ユーザーとロールの一元管理 🔗
管理者は、Splunk Cloud PlatformとSplunk Observability Cloudの両方のユーザーとロールを、Splunk Cloud Platformで一元管理できるようになりました。Splunk Cloud Platformは、Splunk Observability Cloudのロールベースアクセス制御(RBAC)ストアになります。
ユーザーとロールの一元管理にアクセスできる人 🔗
統合IDを導入しているすべてのお客様は、Splunk Cloud Platformでユーザーとロールの一元管理にアクセスできます。統合IDは、同じAWSリージョンに設置されたSplunk Cloud PlatformとSplunk Observability Cloudをご利用のお客様にお使いいただけます。
前提条件 🔗
以下の条件を満たすお客様は、ユーザーとロールの一元管理をご利用いただけます:
Splunk Cloud Platformのバージョンが9.3.2408以上であること
統合IDを設定済みであること。詳細は 統合ID:Splunk Cloud PlatformとSplunk Observability Cloud を参照してください。
Splunk Cloud PlatformとSplunk Observability Cloudの組織が、同じAWSリージョンに設置されていること。次の表を参照してください。
Splunk Observability Cloudのレルム |
AWSのリージョン |
---|---|
us0 |
AWS米国東部バージニア(us-east-1) |
us1 |
AWS米国西部オレゴン(us-west-2) |
eu0 |
AWS欧州ダブリン(eu-west-1) |
eu1 |
AWS欧州フランクフルト(eu-central-1) |
eu2 |
AWS欧州ロンドン(eu-west-2) |
au0 |
AWSアジア太平洋シドニー(ap-southeast-2) |
jp0 |
AWSアジア太平洋東京(ap-northeast-1) |
ユーザーとロールの一元管理の設定方法 🔗
ユーザーとロールの一元管理は、Splunk Observability Cloudを既にご利用中であるかどうかにかかわらず設定できます。ユーザーとロールの一元管理を設定したいがまだSplunk Observability Cloudを持っていないという場合は、次のセクション( Splunk Observability Cloudを新規にご利用いただくお客様 )を参照してください。すでにSplunk Observability Cloudをお持ちの場合は、既にSplunk Observability Cloudをご利用のお客様 の手順に従って、ユーザーとロールの一元管理を設定してください。
Splunk Observability Cloudを新規にご利用いただくお客様 🔗
まだSplunk Observability Cloudをお持ちでない場合は、Splunkの営業担当者に、Splunk Observability Cloudの購入またはトライアルの開始を希望する旨を伝えてください。営業担当者が、お客様のSplunk Cloud Platformインスタンスに統合されているSplunk Observability Cloudのトライアルを始動します。これには、ユーザーとロールの一元管理がすでに設定されています。
既にSplunk Observability Cloudをご利用のお客様 🔗
統合IDを設定すると、Admin Config Service(ACS)を使用してユーザーとロールの一元管理をセットアップできます。ACSコマンドラインツールをまだインストールしていないが使用を希望するという場合は、ACS CLIを使用したSplunk Cloud Platformの管理 を参照してください。
ユーザーとロールの一元管理を設定する場合は、以下の手順に従ってください:
組織に統合IDが設定されていることを確認します。設定されていない場合は、以下のAdmin Config Services(ACS)コマンドを実行して、統合IDを設定します:
acs observability pair --o11y-access-token "<enter-o11y-access-token>"
上記の例の
<enter-o11y-access-token>
を、前のステップでSplunk Observability Cloudから取得したユーザーAPIアクセストークンに置き換えます。以下のACSコマンドを実行して、事前パッケージ済みのSplunk Observability CloudのロールをSplunk Cloud Platformインスタンスに追加します:
acs observability enable-capabilities
注釈
It could take around 30 minutes for the new roles
o11y_*
to be available on the Roles page of Splunk Cloud.Splunk Observability Cloudにアクセスできるようにするすべてのユーザーに、
o11y_access
ロールを付与します。管理者としてSplunk Cloud Platformにログインし、Settings、Users and Authentication、Roles の順に移動します。Splunk Observability Cloudのロールをユーザーに割り当てます。以下のSplunk Observability Cloudのロール(
o11y_*
のプレフィックス付き)が、Splunk Cloudのロール管理ページに表示されるようになります:o11y_admin
o11y_power
o11y_read_only
o11y_usage
Splunk Observability Cloudのロールと機能のマトリクス を参照して、各ロールが実行できることの詳細を確認してください。
ユーザーがSplunk Cloud PlatformでSplunk Observability Cloudのリアルタイムのメトリクスにアクセスできるようにしたい場合は、
read_o11y_content
とwrite_o11y_content
の機能を付与します。一元型のロールベースアクセス制御(RBAC)を有効にすることで、Splunk Observability Cloudの組織がRBACのソースとしてSplunk Cloud Platformの使用を開始できるようになります。
注釈
一元型RBACを有効にするコマンドを実行すると、Splunk Cloud Platformは、Splunk Cloud Platformの認証情報を使用して認証を行うすべてのSplunk Observability CloudユーザーのためのRBACストアになります。そのため、一元型RBACを有効にするコマンドを実行する前に、Splunk Cloud Platformで影響を受ける各ユーザーにSplunk Observability Cloudのロールを割り当てる必要があります。そうしないと、ロールがないため、ユーザーはSplunk Observability Cloudからロックアウトされます。
以下のACSコマンドを実行して、一元型RBACを有効にします:
acs observability enable-centralized-rbac --o11y-access-token <access-token>
ユーザーとロールの一元管理の仕組み 🔗
ユーザーとロールの一元管理を設定すると、Splunk Cloud Platformは、Splunk Observability Cloudユーザーのロールベースアクセス制御(RBAC)のソースとなります。Splunk Observability CloudのロールがSplunk Cloud Platformに表示され、Splunkユーザーに割り当てられるようになります。各ロールが実行できることについては、Splunk Observability Cloudのロールと機能のマトリクス を参照してください。
ユーザーがSplunk Cloud Platformの認証情報を使ってSplunk Observability Cloudにログインすると、Splunk Cloud Platformは、RBAC ストア、つまりロールのソースオブトゥルース(信頼できる唯一の情報源)になります。ユーザーのロールは、Splunk Cloud Platformでそのユーザーに割り当てられたロールです。そのロールはSplunk Cloud Platformでのみ表示され、Splunk Observability CloudのUIでは表示されなくなります。管理者は、ロールを更新する場合は、Splunk Cloud Platformで実行する必要があります。
逆に、ユーザーがSplunk Cloud Platformの認証情報ではなく、ローカルに、またはサードパーティのIDプロバイダー経由で、Splunk Observability Cloudにログインした場合は、Splunk Observability Cloudがソースオブトゥルースのままであり、ユーザーのロールはUIに表示されます。この場合、管理者は、Splunk Observability CloudのUIでロールの表示と更新を実行できます。
統合IDを使用してSplunk Observability Cloudで新規ユーザーを作成する際は、依然としてそのユーザーに o11y_access
ロールを付与する必要があります。
Splunk Observability CloudユーザーでないSplunk Cloud PlatformユーザーがSplunk Cloudのリアルタイムメトリクスにアクセスできるようにするには、read_o11y_content
と write_o11y_content
の機能を付与する必要があります。
トラブルシューティング 🔗
以下は、既知の問題とその解決策です。
「アクセス権がありません」というエラーの問題 🔗
ユーザーとロールの一元管理を設定した後に、ユーザーがSplunk Observability Cloudにログインできなくなる。「Splunk Observability Cloudへのアクセス権がありません…」というエラーメッセージが表示される。
原因 🔗
そのユーザーのSplunk Cloud Platformスタックがメンテナンス中である可能性があります。あるいは、ユーザーとロールの一元管理を設定した管理者が、そのユーザーに o11y_access
ロールを付与し忘れた可能性があります。
解決策 🔗
まず、Splunk Cloud Platformインスタンスが利用可能であり、メンテナンス中でないことを確認します。
次に、ログインに問題があるユーザーが、Splunk Cloud Platformで以下の両方のロールを持っていることを確認します:
o11y_access
ロールo11y_*
のいずれかのロール(前のセクションのステップ3を参照してください)。
複数のエラーが発生する問題 🔗
管理者がユーザーとロールの一元管理を設定した後に、ユーザーがログインするとUI全体でエラーが表示される。
原因 🔗
そのユーザーのSplunk Cloud Platformスタックがメンテナンス中である可能性があります。別の原因として、トークン認証がSplunk Cloud Platformインスタンス上で有効になっていない可能性があります。
解決策 🔗
まず、ペアリングされたSplunkサーチヘッドまたはサーチヘッドクラスターが利用可能であり、メンテナンス中でないことを確認します。
次に、Splunk Cloud Platformインスタンス上でトークン認証が有効になっていることを確認します。