Токены доступа: различия между версиями

Материал из Документация Ключ-АСТРОМ
(Создана пустая страница)
 
Строка 1: Строка 1:


Ключ-Астром 1.227+
На этой странице описан подход к пользовательскому интерфейсу, доступный начиная с Dynatrace версии 1.227. Процедуру для более старой версии см. В описании устаревшей версии . В качестве альтернативы вы можете использовать Tokens API v2 .
Весь внешний доступ к вашей среде мониторинга Dynatrace зависит от двух частей информации: идентификатора среды и ''токена доступа'' .
Dynatrace использует несколько типов токенов:
* Жетоны доступа и токены личного доступа предоставляют доступ к:
** Dynatrace API
** Загрузка установщиков OneAgent и ActiveGate
** Доступ к интеграции модулей
* Токены клиента позволяют OneAgent передавать данные в Dynatrace.
== Формат токена ==
Dynatrace использует уникальный формат токенов, состоящий из трех компонентов, разделенных точками ( <code>.</code>).
<code>dt0c01.ST2EY72KQINMH574WMNVI7YN.G3DFPBEJYMODIDAEX454M7YWBUVEFOWKPRVMWFASS64NFH52PX6BNDVFFM572RZM</code>
{| class="wikitable"
|<code>dt0c01</code>
|Префикс для идентификации токена.
|-
|<code>ST2...7YN</code>
|Открытая часть токена
24-значный открытый идентификатор токена. Это значение можно безопасно отображать в пользовательском интерфейсе и использовать для ведения журнала.
|-
|<code>G3D...RZM</code>
|Секретная часть токена
64-символьная секретная часть токена, которую можно рассматривать как пароль, поэтому ее не нужно отображать в веб-интерфейсе Dynatrace (после первоначального создания) или сохранять в файлах журнала.
|}
Предсказуемый формат дает вам несколько преимуществ, таких как:
* Использование хуков предварительной фиксации Git, чтобы избежать отправки токенов в репозитории исходного кода (например, с помощью таких инструментов, как git-secrets )
* Определение правил маскирования для сокрытия секретных частей токенов при записи файлов журналов
* Обнаружение токенов во внутренних файлах или сообщениях
* Включение службы сканирования секретов GitHub для идентификации любого токена, отправленного в общедоступный репозиторий GitHub
Используйте это регулярное выражение для поиска токенов:
<code>dt0[a-zA-Z]{1}[0-9]{2}\.[A-Z0-9]{24}\.[A-Z0-9]{64}</code>
С выпуском Dynatrace версии 1.210 этот формат включен по умолчанию (все вновь сгенерированные токены будут использовать новый формат).
Все существующие токены старого формата остаются в силе.
=== Отключить новый формат ===
В течение ограниченного времени у вас есть возможность отказаться от использования нового формата токена. Вы можете найти настройку здесь:
* SaaS и управляемое окружениеПерейдите в Настройки> Интеграция> Настройки токена .
* Управляемый кластерВ веб-интерфейсе CMC выберите «Настройки»> «Токены API» .
== Создать токен доступа ==
Чтобы сгенерировать токен доступа
# В меню Dynatrace выберите маркеры доступа .
# Выберите Создать новый токен .
# Введите имя для вашего токена.
# Выберите необходимые разрешения для токена.
# Выберите « Создать» .
# Скопируйте сгенерированный токен в буфер обмена. Сохраните токен в диспетчере паролей для использования в будущем.  Вы можете получить доступ к своему токену только один раз после создания. Вы не сможете потом раскрыть это.
Вы можете назначить несколько разрешений одному токену или сгенерировать несколько токенов, каждый с разными уровнями доступа, и использовать их соответствующим образом - проверьте политики безопасности вашей организации, чтобы получить наилучшие рекомендации.
В качестве альтернативы вы можете использовать POST вызов токена API токенов аутентификации API для создания токена.
Dynatrace не требует уникальных имен токенов. Вы можете создать несколько токенов с одним и тем же именем. Обязательно укажите понятное имя для каждого генерируемого токена. Правильное именование поможет вам эффективно управлять своими токенами и, возможно, удалять их, когда они больше не нужны.
== Объемы токенов ==
У токенов доступа есть детализированные области действия, чтобы ограничить доступ к определенным функциям продукта по соображениям безопасности.
Dynatrace предоставляет следующие разрешения для токенов API. Вы можете установить их в пользовательском интерфейсе, как описано выше, или через API токенов аутентификации API . Некоторые области доступны только через API.
{| class="wikitable"
!Имя
!Значение API
!Описание
|-
| colspan="3" |
==== API v2 ====
|-
|Читать метрики
|<code>metrics.read</code>
|Предоставляет доступ к запросам GET Metrics API v2 .
|-
|Напишите метрики
|<code>metrics.write</code>
|Предоставляет доступ к DELETE для запроса пользовательской метрики Metrics API v2.
|-
|Показатели приема
|<code>metrics.ingest</code>
|Предоставляет доступ к запросу точек данных POST для Metrics v2 API.
|-
|Читать журналы
|<code>logs.read</code>
|Предоставляет доступ к запросам GET API мониторинга журналов версии 2.
|-
|Журналы приема
|<code>logs.ingest</code>
|Предоставляет доступ к запросу журналов приема POST API мониторинга журналов v2.
|-
|Получение следов OpenTelemetry
|<code>openTelemetryTrace.ingest</code>
|Позволяет получать следы OpenTelemetry .
|-
|Читать сущности
|<code>entities.read</code>
|Предоставляет доступ к запросам GET отслеживаемых объектов и API настраиваемых тегов .
|-
|Запись сущностей
|<code>entities.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE отслеживаемых объектов и API настраиваемых тегов .
|-
|Проблемы с чтением
|<code>problems.read</code>
|Предоставляет доступ к запросам GET API проблем v2 .
|-
|Проблемы с записью
|<code>problems.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API проблем v2 .
|-
|Читать события
|<code>events.read</code>
|Предоставляет доступ к запросам GET для Events API v2 .
|-
|Принять события
|<code>events.ingest</code>
|Предоставляет доступ к POST-запросу Events API v2 .
|-
|Чтение сетевых зон
|<code>networkZones.read</code>
|Предоставляет доступ к GET-запросам API сетевых зон .
|-
|Запись сетевых зон
|<code>networkZones.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API сетевых зон .
|-
|Читать ActiveGates
|<code>activeGates.read</code>
|Предоставляет доступ к GET-запросам ActiveGates API .
|-
|Написать ActiveGates
|<code>activeGates.write</code>
|Предоставляет доступ к запросам POST и DELETE API ActiveGates .
|-
|Читать расширения
|<code>extensions.read</code>
|Предоставляет доступ к GET запросов от Extensions секции Extensions 2.0 API .
|-
|Написать расширения
|<code>extensions.write</code>
|Предоставляет доступ к POST и DELETE запросов от Extensions секции Extensions 2.0 API .
|-
|Чтение конфигурации среды расширений
|<code>extensionEnvironment.read</code>
|Предоставляет доступ к запросам GET из раздела конфигурации среды Extensions API Extensions 2.0 .
|-
|Конфигурация среды написания расширений
|<code>extensionEnvironment.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации среды Extensions API Extensions 2.0 .
|-
|Чтение конфигурации мониторинга расширений
|<code>extensionConfigurations.read</code>
|Предоставляет доступ к запросам GET из раздела конфигурации мониторинга расширений API расширений 2.0 .
|-
|Запись конфигурации мониторинга расширений
|<code>extensionConfigurations.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации мониторинга расширений API расширений 2.0 .
|-
|Прочтите проблемы безопасности
|<code>securityProblems.read</code>
|Предоставляет доступ к запросам GET API проблем безопасности .
|-
|Проблемы безопасности записи
|<code>securityProblems.write</code>
|Предоставляет доступ к POST-запросам API проблем безопасности .
|-
|Читать синтетические локации
|<code>syntheticLocations.read</code>
|Предоставляет доступ к запросам GET API синтетических расположений v2 и API синтетических узлов v2 .
|-
|Напишите синтетические местоположения
|<code>syntheticLocations.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API синтетических расположений v2 и API синтетических узлов v2 .
|-
|Прочитать настройки
|<code>settings.read</code>
|Предоставляет доступ к запросам GET API настроек .
|-
|Записать настройки
|<code>settings.write</code>
|Предоставляет доступ к запросам POST и DELETE API настроек .
|-
|Ротация токенов арендатора
|<code>tenantTokenRotation.write</code>
|Предоставляет доступ к API токенов клиента .
|-
|Читать SLO
|<code>slo.read</code>
|Предоставляет доступ к запросам GET API целей уровня обслуживания .
|-
|Написать SLO
|<code>slo.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API целей уровня обслуживания .
|-
|Читать токены API
|<code>apiTokens.read</code>
|Предоставляет доступ к запросам GET API токенов аутентификации API .
|-
|Написать токены API
|<code>apiTokens.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API токенов аутентификации API .
|-
|Читать релизы
|<code>releases.read</code>
|Предоставляет доступ к Releases API .
|-
|Читать журналы аудита
|<code>auditLogs.read</code>
|Предоставляет доступ к журналу аудита .
|-
| colspan="3" |
==== API v1 ====
|-
|Чтение записей хранилища учетных данных
|<code>credentialVault.read</code>
|Предоставляет доступ к запросам GET API хранилища учетных данных .
|-
|Запись записей в хранилище учетных данных
|<code>credentialVault.write</code>
|Предоставляет доступ к запросам POST, PUT и DELETE API хранилища учетных данных .
|-
|Проблемы доступа и лента событий, метрики и топология
|<code>DataExport</code>
|Предоставляет доступ к различным вызовам Environment API .
|-
|Создание и чтение синтетических мониторов, локаций и узлов
|<code>ExternalSyntheticIntegration</code>
|Предоставляет доступ к синтетическому API .
|-
|Чтение синтетических мониторов, локаций и узлов
|<code>ReadSyntheticData</code>
|Предоставляет доступ к запросам GET синтетического API .
|-
|Прочитать конфигурацию
|<code>ReadConfig</code>
|Предоставляет доступ к GET-вызовам Configuration API .
|-
|Запись конфигурации
|<code>WriteConfig</code>
|Предоставляет доступ к вызовам POST, PUT и DELETE Configuration API .
|-
|Изменить настройки конфиденциальности данных
|<code>DataPrivacy</code>
|Предоставляет доступ к API конфиденциальности данных и вызовам API конфигурации веб-приложений для обеспечения конфиденциальности данных .
|-
|Пользовательские сеансы
|<code>DTAQLAccess</code>
|Предоставляет доступ к API пользовательских сессий .
|-
|Анонимизируйте пользовательские сеансы по соображениям конфиденциальности данных
|<code>UserSessionAnonymization</code>
|Предоставляет доступ к API анонимизации .
|-
|Управление файлами мобильной символики
|<code>DssFileManagement</code>
|Предоставляет доступ к API мобильной символики .
|-
|Управление тегами JavaScript Real User Monitoring
|<code>RumJavaScriptTagManagement</code>
|Предоставляет доступ к Real User Monitoring JavaScript API .
|-
|Управление токенами
|<code>TenantTokenManagement</code>
|Позволяет создавать и удалять токены, а также просматривать их метаданные через Tokens API .
|-
|Управление сертификатами ActiveGate
|<code>ActiveGateCertManagement</code>
|Позволяет настроить сертификат на частных ActiveGates.
|-
|Получение данных
|<code>DataImport</code>
|Позволяет импортировать данные и события из внешних источников.
|-
|Получение данных из удаленной среды
|<code>RestRequestForwarding</code>
|Позволяет получать данные из удаленных сред Dynatrace для мониторинга нескольких сред.
|-
|Захват данных запроса
|<code>CaptureRequestData</code>
|Предоставляет доступ к API атрибутов запроса .
|-
|Прочитать содержимое журнала
|<code>LogExport</code>
|Предоставляет доступ к API мониторинга журналов .
|-
|Расширение браузера RUM
|<code>RumBrowserExtension</code>
|Разрешает расширению браузера RUM отправлять данные в Dynatrace.
|-
| colspan="3" |
==== PaaS ====
|-
|Загрузите установщики OneAgent и ActiveGate
|<code>InstallerDownload</code>
|Позволяет скачивать установщики через Deployment API .
|-
|Создание предупреждений о поддержке
|<code>SupportAlert</code>
|Позволяет создавать оповещения службы поддержки для анализа сбоев.
|-
| colspan="3" |
==== Модули ====
|-
|Интеграция AppMon для гибридных развертываний
|<code>AppMonIntegration</code>
|Позволяет импортировать данные мониторинга из AppMon .
|-
|Интеграция с Dynatrace NAM
|<code>DcrumIntegration</code>
|Интеграция с NAM.
|-
| colspan="3" |
==== Другой ====
|-
|Загрузите плагины с помощью командной строки
|<code>PluginUpload</code>
|Позволяет загружать расширения OneAgent через инструмент командной строки .
|}

Версия 09:40, 30 ноября 2021


Ключ-Астром 1.227+

На этой странице описан подход к пользовательскому интерфейсу, доступный начиная с Dynatrace версии 1.227. Процедуру для более старой версии см. В описании устаревшей версии . В качестве альтернативы вы можете использовать Tokens API v2 .

Весь внешний доступ к вашей среде мониторинга Dynatrace зависит от двух частей информации: идентификатора среды и токена доступа .

Dynatrace использует несколько типов токенов:

  • Жетоны доступа и токены личного доступа предоставляют доступ к:
    • Dynatrace API
    • Загрузка установщиков OneAgent и ActiveGate
    • Доступ к интеграции модулей
  • Токены клиента позволяют OneAgent передавать данные в Dynatrace.

Формат токена

Dynatrace использует уникальный формат токенов, состоящий из трех компонентов, разделенных точками ( .).

dt0c01.ST2EY72KQINMH574WMNVI7YN.G3DFPBEJYMODIDAEX454M7YWBUVEFOWKPRVMWFASS64NFH52PX6BNDVFFM572RZM

dt0c01 Префикс для идентификации токена.
ST2...7YN Открытая часть токена

24-значный открытый идентификатор токена. Это значение можно безопасно отображать в пользовательском интерфейсе и использовать для ведения журнала.

G3D...RZM Секретная часть токена

64-символьная секретная часть токена, которую можно рассматривать как пароль, поэтому ее не нужно отображать в веб-интерфейсе Dynatrace (после первоначального создания) или сохранять в файлах журнала.

Предсказуемый формат дает вам несколько преимуществ, таких как:

  • Использование хуков предварительной фиксации Git, чтобы избежать отправки токенов в репозитории исходного кода (например, с помощью таких инструментов, как git-secrets )
  • Определение правил маскирования для сокрытия секретных частей токенов при записи файлов журналов
  • Обнаружение токенов во внутренних файлах или сообщениях
  • Включение службы сканирования секретов GitHub для идентификации любого токена, отправленного в общедоступный репозиторий GitHub

Используйте это регулярное выражение для поиска токенов:

dt0[a-zA-Z]{1}[0-9]{2}\.[A-Z0-9]{24}\.[A-Z0-9]{64}

С выпуском Dynatrace версии 1.210 этот формат включен по умолчанию (все вновь сгенерированные токены будут использовать новый формат).

Все существующие токены старого формата остаются в силе.

Отключить новый формат

В течение ограниченного времени у вас есть возможность отказаться от использования нового формата токена. Вы можете найти настройку здесь:

  • SaaS и управляемое окружениеПерейдите в Настройки> Интеграция> Настройки токена .
  • Управляемый кластерВ веб-интерфейсе CMC выберите «Настройки»> «Токены API» .

Создать токен доступа

Чтобы сгенерировать токен доступа

  1. В меню Dynatrace выберите маркеры доступа .
  2. Выберите Создать новый токен .
  3. Введите имя для вашего токена.
  4. Выберите необходимые разрешения для токена.
  5. Выберите « Создать» .
  6. Скопируйте сгенерированный токен в буфер обмена. Сохраните токен в диспетчере паролей для использования в будущем. Вы можете получить доступ к своему токену только один раз после создания. Вы не сможете потом раскрыть это.

Вы можете назначить несколько разрешений одному токену или сгенерировать несколько токенов, каждый с разными уровнями доступа, и использовать их соответствующим образом - проверьте политики безопасности вашей организации, чтобы получить наилучшие рекомендации.

В качестве альтернативы вы можете использовать POST вызов токена API токенов аутентификации API для создания токена.

Dynatrace не требует уникальных имен токенов. Вы можете создать несколько токенов с одним и тем же именем. Обязательно укажите понятное имя для каждого генерируемого токена. Правильное именование поможет вам эффективно управлять своими токенами и, возможно, удалять их, когда они больше не нужны.

Объемы токенов

У токенов доступа есть детализированные области действия, чтобы ограничить доступ к определенным функциям продукта по соображениям безопасности.

Dynatrace предоставляет следующие разрешения для токенов API. Вы можете установить их в пользовательском интерфейсе, как описано выше, или через API токенов аутентификации API . Некоторые области доступны только через API.

Имя Значение API Описание

API v2

Читать метрики metrics.read Предоставляет доступ к запросам GET Metrics API v2 .
Напишите метрики metrics.write Предоставляет доступ к DELETE для запроса пользовательской метрики Metrics API v2.
Показатели приема metrics.ingest Предоставляет доступ к запросу точек данных POST для Metrics v2 API.
Читать журналы logs.read Предоставляет доступ к запросам GET API мониторинга журналов версии 2.
Журналы приема logs.ingest Предоставляет доступ к запросу журналов приема POST API мониторинга журналов v2.
Получение следов OpenTelemetry openTelemetryTrace.ingest Позволяет получать следы OpenTelemetry .
Читать сущности entities.read Предоставляет доступ к запросам GET отслеживаемых объектов и API настраиваемых тегов .
Запись сущностей entities.write Предоставляет доступ к запросам POST, PUT и DELETE отслеживаемых объектов и API настраиваемых тегов .
Проблемы с чтением problems.read Предоставляет доступ к запросам GET API проблем v2 .
Проблемы с записью problems.write Предоставляет доступ к запросам POST, PUT и DELETE API проблем v2 .
Читать события events.read Предоставляет доступ к запросам GET для Events API v2 .
Принять события events.ingest Предоставляет доступ к POST-запросу Events API v2 .
Чтение сетевых зон networkZones.read Предоставляет доступ к GET-запросам API сетевых зон .
Запись сетевых зон networkZones.write Предоставляет доступ к запросам POST, PUT и DELETE API сетевых зон .
Читать ActiveGates activeGates.read Предоставляет доступ к GET-запросам ActiveGates API .
Написать ActiveGates activeGates.write Предоставляет доступ к запросам POST и DELETE API ActiveGates .
Читать расширения extensions.read Предоставляет доступ к GET запросов от Extensions секции Extensions 2.0 API .
Написать расширения extensions.write Предоставляет доступ к POST и DELETE запросов от Extensions секции Extensions 2.0 API .
Чтение конфигурации среды расширений extensionEnvironment.read Предоставляет доступ к запросам GET из раздела конфигурации среды Extensions API Extensions 2.0 .
Конфигурация среды написания расширений extensionEnvironment.write Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации среды Extensions API Extensions 2.0 .
Чтение конфигурации мониторинга расширений extensionConfigurations.read Предоставляет доступ к запросам GET из раздела конфигурации мониторинга расширений API расширений 2.0 .
Запись конфигурации мониторинга расширений extensionConfigurations.write Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации мониторинга расширений API расширений 2.0 .
Прочтите проблемы безопасности securityProblems.read Предоставляет доступ к запросам GET API проблем безопасности .
Проблемы безопасности записи securityProblems.write Предоставляет доступ к POST-запросам API проблем безопасности .
Читать синтетические локации syntheticLocations.read Предоставляет доступ к запросам GET API синтетических расположений v2 и API синтетических узлов v2 .
Напишите синтетические местоположения syntheticLocations.write Предоставляет доступ к запросам POST, PUT и DELETE API синтетических расположений v2 и API синтетических узлов v2 .
Прочитать настройки settings.read Предоставляет доступ к запросам GET API настроек .
Записать настройки settings.write Предоставляет доступ к запросам POST и DELETE API настроек .
Ротация токенов арендатора tenantTokenRotation.write Предоставляет доступ к API токенов клиента .
Читать SLO slo.read Предоставляет доступ к запросам GET API целей уровня обслуживания .
Написать SLO slo.write Предоставляет доступ к запросам POST, PUT и DELETE API целей уровня обслуживания .
Читать токены API apiTokens.read Предоставляет доступ к запросам GET API токенов аутентификации API .
Написать токены API apiTokens.write Предоставляет доступ к запросам POST, PUT и DELETE API токенов аутентификации API .
Читать релизы releases.read Предоставляет доступ к Releases API .
Читать журналы аудита auditLogs.read Предоставляет доступ к журналу аудита .

API v1

Чтение записей хранилища учетных данных credentialVault.read Предоставляет доступ к запросам GET API хранилища учетных данных .
Запись записей в хранилище учетных данных credentialVault.write Предоставляет доступ к запросам POST, PUT и DELETE API хранилища учетных данных .
Проблемы доступа и лента событий, метрики и топология DataExport Предоставляет доступ к различным вызовам Environment API .
Создание и чтение синтетических мониторов, локаций и узлов ExternalSyntheticIntegration Предоставляет доступ к синтетическому API .
Чтение синтетических мониторов, локаций и узлов ReadSyntheticData Предоставляет доступ к запросам GET синтетического API .
Прочитать конфигурацию ReadConfig Предоставляет доступ к GET-вызовам Configuration API .
Запись конфигурации WriteConfig Предоставляет доступ к вызовам POST, PUT и DELETE Configuration API .
Изменить настройки конфиденциальности данных DataPrivacy Предоставляет доступ к API конфиденциальности данных и вызовам API конфигурации веб-приложений для обеспечения конфиденциальности данных .
Пользовательские сеансы DTAQLAccess Предоставляет доступ к API пользовательских сессий .
Анонимизируйте пользовательские сеансы по соображениям конфиденциальности данных UserSessionAnonymization Предоставляет доступ к API анонимизации .
Управление файлами мобильной символики DssFileManagement Предоставляет доступ к API мобильной символики .
Управление тегами JavaScript Real User Monitoring RumJavaScriptTagManagement Предоставляет доступ к Real User Monitoring JavaScript API .
Управление токенами TenantTokenManagement Позволяет создавать и удалять токены, а также просматривать их метаданные через Tokens API .
Управление сертификатами ActiveGate ActiveGateCertManagement Позволяет настроить сертификат на частных ActiveGates.
Получение данных DataImport Позволяет импортировать данные и события из внешних источников.
Получение данных из удаленной среды RestRequestForwarding Позволяет получать данные из удаленных сред Dynatrace для мониторинга нескольких сред.
Захват данных запроса CaptureRequestData Предоставляет доступ к API атрибутов запроса .
Прочитать содержимое журнала LogExport Предоставляет доступ к API мониторинга журналов .
Расширение браузера RUM RumBrowserExtension Разрешает расширению браузера RUM отправлять данные в Dynatrace.

PaaS

Загрузите установщики OneAgent и ActiveGate InstallerDownload Позволяет скачивать установщики через Deployment API .
Создание предупреждений о поддержке SupportAlert Позволяет создавать оповещения службы поддержки для анализа сбоев.

Модули

Интеграция AppMon для гибридных развертываний AppMonIntegration Позволяет импортировать данные мониторинга из AppMon .
Интеграция с Dynatrace NAM DcrumIntegration Интеграция с NAM.

Другой

Загрузите плагины с помощью командной строки PluginUpload Позволяет загружать расширения OneAgent через инструмент командной строки .