Токен доступа
Материал из Документация Ключ-АСТРОМ
Внешний доступ к среде мониторинга зависит от идентификатора среды и токена доступа.
В Ключ-АСТРОМ применяются:
- Токены доступа и токены личного доступа, которые обеспечивают работу с API Ключ-АСТРОМ и интеграциями, а также загрузку ЕдиногоАгента и АктивногоШлюза.
- Токены среды, разрешающие отправку данных ЕдиногоАгента Ключу-АСТРОМ.
Формат токена
В Ключе-АСТРОМ токен разделяется точками ( . ) на три компонента.
dt0c01.ST2EY72KQINMH574WMNVI7YN.G3DFPBEJYMODIDAEX454M7YWBUVEFOWKPRVMWFASS64NFH52PX6BNDVFFM572RZM
Часть токена, состоящая из префикса и открытой части токена, является идентификатором токена. Например, dt0c01.ST2EY72KQINMH574WMNVI7YN. Идентификатор токена может безопасно отображаться в интерфейсе и использоваться в логах.
dt0c01 — префикс, определяющий тип токена.
ST2...7YN — открытая часть токена — 24-значный публичный идентификатор токена.
G3D...RZM — секретная часть токена — 64-значная часть токена, являющаяся паролем. Не должна отображаться в веб-интерфейсе Ключа-АСТРОМ или храниться в логах.
Компонентный формат токена имеет ряд преимуществ:
- Избегание пуша токена в Git-репозитории при помощи pre-commit хуков,
- Определение правил маскирования данных для обфускации секретной части токена при записи в логи,
- Обнаружение токенов в файлах и коммуникациях,
- Включение службы сканирования секретных данных GitHub для поиска всех токенов в публичном репозитории
Для поиска токенов используйте регулярное выражение:
dt0[a-zA-Z]{1}[0-9]{2}\.[A-Z0-9]{24}\.[A-Z0-9]{64}
Начиная с версии Ключ-АСТРОМ 1.210, данный формат используется по умолчанию. Ранее созданные токены старого формата действительны.
Выключить новый формат
В течение ограниченного времени Вы можете отказаться от использования нового формата токенов:
- SaaS и Менеджер окружения — Настройки > Интеграция > Настройки токена.
- Менеджер кластера — Настройки > API токены.
Создание токена доступа
Для создания токена доступа, выполните следующие шаги:
- В меню Ключ-АСТРОМ выберите Токены доступа,
- Выберите функцию Создать новый токен,
- Введите название токена. Название может быть неуникальным. Вы можете создавать несколько токенов с одним названием. Старайтесь называть токены осмысленно, чтобы эффективно ими управлять и удалять их по ненадобности.
- Укажите разрешения для токена,
- Нажмите Создать.
- Скопируйте созданный токен и храните его в менеджере паролей. Важно! Вы получаете значение токена только при его создании. В дальнейшем он не будет отображаться.
Разрешения токена
В целях безопасности Вы можете ограничить доступ к определённой функциональности при помощи разрешений. Разрешения устанавливаются в веб-интерфейсе или через API Токенов доступа.
| Название | Значение API | Описание |
|---|---|---|
| API v2 | ||
| Чтение метрик | metrics.read
|
Доступ к GET-запросам API Метрики v2 |
| Запись метрик | metrics.write
|
Доступ к DELETE-запросам API Метрики v2 |
| Анализ метрик | metrics.ingest
|
Доступ к POST-запросам анализа API Метрики v2 |
| Чтение логов | logs.read
|
Доступ к GET-запросам API МониторингЛогов v2 |
| Анализ логов | logs.ingest
|
Доступ к POST-запросам анализа API МониторингЛогов v2 |
| Анализ ОткрытойТелеметрии | openTelemetryTrace.ingest
|
Доступ к анализу следов ОткрытойТелеметрии |
| Поиск следа | traces.lookup
|
Проверяет присутствие следа в трейсинге между средами |
| Чтение объектов | entities.read
|
Доступ к GET-запросам API Отслеживаемые объекты и Пользовательские Теги |
| Анализ объектов | entities.write
|
Доступ к POST, PUT и DELETE-запросам API Отслеживаемые объекты и Пользовательские Теги |
| Чтение проблем | problems.read
|
Доступ к GET-запросам API Проблемы v2 |
| Запись проблем | problems.write
|
Доступ к POST, PUT и DELETE-запросам API Проблемы v2 |
| Чтение событий | events.read
|
Доступ к GET-запросам API События v2 |
| Анализ событий | events.ingest
|
Доступ к POST-запросам API События v2 |
| Чтение сетевых зон | networkZones.read
|
Доступ к GET-запросам API Сетевые Зоны v2 |
| Запись сетевых зон | networkZones.write
|
Доступ к POST, PUT и DELETE-запросам API Сетевые Зоны |
| Чтение АктивныхШлюзов | activeGates.read
|
Доступ к GET-запросам API Активных Шлюзов |
| Запись АктивныхШлюзов | activeGates.write
|
Доступ к POST, PUT и DELETE-запросам API Активных Шлюзов |
| Чтение токенов АктивныхШлюзов | activeGateTokenManagement.read
|
Доступ к GET-запросам API Токенов Активных Шлюзов |
| Создание токенов АктивныхШлюзов | activeGateTokenManagement.create
|
Доступ к POST-запросам API Токенов Активных Шлюзов |
| Запись токенов АктивныхШлюзов | activeGateTokenManagement.write
|
Доступ к POST и DELETE-запросам API Токенов Активных Шлюзов |
| Чтение расширений | extensions.read
|
Доступ к GET-запросам API Расширения 2.0 |
| Запись расширений | extensions.write
|
Доступ к POST и DELETE-запросам API Расширения |
| Чтение конфигурации расширений среды | extensionEnvironment.read
|
Доступ к GET-запросам API Расширения Конфигурации Окружения 2.0 |
| Запись конфигурации расширений среды | extensionEnvironment.write
|
Доступ к POST, PUT и DELETE-запросам API Расширения Конфигурации Окружения 2.0 |
| Чтение конфигурации расширений мониторинга | extensionConfigurations.read
|
Доступ к GET-запросам API Расширения Мониторинга Окружения 2.0 |
| Запись конфигурации расширений мониторинга | extensionConfigurations.write
|
Доступ к POST, PUT и DELETE-запросам API Расширения Мониторинга Окружения 2.0 |
| Чтение проблем безопасности | securityProblems.read
|
Доступ к GET-запросам API Проблемы Безопасности |
| Запись проблем безопасности | securityProblems.write
|
Доступ к POST-запросам API Проблемы Безопасности |
| Чтение синтетических локаций | syntheticLocations.read
|
Доступ к GET-запросам API Синтетические Локации v2 и API Синтетические Ноды v2 |
| Запись синтетических локаций | syntheticLocations.write
|
Доступ к POST, PUT и DELETE-запросам API Синтетические Локации v2 и API Синтетические Ноды v2 |
| Чтение настроек | settings.read
|
Доступ к GET-запросам к API Настроек |
| Запись настроек | settings.write
|
Доступ к POST и DELETE-запросам к API Настроек |
| Ротация токена среды | tenantTokenRotation.write
|
Доступ к API Токенов Среды |
| Чтение SLO | slo.read
|
Доступ к GET-запросам к API SLO |
| Запись SLO | slo.write
|
Доступ к POST, PUT и DELETE-запросам к API SLO |
| Чтение API-токенов | apiTokens.read
|
Доступ к GET-запросам к API Токенов Доступа |
| Запись API-токенов | apiTokens.write
|
Доступ к POST, PUT и DELETE-запросам к API Токенов Доступа |
| Чтение релизов | releases.read
|
Доступ к API Релизы |
| Чтение логов аудита | auditLogs.read
|
Доступ к API Журнала Аудита |
| Чтение географических регионов | geographicRegions.read
|
Доступ к API Географических Регионов |
| Чтение результатов синтетического мониторинга | syntheticExecutions.read
|
Доступ к GET-запросам к API /synthetic/executions
|
| Запись результатов синтетического мониторинга | syntheticExecutions.write
|
Доступ к POST-запросам к API /synthetic/executions
|
| API v1 | ||
| Чтение объектов хранилища данных | credentialVault.read
|
Доступ к GET-запросам к API Хранилища Данных |
| Запись объектов хранилища данных | credentialVault.write
|
Доступ к POST, PUT и DELETE-запросам к API Хранилища Данных |
| Проблемы с доступом, журнал событий, метрики и топология | DataExport
|
Доступ к различным вызовам к API Окружения |
| Создание и запись синтетических мониторов, локаций и нод | ExternalSyntheticIntegration
|
Доступ к API Синтетика |
| Чтение синтетических мониторов, локаций и нод | ReadSyntheticData
|
Доступ к GET-запросам к API Синтетика |
| Чтение конфигурации | ReadConfig
|
Доступ к GET-запросам к API Конфигурации |
| Запись конфигурации | WriteConfig
|
Доступ к POST, PUT и DELETE-запросам к API Конфигурации |
| Изменение настроек конфиденциальности данных | DataPrivacy
|
Доступ к API Конфиденциальности данных и вызовам к API Конфигурации веб-приложений |
| Пользовательские сессии | DTAQLAccess
|
Доступ к API Пользовательских сессий |
| Анонимизировать пользовательские сессии для конфиденциальности | UserSessionAnonymization
|
Доступ к API Анонимизации |
| Менеджмент файла мобильной символизации | DssFileManagement
|
Доступ к API Мобильной Символизации |
| Менеджмент JavaScript-тега Мониторинга Реального Пользователя | RumJavaScriptTagManagement
|
Доступ к API Мониторинга Реального Пользователя посредством JS |
| Менеджмент сертификата АктивногоШлюза | ActiveGateCertManagement
|
Конфигурация сертификата на частном АктивномШлюзе |
| Анализ данных | DataImport
|
Импорт данных и событий с внешних источников |
| Получение данных с удалённого окружения | RestRequestForwarding
|
Скачивание данных с удалённых окружений для создания дашбордов между окружениями |
| Захват данных запроса | CaptureRequestData
|
Доступ к API Атрибуты запросов |
| Чтение содержимого лога | LogExport
|
Доступ к API Мониторинга Логов |
| Браузерное расширение Мониторинга Реального Пользователя | RumBrowserExtension
|
Отправка браузерным расширением Мониторинга Реального Пользователя данных Ключу-АСТРОМ |
| PaaS | ||
| Скачивание установщиков ЕдиногоАгента и АктивногоШлюза | InstallerDownload
|
Скачивание установщиков через API Развёртки |
| Создание уведомления поддержки | SupportAlert
|
Создание уведомления поддержки для анализа сбоев |
| Другое | ||
| Загрузить плагины через командную строку | PluginUpload
|
Загрузка расширения ЕдиногоАгента через командную строку |
