Токены доступа: различия между версиями

Материал из Документация Ключ-АСТРОМ
 
(не показаны 4 промежуточные версии этого же участника)
Строка 13: Строка 13:
** Ключ-АСТРОМ API
** Ключ-АСТРОМ API
** Загрузка установщиков ЕдиногоАгента и АктивногоШлюза
** Загрузка установщиков ЕдиногоАгента и АктивногоШлюза
** Доступ к интеграции модулей
 
* Токены личного доступа предоставляют доступ к некоторым конечным точкам Ключ-АСТРОМ API
 
* Токены клиента позволяют ЕдиномуАгенту передавать данные в Ключ-АСТРОМ.
* Токены клиента позволяют ЕдиномуАгенту передавать данные в Ключ-АСТРОМ.


Строка 33: Строка 35:


64-символьная секретная часть токена, которую можно рассматривать как пароль, поэтому ее не нужно отображать в веб-интерфейсе Ключ-АСТРОМ (после первоначального создания) или сохранять в файлах журнала.
64-символьная секретная часть токена, которую можно рассматривать как пароль, поэтому ее не нужно отображать в веб-интерфейсе Ключ-АСТРОМ (после первоначального создания) или сохранять в файлах журнала.
|}
== Префиксы токенов ==
{| class="wikitable"
!Префикс
!Описание
|-
|<code>dt0s01</code>
|Это токен API. Он используется в качестве метода авторизации: действительный токен позволяет пользователю вносить изменения в учетную запись Ключ-АСТРОМ через SCIM.
* Он генерируется один раз.
* Не раскрывайте секретную часть токена <code>dt0s01</code>.
* Публичная часть используется для идентификации в веб-интерфейсе, но обычно не следует раскрывать ее (или любую часть этого токена).
* Этот токен остается в силе до тех пор, пока клиент не признает его недействительным, поэтому вы должны немедленно его заменить, если он когда-либо произойдет.
|-
|<code>dt0s02</code>
|Клиенты OAuth2, созданные пользователями с помощью управления учетными записями, для использования с приложениями Ключ-АСТРОМ и API управления учетными записями.
|-
|<code>dt0s03</code>
|Клиенты OAuth2 для внутренних и внешних сервисов и интеграций.
|-
|<code>dt0s04</code>
|Связь чата и личности.
|-
|<code>dt0s06</code>
|Это токен обновления OAuth2, который используется для получения нового токена доступа и обычно часто меняется (обычно каждые 5–15 минут).
|-
|<code>dt0s08</code>
|Клиенты OAuth2 для внутренних и внешних сервисов и интеграций.
|-
|<code>dt0s09</code>
|Связь чата и личности.
|}
|}
Предсказуемый формат дает вам несколько преимуществ, таких как:
Предсказуемый формат дает вам несколько преимуществ, таких как:


* Использование хуков предварительной фиксации Git, чтобы избежать отправки токенов в репозитории исходного кода (например, с помощью таких инструментов, как git-secrets )
* Использование хуков предварительной фиксации Git, чтобы избежать отправки токенов в репозитории исходного кода (например, с помощью таких инструментов, как [https://github.com/awslabs/git-secrets git-secrets] )
* Определение правил маскирования для сокрытия секретных частей токенов при записи файлов журналов
* Определение правил маскирования для сокрытия секретных частей токенов при записи файлов журналов
* Обнаружение токенов во внутренних файлах или сообщениях
* Обнаружение токенов во внутренних файлах или сообщениях
* Включение службы сканирования секретов GitHub для идентификации любого токена, отправленного в общедоступный репозиторий GitHub
* Включение [https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning#about-secret-scanning-for-public-repositories службы сканирования секретов GitHub] для идентификации любого токена, отправленного в общедоступный репозиторий GitHub


Используйте это регулярное выражение для поиска токенов:
Используйте это регулярное выражение для поиска токенов:
Строка 48: Строка 82:


=== Отключить новый формат ===
=== Отключить новый формат ===
В течение ограниченного времени у вас есть возможность отказаться от использования нового формата токена. Вы можете найти настройку здесь:
В течение ограниченного времени вы можете отказаться от использования нового формата токена:


* SaaS и управляемое окружениеПерейдите в Настройки> Интеграция> Настройки токена .
# Перейдите на страницу настроек, соответствующую развертыванию.
* Управляемый кластерВ веб-интерфейсе CMC выберите «Настройки»> «Токены API» .
#* ''SaaS и общедоступный Managed'' Перейдите в «Настройки» > «Интеграция» > «Настройки токена».
#* ''Managed Cluster'' В веб-интерфейсе CMC выберите «Настройки» > «Токены API».
# Отключите параметр «Создавать токены Ключ-АСТРОМ API в новом формате ».


== Создать токен доступа ==
== Создать токен доступа ==
Чтобы сгенерировать токен доступа
Чтобы сгенерировать токен доступа


# В меню Ключ-АСТРОМ выберите маркеры доступа .
# В меню Ключ-АСТРОМ выберите Токены доступа .
# Выберите Создать новый токен .
# Выберите Создать новый токен .
# Введите имя для вашего токена.
# Введите имя для вашего токена. Ключ-АСТРОМ не обеспечивает уникальные имена токенов. Вы можете создать несколько токенов с одним и тем же именем. Обязательно укажите осмысленное имя для каждого создаваемого вами токена. Правильное именование поможет вам эффективно управлять своими токенами и, возможно, удалить их, когда они больше не нужны.
# Выберите необходимые разрешения для токена.
# Выберите необходимые разрешения для токена.
# Выберите « Создать» .
# Выберите « Создать токен» .
# Скопируйте сгенерированный токен в буфер обмена. Сохраните токен в диспетчере паролей для использования в будущем.  Вы можете получить доступ к своему токену только один раз после создания. Вы не сможете потом раскрыть это.
# Скопируйте сгенерированный токен в буфер обмена. Сохраните токен в менеджере паролей для использования в будущем.   
 
''Внимание: Вы можете получить доступ к своему токену только один раз после создания. После Вы не сможете получить доступ.''
Вы можете назначить несколько разрешений одному токену или сгенерировать несколько токенов, каждый с разными уровнями доступа, и использовать их соответствующим образом - проверьте политики безопасности вашей организации, чтобы получить наилучшие рекомендации.
 
В качестве альтернативы вы можете использовать POST вызов токена API токенов аутентификации API для создания токена.
 
Ключ-АСТРОМ не требует уникальных имен токенов. Вы можете создать несколько токенов с одним и тем же именем. Обязательно укажите понятное имя для каждого генерируемого токена. Правильное именование поможет вам эффективно управлять своими токенами и, возможно, удалять их, когда они больше не нужны.


== Объемы токенов ==
== Объемы токенов ==
Строка 323: Строка 354:
|-
|-
| colspan="3" |
| colspan="3" |
==== Другой ====
==== Другое ====
|-
|-
|Загрузите плагины с помощью командной строки
|Загрузите плагины с помощью командной строки

Текущая версия на 14:50, 1 декабря 2023

Начало работы с Ключ-АСТРОМ / Токены доступа

Ключ-АСТРОМ 1.227+

На этой странице описан подход к пользовательскому интерфейсу, доступный начиная с Ключ-АСТРОМ версии 1.227. Процедуру для более старой версии смотрите в описании устаревшей версии . В качестве альтернативы вы можете использовать Tokens API v2 .

Весь внешний доступ к вашей среде мониторинга Ключ-АСТРОМ зависит от двух частей информации: идентификатора среды и токена доступа .

Ключ-АСТРОМ использует несколько типов токенов:

  • Токены доступа и токены личного доступа предоставляют доступ к:
    • Ключ-АСТРОМ API
    • Загрузка установщиков ЕдиногоАгента и АктивногоШлюза
  • Токены личного доступа предоставляют доступ к некоторым конечным точкам Ключ-АСТРОМ API
  • Токены клиента позволяют ЕдиномуАгенту передавать данные в Ключ-АСТРОМ.

Формат токена

Ключ-АСТРОМ использует уникальный формат токенов, состоящий из трех компонентов, разделенных точками ( .).

dt0c01.ST2EY72KQINMH574WMNVI7YN.G3DFPBEJYMODIDAEX454M7YWBUVEFOWKPRVMWFASS64NFH52PX6BNDVFFM572RZM

dt0c01 Префикс для идентификации токена.
ST2...7YN Открытая часть токена

24-значный открытый идентификатор токена. Это значение можно безопасно отображать в пользовательском интерфейсе и использовать для ведения журнала.

G3D...RZM Секретная часть токена

64-символьная секретная часть токена, которую можно рассматривать как пароль, поэтому ее не нужно отображать в веб-интерфейсе Ключ-АСТРОМ (после первоначального создания) или сохранять в файлах журнала.

Префиксы токенов

Префикс Описание
dt0s01 Это токен API. Он используется в качестве метода авторизации: действительный токен позволяет пользователю вносить изменения в учетную запись Ключ-АСТРОМ через SCIM.
  • Он генерируется один раз.
  • Не раскрывайте секретную часть токена dt0s01.
  • Публичная часть используется для идентификации в веб-интерфейсе, но обычно не следует раскрывать ее (или любую часть этого токена).
  • Этот токен остается в силе до тех пор, пока клиент не признает его недействительным, поэтому вы должны немедленно его заменить, если он когда-либо произойдет.
dt0s02 Клиенты OAuth2, созданные пользователями с помощью управления учетными записями, для использования с приложениями Ключ-АСТРОМ и API управления учетными записями.
dt0s03 Клиенты OAuth2 для внутренних и внешних сервисов и интеграций.
dt0s04 Связь чата и личности.
dt0s06 Это токен обновления OAuth2, который используется для получения нового токена доступа и обычно часто меняется (обычно каждые 5–15 минут).
dt0s08 Клиенты OAuth2 для внутренних и внешних сервисов и интеграций.
dt0s09 Связь чата и личности.

Предсказуемый формат дает вам несколько преимуществ, таких как:

  • Использование хуков предварительной фиксации Git, чтобы избежать отправки токенов в репозитории исходного кода (например, с помощью таких инструментов, как git-secrets )
  • Определение правил маскирования для сокрытия секретных частей токенов при записи файлов журналов
  • Обнаружение токенов во внутренних файлах или сообщениях
  • Включение службы сканирования секретов GitHub для идентификации любого токена, отправленного в общедоступный репозиторий GitHub

Используйте это регулярное выражение для поиска токенов:

dt0[a-zA-Z]{1}[0-9]{2}\.[A-Z0-9]{24}\.[A-Z0-9]{64}

С выпуском Ключ-АСТРОМ версии 1.210 этот формат включен по умолчанию (все вновь сгенерированные токены будут использовать новый формат).

Все существующие токены старого формата остаются в силе.

Отключить новый формат

В течение ограниченного времени вы можете отказаться от использования нового формата токена:

  1. Перейдите на страницу настроек, соответствующую развертыванию.
    • SaaS и общедоступный Managed Перейдите в «Настройки» > «Интеграция» > «Настройки токена».
    • Managed Cluster В веб-интерфейсе CMC выберите «Настройки» > «Токены API».
  2. Отключите параметр «Создавать токены Ключ-АСТРОМ API в новом формате ».

Создать токен доступа

Чтобы сгенерировать токен доступа

  1. В меню Ключ-АСТРОМ выберите Токены доступа .
  2. Выберите Создать новый токен .
  3. Введите имя для вашего токена. Ключ-АСТРОМ не обеспечивает уникальные имена токенов. Вы можете создать несколько токенов с одним и тем же именем. Обязательно укажите осмысленное имя для каждого создаваемого вами токена. Правильное именование поможет вам эффективно управлять своими токенами и, возможно, удалить их, когда они больше не нужны.
  4. Выберите необходимые разрешения для токена.
  5. Выберите « Создать токен» .
  6. Скопируйте сгенерированный токен в буфер обмена. Сохраните токен в менеджере паролей для использования в будущем.

Внимание: Вы можете получить доступ к своему токену только один раз после создания. После Вы не сможете получить доступ.

Объемы токенов

У токенов доступа есть детализированные области действия, чтобы ограничить доступ к определенным функциям продукта по соображениям безопасности.

Ключ-АСТРОМ предоставляет следующие разрешения для токенов API. Вы можете установить их в пользовательском интерфейсе, как описано выше, или через API токенов аутентификации API . Некоторые области доступны только через API.

Имя Значение API Описание

API v2

Читать метрики metrics.read Предоставляет доступ к запросам GET Metrics API v2 .
Напишите метрики metrics.write Предоставляет доступ к DELETE для запроса пользовательской метрики Metrics API v2.
Показатели приема metrics.ingest Предоставляет доступ к запросу точек данных POST для Metrics v2 API.
Читать журналы logs.read Предоставляет доступ к запросам GET API мониторинга журналов версии 2.
Журналы приема logs.ingest Предоставляет доступ к запросу журналов приема POST API мониторинга журналов v2.
Получение следов OpenTelemetry openTelemetryTrace.ingest Позволяет получать следы OpenTelemetry .
Читать сущности entities.read Предоставляет доступ к запросам GET отслеживаемых объектов и API настраиваемых тегов .
Запись сущностей entities.write Предоставляет доступ к запросам POST, PUT и DELETE отслеживаемых объектов и API настраиваемых тегов .
Проблемы с чтением problems.read Предоставляет доступ к запросам GET API проблем v2 .
Проблемы с записью problems.write Предоставляет доступ к запросам POST, PUT и DELETE API проблем v2 .
Читать события events.read Предоставляет доступ к запросам GET для Events API v2 .
Принять события events.ingest Предоставляет доступ к POST-запросу Events API v2 .
Чтение сетевых зон networkZones.read Предоставляет доступ к GET-запросам API сетевых зон .
Запись сетевых зон networkZones.write Предоставляет доступ к запросам POST, PUT и DELETE API сетевых зон .
Читать АктивныйШлюзs activeGates.read Предоставляет доступ к GET-запросам АктивныйШлюзs API .
Написать АктивныйШлюзs activeGates.write Предоставляет доступ к запросам POST и DELETE API АктивныйШлюзs .
Читать расширения extensions.read Предоставляет доступ к GET запросов от Extensions секции Extensions 2.0 API .
Написать расширения extensions.write Предоставляет доступ к POST и DELETE запросов от Extensions секции Extensions 2.0 API .
Чтение конфигурации среды расширений extensionEnvironment.read Предоставляет доступ к запросам GET из раздела конфигурации среды Extensions API Extensions 2.0 .
Конфигурация среды написания расширений extensionEnvironment.write Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации среды Extensions API Extensions 2.0 .
Чтение конфигурации мониторинга расширений extensionConfigurations.read Предоставляет доступ к запросам GET из раздела конфигурации мониторинга расширений API расширений 2.0 .
Запись конфигурации мониторинга расширений extensionConfigurations.write Предоставляет доступ к запросам POST, PUT и DELETE из раздела конфигурации мониторинга расширений API расширений 2.0 .
Прочтите проблемы безопасности securityProblems.read Предоставляет доступ к запросам GET API проблем безопасности .
Проблемы безопасности записи securityProblems.write Предоставляет доступ к POST-запросам API проблем безопасности .
Читать синтетические локации syntheticLocations.read Предоставляет доступ к запросам GET API синтетических расположений v2 и API синтетических узлов v2 .
Напишите синтетические местоположения syntheticLocations.write Предоставляет доступ к запросам POST, PUT и DELETE API синтетических расположений v2 и API синтетических узлов v2 .
Прочитать настройки settings.read Предоставляет доступ к запросам GET API настроек .
Записать настройки settings.write Предоставляет доступ к запросам POST и DELETE API настроек .
Ротация токенов арендатора tenantTokenRotation.write Предоставляет доступ к API токенов клиента .
Читать SLO slo.read Предоставляет доступ к запросам GET API целей уровня обслуживания .
Написать SLO slo.write Предоставляет доступ к запросам POST, PUT и DELETE API целей уровня обслуживания .
Читать токены API apiTokens.read Предоставляет доступ к запросам GET API токенов аутентификации API .
Написать токены API apiTokens.write Предоставляет доступ к запросам POST, PUT и DELETE API токенов аутентификации API .
Читать релизы releases.read Предоставляет доступ к Releases API .
Читать журналы аудита auditLogs.read Предоставляет доступ к журналу аудита .

API v1

Чтение записей хранилища учетных данных credentialVault.read Предоставляет доступ к запросам GET API хранилища учетных данных .
Запись записей в хранилище учетных данных credentialVault.write Предоставляет доступ к запросам POST, PUT и DELETE API хранилища учетных данных .
Проблемы доступа и лента событий, метрики и топология DataExport Предоставляет доступ к различным вызовам Environment API .
Создание и чтение синтетических мониторов, локаций и узлов ExternalSyntheticIntegration Предоставляет доступ к синтетическому API .
Чтение синтетических мониторов, локаций и узлов ReadSyntheticData Предоставляет доступ к запросам GET синтетического API .
Прочитать конфигурацию ReadConfig Предоставляет доступ к GET-вызовам Configuration API .
Запись конфигурации WriteConfig Предоставляет доступ к вызовам POST, PUT и DELETE Configuration API .
Изменить настройки конфиденциальности данных DataPrivacy Предоставляет доступ к API конфиденциальности данных и вызовам API конфигурации веб-приложений для обеспечения конфиденциальности данных .
Пользовательские сеансы DTAQLAccess Предоставляет доступ к API пользовательских сессий .
Анонимизируйте пользовательские сеансы по соображениям конфиденциальности данных UserSessionAnonymization Предоставляет доступ к API анонимизации .
Управление файлами мобильной символики DssFileManagement Предоставляет доступ к API мобильной символики .
Управление тегами JavaScript Real User Monitoring RumJavaScriptTagManagement Предоставляет доступ к Real User Monitoring JavaScript API .
Управление токенами TenantTokenManagement Позволяет создавать и удалять токены, а также просматривать их метаданные через Tokens API .
Управление сертификатами АктивныйШлюз ActiveGateCertManagement Позволяет настроить сертификат на частных АктивныйШлюзs.
Получение данных DataImport Позволяет импортировать данные и события из внешних источников.
Получение данных из удаленной среды RestRequestForwarding Позволяет получать данные из удаленных сред Ключ-АСТРОМ для мониторинга нескольких сред.
Захват данных запроса CaptureRequestData Предоставляет доступ к API атрибутов запроса .
Прочитать содержимое журнала LogExport Предоставляет доступ к API мониторинга журналов .
Расширение браузера RUM RumBrowserExtension Разрешает расширению браузера RUM отправлять данные в Ключ-АСТРОМ.

PaaS

Загрузите установщики ЕдиныйАгент и АктивныйШлюз InstallerDownload Позволяет скачивать установщики через Deployment API .
Создание предупреждений о поддержке SupportAlert Позволяет создавать оповещения службы поддержки для анализа сбоев.

Модули

Интеграция AppMon для гибридных развертываний AppMonIntegration Позволяет импортировать данные мониторинга из AppMon .
Интеграция с Ключ-АСТРОМ NAM DcrumIntegration Интеграция с NAM.

Другое

Загрузите плагины с помощью командной строки PluginUpload Позволяет загружать расширения ЕдиныйАгент через инструмент командной строки .