ユーザーとロールの一元管理 🔗
管理者は、Splunk Cloud PlatformとSplunk Observability Cloudの両方のユーザーとロールを、Splunk Cloud Platformで一元管理できるようになりました。Splunk Cloud Platformは、Splunk Observability Cloudのロールベースアクセス制御(RBAC)ストアになります。
ユーザーとロールの一元管理にアクセスできる人 🔗
統合IDを導入しているすべてのお客様は、Splunk Cloud Platformでユーザーとロールの一元管理にアクセスできます。統合IDは、同じAWSリージョンに設置されたSplunk Cloud PlatformとSplunk Observability Cloudをご利用のお客様にお使いいただけます。
前提条件 🔗
以下の条件を満たすお客様は、ユーザーとロールの一元管理をご利用いただけます:
Splunk Cloud Platformのバージョンが9.3.2408以上であること
統合IDを設定済みであること。詳細は 統合ID:Splunk Cloud PlatformとSplunk Observability Cloud を参照してください。
Splunk Cloud PlatformとSplunk Observability Cloudの組織が、同じAWSリージョンに設置されていること。次の表を参照してください。
Splunk Observability Cloud realm |
AWSのリージョン |
|---|---|
us0 |
AWS米国東部バージニア(us-east-1) |
us1 |
AWS米国西部オレゴン(us-west-2) |
eu0 |
AWS欧州ダブリン(eu-west-1) |
eu1 |
AWS欧州フランクフルト(eu-central-1) |
eu2 |
AWS欧州ロンドン(eu-west-2) |
au0 |
AWSアジア太平洋シドニー(ap-southeast-2) |
jp0 |
AWSアジア太平洋東京(ap-northeast-1) |
ユーザーとロールの一元管理の設定方法 🔗
ユーザーとロールの一元管理は、Splunk Observability Cloudを既にご利用中であるかどうかにかかわらず設定できます。ユーザーとロールの一元管理を設定したいがまだSplunk Observability Cloudを持っていないという場合は、次のセクション( New Splunk Observability Cloud customers )を参照してください。すでにSplunk Observability Cloudをお持ちの場合は、Existing Splunk Observability Cloud customers の手順に従って、ユーザーとロールの一元管理を設定してください。
New Splunk Observability Cloud customers 🔗
If you do not yet have Splunk Observability Cloud, inform your Splunk sales representative that you want to purchase Splunk Observability Cloud or start a trial. The sales representative initiates a Splunk Observability Cloud trial that is already integrated with your Splunk Cloud Platform instance and has centralized user and role management already configured.
Existing Splunk Observability Cloud customers 🔗
Once you have configured Unified Identity, you can use Admin Config Service (ACS) to set up centralized user and role management. If you haven’t installed the ACS command-line tool and want to use it, see Administer Splunk Cloud Platform using the ACS CLI .
ユーザーとロールの一元管理を設定する場合は、以下の手順に従ってください:
組織に統合IDが設定されていることを確認します。設定されていない場合は、以下のAdmin Config Services(ACS)コマンドを実行して、統合IDを設定します:
acs observability pair --o11y-access-token "<enter-o11y-access-token>"
Replace
<enter-o11y-access-token>in the example above, with the user API access token you retrieved from Splunk Observability Cloud in previous step.Run the following ACS command to add prepackaged Splunk Observability Cloud roles to your Splunk Cloud Platform instance:
acs observability enable-capabilities
Splunk Observability Cloudにアクセスできるようにするすべてのユーザーに、
o11y_accessロールを付与します。管理者としてSplunk Cloud Platformにログインし、Settings、Users and Authentication、Roles の順に移動します。Splunk Observability Cloudのロールをユーザーに割り当てます。以下のSplunk Observability Cloudのロール(
o11y_*のプレフィックス付き)が、Splunk Cloudのロール管理ページに表示されるようになります:o11y_admin
o11y_power
o11y_read_only
o11y_usage
Splunk Observability Cloud matrix of roles and capabilities を参照して、各ロールが実行できることの詳細を確認してください。
ユーザーがSplunk Cloud PlatformでSplunk Observability Cloudのリアルタイムのメトリクスにアクセスできるようにしたい場合は、
read_o11y_contentとwrite_o11y_contentの機能を付与します。一元型のロールベースアクセス制御(RBAC)を有効にすることで、Splunk Observability Cloudの組織がRBACのソースとしてSplunk Cloud Platformの使用を開始できるようになります。
注釈
一元型RBACを有効にするコマンドを実行すると、Splunk Cloud Platformは、Splunk Cloud Platformの認証情報を使用して認証を行うすべてのSplunk Observability CloudユーザーのためのRBACストアになります。そのため、一元型RBACを有効にするコマンドを実行する前に、Splunk Cloud Platformで影響を受ける各ユーザーにSplunk Observability Cloudのロールを割り当てる必要があります。そうしないと、ロールがないため、ユーザーはSplunk Observability Cloudからロックアウトされます。
以下のACSコマンドを実行して、一元型RBACを有効にします:
acs observability enable-centralized-rbac --o11y-access-token <access-token>
注釈
It takes around 30 minutes for a new role to be available on the Roles page.
ユーザーとロールの一元管理の仕組み 🔗
ユーザーとロールの一元管理を設定すると、Splunk Cloud Platformは、Splunk Observability Cloudユーザーのロールベースアクセス制御(RBAC)のソースとなります。Splunk Observability CloudのロールがSplunk Cloud Platformに表示され、Splunkユーザーに割り当てられるようになります。各ロールが実行できることについては、Splunk Observability Cloud matrix of roles and capabilities を参照してください。
ユーザーがSplunk Cloud Platformの認証情報を使ってSplunk Observability Cloudにログインすると、Splunk Cloud Platformは、RBAC ストア、つまりロールのソースオブトゥルース(信頼できる唯一の情報源)になります。ユーザーのロールは、Splunk Cloud Platformでそのユーザーに割り当てられたロールです。そのロールはSplunk Cloud Platformでのみ表示され、Splunk Observability CloudのUIでは表示されなくなります。管理者は、ロールを更新する場合は、Splunk Cloud Platformで実行する必要があります。
逆に、ユーザーがSplunk Cloud Platformの認証情報ではなく、ローカルに、またはサードパーティのIDプロバイダー経由で、Splunk Observability Cloudにログインした場合は、Splunk Observability Cloudがソースオブトゥルースのままであり、ユーザーのロールはUIに表示されます。この場合、管理者は、Splunk Observability CloudのUIでロールの表示と更新を実行できます。
統合IDを使用してSplunk Observability Cloudで新規ユーザーを作成する際は、依然としてそのユーザーに o11y_access ロールを付与する必要があります。
Splunk Observability CloudユーザーでないSplunk Cloud PlatformユーザーがSplunk Cloudのリアルタイムメトリクスにアクセスできるようにするには、read_o11y_content と write_o11y_content の機能を付与する必要があります。
トラブルシューティング 🔗
以下は、既知の問題とその解決策です。
No access issue 🔗
ユーザーとロールの一元管理を設定した後に、ユーザーがSplunk Observability Cloudにログインできなくなる。「Splunk Observability Cloudへのアクセス権がありません…」というエラーメッセージが表示される。
Cause 🔗
そのユーザーのSplunk Cloud Platformスタックがメンテナンス中である可能性があります。あるいは、ユーザーとロールの一元管理を設定した管理者が、そのユーザーに o11y_access ロールを付与し忘れた可能性があります。
解決策 🔗
まず、Splunk Cloud Platformインスタンスが利用可能であり、メンテナンス中でないことを確認します。
次に、ログインに問題があるユーザーが、Splunk Cloud Platformで以下の両方のロールを持っていることを確認します:
o11y_accessロールo11y_*のいずれかのロール(前のセクションのステップ3を参照してください)。
最後に、signalboost-restのskynetログをチェックし、キーワード SplunkCloudPlatformAuthManager を含むエラーを検索します。
複数のエラーが発生する問題 🔗
管理者がユーザーとロールの一元管理を設定した後に、ユーザーがログインするとUI全体でエラーが表示される。
Cause 🔗
そのユーザーのSplunk Cloud Platformスタックがメンテナンス中である可能性があります。別の原因として、トークン認証がSplunk Cloud Platformインスタンス上で有効になっていない可能性があります。
解決策 🔗
まず、ペアリングされたSplunkサーチヘッドまたはサーチヘッドクラスターが利用可能であり、メンテナンス中でないことを確認します。
次に、Splunk Cloud Platformインスタンス上でトークン認証が有効になっていることを確認します。