Токен доступа

Материал из Документация Ключ-АСТРОМ

Внешний доступ к среде мониторинга зависит от идентификатора среды и токена доступа.

В Ключ-АСТРОМ применяются:

  • Токены доступа и токены личного доступа, которые обеспечивают работу с API Ключ-АСТРОМ и интеграциями, а также загрузку ЕдиногоАгента и АктивногоШлюза.
  • Токены среды, разрешающие отправку данных ЕдиногоАгента Ключу-АСТРОМ.

Формат токена

В Ключе-АСТРОМ токен разделяется точками ( . ) на три компонента.

dt0c01.ST2EY72KQINMH574WMNVI7YN.G3DFPBEJYMODIDAEX454M7YWBUVEFOWKPRVMWFASS64NFH52PX6BNDVFFM572RZM

Часть токена, состоящая из префикса и открытой части токена, является идентификатором токена. Например, dt0c01.ST2EY72KQINMH574WMNVI7YN. Идентификатор токена может безопасно отображаться в интерфейсе и использоваться в логах.

dt0c01префикс, определяющий тип токена.

ST2...7YNоткрытая часть токена — 24-значный публичный идентификатор токена.

G3D...RZMсекретная часть токена — 64-значная часть токена, являющаяся паролем. Не должна отображаться в веб-интерфейсе Ключа-АСТРОМ или храниться в логах.

Компонентный формат токена имеет ряд преимуществ:

  • Избегание пуша токена в Git-репозитории при помощи pre-commit хуков,
  • Определение правил маскирования данных для обфускации секретной части токена при записи в логи,
  • Обнаружение токенов в файлах и коммуникациях,
  • Включение службы сканирования секретных данных GitHub для поиска всех токенов в публичном репозитории

Для поиска токенов используйте регулярное выражение:

dt0[a-zA-Z]{1}[0-9]{2}\.[A-Z0-9]{24}\.[A-Z0-9]{64}

Начиная с версии Ключ-АСТРОМ 1.210, данный формат используется по умолчанию. Ранее созданные токены старого формата действительны.

Выключить новый формат

В течение ограниченного времени Вы можете отказаться от использования нового формата токенов:

  • SaaS и Менеджер окружения — Настройки > Интеграция > Настройки токена.
  • Менеджер кластера — Настройки > API токены.

Создание токена доступа

Для создания токена доступа, выполните следующие шаги:

  1. В меню Ключ-АСТРОМ выберите Токены доступа,
  2. Выберите функцию Создать новый токен,
  3. Введите название токена. Название может быть неуникальным. Вы можете создавать несколько токенов с одним названием. Старайтесь называть токены осмысленно, чтобы эффективно ими управлять и удалять их по ненадобности.
  4. Укажите разрешения для токена,
  5. Нажмите Создать.
  6. Скопируйте созданный токен и храните его в менеджере паролей. Важно! Вы получаете значение токена только при его создании. В дальнейшем он не будет отображаться.

Разрешения токена

В целях безопасности Вы можете ограничить доступ к определённой функциональности при помощи разрешений. Разрешения устанавливаются в веб-интерфейсе или через API Токенов доступа.

Название Значение API Описание
API v2
Чтение метрик metrics.read Доступ к GET-запросам API Метрики v2
Запись метрик metrics.write Доступ к DELETE-запросам API Метрики v2
Анализ метрик metrics.ingest Доступ к POST-запросам анализа API Метрики v2
Чтение логов logs.read Доступ к GET-запросам API МониторингЛогов v2
Анализ логов logs.ingest Доступ к POST-запросам анализа API МониторингЛогов v2
Анализ ОткрытойТелеметрии openTelemetryTrace.ingest Доступ к анализу следов ОткрытойТелеметрии
Поиск следа traces.lookup Проверяет присутствие следа в трейсинге между средами
Чтение объектов entities.read Доступ к GET-запросам API Отслеживаемые объекты и Пользовательские Теги
Анализ объектов entities.write Доступ к POST, PUT и DELETE-запросам API Отслеживаемые объекты и Пользовательские Теги
Чтение проблем problems.read Доступ к GET-запросам API Проблемы v2
Запись проблем problems.write Доступ к POST, PUT и DELETE-запросам API Проблемы v2
Чтение событий events.read Доступ к GET-запросам API События v2
Анализ событий events.ingest Доступ к POST-запросам API События v2
Чтение сетевых зон networkZones.read Доступ к GET-запросам API Сетевые Зоны v2
Запись сетевых зон networkZones.write Доступ к POST, PUT и DELETE-запросам API Сетевые Зоны
Чтение АктивныхШлюзов activeGates.read Доступ к GET-запросам API Активных Шлюзов
Запись АктивныхШлюзов activeGates.write Доступ к POST, PUT и DELETE-запросам API Активных Шлюзов
Чтение токенов АктивныхШлюзов activeGateTokenManagement.read Доступ к GET-запросам API Токенов Активных Шлюзов
Создание токенов АктивныхШлюзов activeGateTokenManagement.create Доступ к POST-запросам API Токенов Активных Шлюзов
Запись токенов АктивныхШлюзов activeGateTokenManagement.write Доступ к POST и DELETE-запросам API Токенов Активных Шлюзов
Чтение расширений extensions.read Доступ к GET-запросам API Расширения 2.0
Запись расширений extensions.write Доступ к POST и DELETE-запросам API Расширения
Чтение конфигурации расширений среды extensionEnvironment.read Доступ к GET-запросам API Расширения Конфигурации Окружения 2.0
Запись конфигурации расширений среды extensionEnvironment.write Доступ к POST, PUT и DELETE-запросам API Расширения Конфигурации Окружения 2.0
Чтение конфигурации расширений мониторинга extensionConfigurations.read Доступ к GET-запросам API Расширения Мониторинга Окружения 2.0
Запись конфигурации расширений мониторинга extensionConfigurations.write Доступ к POST, PUT и DELETE-запросам API Расширения Мониторинга Окружения 2.0
Чтение проблем безопасности securityProblems.read Доступ к GET-запросам API Проблемы Безопасности
Запись проблем безопасности securityProblems.write Доступ к POST-запросам API Проблемы Безопасности
Чтение синтетических локаций syntheticLocations.read Доступ к GET-запросам API Синтетические Локации v2 и API Синтетические Ноды v2
Запись синтетических локаций syntheticLocations.write Доступ к POST, PUT и DELETE-запросам API Синтетические Локации v2 и API Синтетические Ноды v2
Чтение настроек settings.read Доступ к GET-запросам к API Настроек
Запись настроек settings.write Доступ к POST и DELETE-запросам к API Настроек
Ротация токена среды tenantTokenRotation.write Доступ к API Токенов Среды
Чтение SLO slo.read Доступ к GET-запросам к API SLO
Запись SLO slo.write Доступ к POST, PUT и DELETE-запросам к API SLO
Чтение API-токенов apiTokens.read Доступ к GET-запросам к API Токенов Доступа
Запись API-токенов apiTokens.write Доступ к POST, PUT и DELETE-запросам к API Токенов Доступа
Чтение релизов releases.read Доступ к API Релизы
Чтение логов аудита auditLogs.read Доступ к API Журнала Аудита
Чтение географических регионов geographicRegions.read Доступ к API Географических Регионов
Чтение результатов синтетического мониторинга syntheticExecutions.read Доступ к GET-запросам к API /synthetic/executions
Запись результатов синтетического мониторинга syntheticExecutions.write Доступ к POST-запросам к API /synthetic/executions
API v1
Чтение объектов хранилища данных credentialVault.read Доступ к GET-запросам к API Хранилища Данных
Запись объектов хранилища данных credentialVault.write Доступ к POST, PUT и DELETE-запросам к API Хранилища Данных
Проблемы с доступом, журнал событий, метрики и топология DataExport Доступ к различным вызовам к API Окружения
Создание и запись синтетических мониторов, локаций и нод ExternalSyntheticIntegration Доступ к API Синтетика
Чтение синтетических мониторов, локаций и нод ReadSyntheticData Доступ к GET-запросам к API Синтетика
Чтение конфигурации ReadConfig Доступ к GET-запросам к API Конфигурации
Запись конфигурации WriteConfig Доступ к POST, PUT и DELETE-запросам к API Конфигурации
Изменение настроек конфиденциальности данных DataPrivacy Доступ к API Конфиденциальности данных и вызовам к API Конфигурации веб-приложений
Пользовательские сессии DTAQLAccess Доступ к API Пользовательских сессий
Анонимизировать пользовательские сессии для конфиденциальности UserSessionAnonymization Доступ к API Анонимизации
Менеджмент файла мобильной символизации DssFileManagement Доступ к API Мобильной Символизации
Менеджмент JavaScript-тега Мониторинга Реального Пользователя RumJavaScriptTagManagement Доступ к API Мониторинга Реального Пользователя посредством JS
Менеджмент сертификата АктивногоШлюза ActiveGateCertManagement Конфигурация сертификата на частном АктивномШлюзе
Анализ данных DataImport Импорт данных и событий с внешних источников
Получение данных с удалённого окружения RestRequestForwarding Скачивание данных с удалённых окружений для создания дашбордов между окружениями
Захват данных запроса CaptureRequestData Доступ к API Атрибуты запросов
Чтение содержимого лога LogExport Доступ к API Мониторинга Логов
Браузерное расширение Мониторинга Реального Пользователя RumBrowserExtension Отправка браузерным расширением Мониторинга Реального Пользователя данных Ключу-АСТРОМ
PaaS
Скачивание установщиков ЕдиногоАгента и АктивногоШлюза InstallerDownload Скачивание установщиков через API Развёртки
Создание уведомления поддержки SupportAlert Создание уведомления поддержки для анализа сбоев
Другое
Загрузить плагины через командную строку PluginUpload Загрузка расширения ЕдиногоАгента через командную строку