がデフォルトの設定になっていることにも気が付きました。これでは、組織内の誰でもディテクターに変更を加えることができます。
ディテクターの書き込み権限を編集する前に、WeiはSplunk Observability Cloudのチーム管理を使ってプロセスがより簡単になるようにします。
すべてのダッシュボードとディテクターの権限リストに同じユーザーリストを追加する必要がないようにするため、また将来のチーム拡大を考慮して、WeiはまずSplunk Observability Cloudで稼働時間アラートの監視を担当するSREだけで構成されるチームを作成します。
Weiは、他のユーザーが承認なしに自分のチームに参加できないようにするため、自分の組織内のチームのアクセス制限機能を有効にします。
SREはディテクターの作成と削除を行う必要があるため、APIを使用してディテクターを管理できるようにするチーム用トークンを生成します。具体的には、トークンの認証スコープとして API のみを選択してセキュリティを維持します。
さらに詳しく 🔗
チームの作成方法の詳細については、チームを作成する を参照してください。
チームのアクセス制限を有効にする方法の詳細については、チームセキュリティの強化を有効にする を参照してください。
トークンの生成方法の詳細については、アクセストークンの作成 を参照してください。
ディテクターを編集できるユーザーを制限する 🔗
Weiは、ミュートされた稼働時間ディテクターに戻って、ミュートを解除します。
安全なチーム構成は完了しているので、ディテクターの権限リストに作成したチームだけを追加する準備ができています。
今後は、Weiとチームメイトだけが稼働時間ディテクターに変更を加えることができます。
さらに詳しく 🔗
ディテクターの権限の設定方法については、ディテクターの権限の表示と管理 を参照してください。
他のチームのメンバーがダッシュボードを表示したり変更したりできないようにする 🔗
Weiは、ユーザーがInfrastructure Monitoringのチャートにディテクターをリンクできることを知っているため、Detector actions > Info を選択して、稼働時間ディテクターがどのチャートにリンクされているかを確認します。
Weiは、このディテクターがチームのダッシュボードグループに属するエラー予算ダッシュボードのチャートにリンクされていることを確認しました。
さきほどのディテクターと同じようにチャートが誤って変更されることを防ぐため、Weiはダッシュボードグループに移動して権限を編集し、自分のチームだけがチームのダッシュボードグループに変更を加えることができ、組織の他のメンバーは引き続き表示を行えるようにします。
Weiは、自分のチームが所有する他のディテクターとダッシュボードグループにも同じ権限設定を適用します。
さらに詳しく 🔗
ダッシュボードとダッシュボードグループの権限に関する詳細は、ダッシュボードグループとダッシュボードの表示、編集を許可するメンバーを指定する を参照してください。
ディテクターとチャートのリンクに関する詳細は、ディテクターをチャートにリンクする を参照してください。
まとめ 🔗
チームのアクセス制限、制限付きトークン、および、ディテクター、ダッシュボードグループ、ダッシュボードの権限のカスタマイズを使用して、WeiはSplunk Observability Cloudで自分のチームならびに組織のセキュリティを強化することができました。Weiはこれらの機能を使用して、将来的に偶発的な変更が発生することも防いでいます。