分析およびデータのセキュリティ

Application Analytics は、データを制御および保護できるようにするために、ロールベースのアクセスコントロール(RBAC)を提供しています。Analytics 権限を使用すると、環境内の機能と分析データへのきめ細かい制御されたアクセスを提供できます。このトピックでは、使用可能な権限について説明します。

Roles and Permissions

A predefined role called Analytics Administrator is provided with preset permissions for all Analytics-specific permissions.

You can clone predefined roles as a starting point for creating your own customized roles, but you should not assume the cloned roles have all of the permissions of the predefined role. In some cases, there may be hidden permissions, so you should add or remove permissions as needed for your customized role to ensure that you get the RBAC result you need.

To create roles and assign users to roles for Analytics, users need both the Analytics Administrator and the Account Owner role.

SeeTransaction Analytics Permissions.

デフォルトのアプリケーション

ユーザが必要なすべての Analytics 機能にアクセスできるようにするには、それらのユーザにデフォルトのアプリケーションの表示権限を付与する必要があります。この権限は、事前定義済みのすべての管理者ロールと読み取り専用ロールである Applications & Dashboards Viewer に付与されます。Analytics の新しいロールを作成する場合は、特定の Analytics 権限に加えて、この権限を付与する必要があります。

新しいロールを作成しても、この権限はそのロールに自動的に付与されません。新しいユーザに読み取り専用ロールを追加できます。または、[Administration] > [Applications] に移動し、[デフォルトアプリケーション(Default Application)] で View 権限を選択します。

Analytics 管理 UI のタブ

新しいロールを作成するときに、使用可能な権限を表示するために、コントローラ管理 UI の [Analytics] タブにアクセスします。

一般権限

このセクションでは、Analytics の機能へのアクセスを制御する権限について説明します。

検索権限

このセクションには、Analytics で作成されたすべての保存済み検索が表示されます。管理者ロールは、検索レベルでの検索の表示、編集、および削除権限を割り当てることができます。管理者は、組織内のさまざまなロールが必要とする特定の検索を作成して保存できます。管理者は、特定の保存済み検索の権限(表示、編集、および削除)を有効にするだけでなく、関連するアプリケーションまたは検索のログソースタイプへのアクセスも有効にする必要があります。これを行わないと、データアクセスレベルがロールに付与されません。

新しい保存済み検索を作成するには、ユーザーに Can Create a Search 権限が必要です。

View 権限:保存済み検索の表示権限のみを割り当てた場合、ユーザーは検索を編集または削除できません。

Edit 権限:保存済み検索の編集権限を割り当てた場合、ユーザーはフィルタ条件を変更すること、および同じ検索に戻して保存することができます。

Delete 権限:保存済み検索の削除権限を割り当てた場合、ユーザーは検索を削除できます。

イベントタイプの権限

Transactions Permissions::管理者ユーザーは、アプリケーション トランザクション データを表示するための権限を割り当てることができます。アカウントに対してすべてのトランザクションデータを表示する権限を付与すること、またはアプリケーションごとにすべてのトランザクションデータを表示する権限を付与することができます。新しいロールを作成する場合、トランザクション分析データを表示する権限を付与しても、特定のトランザクション分析レコードに関連付けられているすべてのアプリケーションデータを表示する権限は自動的には付与されないので注意してください。
重要: ユーザがフローマップなどの関連付けられたトランザクション スナップショット データを表示できるようにするには、アプリケーションに対して少なくとも読み取り専用権限を付与する必要があります。
Log Permissions::管理者ユーザーは、ログデータを表示するための権限を割り当てることができます。アカウントに対して、設定されているすべてのソースタイプのログデータを表示する権限を付与すること、またはソースごとにログデータを表示する権限を付与することができます。

Browser Requests Permissions::管理者ユーザーは、ブラウザ要求データを表示するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Mobile Requests Permissions::管理者ユーザーは、モバイル要求およびクラッシュレポートデータを表示するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Custom Analytics Events::管理者ユーザーは、カスタム分析イベントデータを照会するための権限を割り当てることができます。すべてのカスタム分析イベントのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Synthetic Permissions::管理者ユーザーは、合成イベントデータを照会するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

API キーの管理

このページでは、REST API キーの管理方法について説明します。

分析イベント REST API は、次の役割に対して 3 つの独立したエンドポイントを提供します。

  • スキーマ管理
  • イベントのパブリッシュ
  • クエリ イベント

API キーは、これらのパブリック REST API を使用するときに、呼び出し元が身元を証明するためのセキュアな認証メカニズムを提供します。

呼び出しサイトはインフラストラクチャ、部門、および地理的地域によって異なる可能性があるため、これらの資格情報は広く分散していて、制御が難しい場合があります。したがって、さまざまな呼び出しサイトからのイベントをパブリッシュまたは照会するために、キーと特定のキーに許可される操作をきめ細かく制御する必要があります。また、これらのキーが漏洩していることが判明した場合は、オンデマンドで取り消す必要がある場合があります。

このような理由から、分析イベント API のアクセスを管理するには、API キーを使用します。組織は、独自の内部ポリシーに基づいて複数の API キーを作成し、それらを管理および配布できます。たとえば、各部門または地理的地域に、配布および制御管理用の独自の API キーを割り当てることができます。API キーが漏洩した場合、そのキーを削除し、その他の不要な副作用のない新しいキーを作成できます。

Splunk AppDynamicsAPI キーは、パブリック分析イベント REST API の呼び出しにのみ有効であり、このキーを使用して、その他の方法で コントローラやデータにアクセスすることはできません。分析イベント API 分析イベント API

アクセス許可

API キーは、分析イベント REST API にのみ使用されます。API キーを作成するとき、各 API キーの読み取り権限と書き込み権限を指定できます。

Manage API 権限を持つユーザーは、次の操作を実行できます。

  • Add:API キーを作成します
  • Disable:そのキーを使用している呼び出しを一時的に無効にできますが、キーは削除できません
  • Enable:非アクティブ化されたキーを再度有効にします
  • Delete:キーを完全に削除します
注: 削除または非アクティブ化されたキーが検出され、そのキーを使用するすべての操作が拒否されるまでに、最大 15 分かかることがあります。

API キーを作成する場合、プラットフォームのさまざまなイベントタイプ(ログ、トランザクション、ブラウザ、およびモバイル)の権限を確認します。これらの権限を使用することで、特定の API キーごとに特定のイベントタイプへのアクセスを制限または許可できます。

API キーを作成するときに [Publish all Custom Events] を選択すると、パートナーがカスタムイベントのみをパブリッシュできるようにするための API キーが生成されます。

[Log Permissions] で、[apache] を [source type] として選択すると、API キーを生成して、さまざまなユーザーが Apache ログデータのみを照会できるようになります。
重要: API キーが作成された後では、権限は変更できません。
次のように、API キーの権限を付与できます。Custom Analytics Events
  • スキーマの管理:分析イベントスキーマ管理 API を使用してスキーマを作成できます。
  • カスタムイベントの照会:(適切な権限を使用して)すべての分析イベントタイプを照会できます。
  • カスタムイベントのパブリッシュ:分析イベントパブリッシュ API を使用して、分析カスタムイベントをパブリッシュできます。

Transactions:すべてのトランザクションまたは特定のアプリケーションを照会します。

Logs:すべてのログまたは特定のソースタイプを照会します。

Browser Requests:すべてのブラウザ要求または特定のアプリケーションを照会します。

Mobile Requests:すべてのモバイル要求または特定のアプリケーションを照会します。

Synthetic Requests Permissions:すべての合成要求データまたは特定のアプリケーションを照会します。

Connected Devices Permissions:接続されているデバイスのすべての要求データ、または特定のアプリケーションを照会します。

注: EUM をデプロイし、トランザクションおよびログ分析データに対してオンプレミス イベント サービスを使用し、EUM データに対して SaaS イベントサービスを使用している場合は、分析 API を使用してブラウザまたはモバイル要求データを照会できません。

API キーの作成

  1. [Analytics > Configuration] > [API Keys] の順にアクセスします。既存のキーを表示し、キーを管理するための操作にアクセスできます。
  2. [+Add] をクリックして設定パネルを表示します。
  3. [Name] および [Description] を追加します。
    警告: 必要な分析データ権限など、ユースケースに必要な権限をすべて選択し終わるまでは [Create] をクリックしないでください。一度キーを作成すると、権限を変更することはできません。編集できるのは、説明と、キーがアクティブか非アクティブかどうかのみです。
  4. 各権限セクションを展開して、このキーの権限を選択します。
  5. Create をクリックします。
  6. キーをコピーして保存します。
  7. キーをコピーしたことを示すチェックボックスをオンにして、[Done] をクリックします。
    警告: このダイアログを閉じた後は、キーを確認できません。

フィールドの可視性の管理

このページでは、分析データのフィールドの可視性を管理する方法について説明します。この機能を使用して、フィールドが組織内の他のユーザに表示されないようにできます。

カスタムイベントを除く、ほとんどの分析イベントタイプのフィールドの可視性を設定できます。カスタムイベントのフィールドを非表示にすることはサポートされていません。

アクセス許可

フィールドの可視性を管理するには、フィールドの管理権限が必要です。ロールにフィールドの管理権限がある場合、そのロールを持つすべてのユーザが、アクセス可能なすべてのフィールドを管理できることになります。これらユーザは、フィールドの非表示を解除することや、どのフィールドが非表示になっているか確認することができます。たとえば、Ecommerce App のビジネストランザクションのフィールドの管理権限と表示権限がある場合、そのアプリケーションのフィールドの表示と管理のみ行うことができます。

フィールドの管理

  1. [Analytics Search] パネルで、各コンポーネントグループの横にある [] をクリックし、[Manage Fields] パネルを開きます。
  2. [Manage Fields] パネルを使用して、フィールドの表示と非表示を切り替えることができます。フィールドのリストは、検索対象として選択されたイベントタイプによって異なります。

抽出フィールドの削除

バージョン 4.3 以降では、2 つのタイプの抽出フィールドが存在する場合があります。1 つは、コントローラのバージョンが上位のバージョンにアップグレードされた 4.2 で作成されたフィールドで、もう 1 つはログソースルールによってログから抽出されたフィールドです。

4.2 で作成されたフィールドについては、次の手順を使用してフィールドを削除できます。

  1. フィールドの上にカーソルを移動し、表示される表示アイコンをクリックします。
  2. ポップアップで [Delete] をクリックします。
ログソースルールを使用してログから抽出されるフィールドについては、ソースルールを編集することでフィールドを削除できます。「ソースルールのフィールド抽出」を参照してください。

ビジネスジャーニーとエクスペリエンスレベルの管理

このページでは、ロールベース アクセス コントロール(RBAC)を使用したビジネスジャーニーとエクスペリエンスレベルの管理(XLM)の可視性を管理する方法について説明します。組織内の機密情報へのアクセスを制限するには、ビジネスジャーニーおよび XLMRBAC が必要です。ユーザが制限付き機能にアクセスしようとすると、アクセスが拒否されたことをユーザに警告するメッセージが表示されます。

ビジネスジャーニーや XLM、それぞれの検索、イベントタイプ、ソースへのアクセス権限を付与できるのは分析管理者のみです。管理者は、各ユーザに適切なロールに割り当てることによって個別にアクセスを許可します。

Creating Business Journey and XLM Roles

In the Controller UI, navigate to Settings > Administration > Roles.

The analytics admin can view and edit existing roles in the Analytics tab, which contains three sections: General, Searches, and Events. Select +Create to make a new role.

General Permissions

In the General tab, the analytics admin authorizes access to business journeys and/or XLM. This is required for the user to perform any actions on either business journeys or XLM. Check Manage Business Journeys and/or Manage Experience Levels:

With general permission, the user has feature level access to business journeys and/or XLM. However, the user cannot view the definition of existing events or saved searches, or create new events, with only general permission. See the below sections to enable these permissions.

注:

A user can access business journey data through searches without general permission to business journeys, as long as the user's role permits access to the underlying event type(s) used in business journey definition.

In this way, you can restrict access to define business journeys while also allowing a user to query the data. Ensure the user has all necessary access to event type(s) in the Events tab and leave Manage Business Journeys unchecked.

Search Permissions

There are two search types in Analytics, drag and drop and query language. The analytics admin grants access to both types in the Searches tab.

Choose Can Create a Search to access both search types. Choose +Add to access specific saved searches.

Create search permission is required in order for a user to perform these operations:

  • Save a search
  • Create a metric
  • Create a visual widget

Search access is dependent on event type access. A user has access to create and save searches only for the event type(s) and source(s) assigned in the user's role.

Event Type and Source Permissions

The section describes how to assign event type and source access. Granting permission to business journeys and/or XLM does not provide a user blanket access to all reports. Users have access only to the exact event type(s) and source(s) granted by the analytics admin. For example,  transactions are an event type, and their source is applications. Therefore, if a user requires access to particular applications, the analytics admin must select transactions as well as each necessary application for the user.

This table lists the available event types and their corresponding sources:

Event TypeSource
TransactionApplication
LogSource Type
Browser RecordsApp Key
Mobile Records and SessionsApp Key
Synthetic SessionApp Key
Connected DevicesApp Key
Custom Analytics EventsParticular user-defined event type

You can specify exact access in the Events tab. Select the event type, then specify access for the relevant source. Check "Can View Data from all [source]" to grant blanket access to each source. To select individual sources, click +Add.

With the appropriate event type and source permissions, the user can access existing reports as well as create new reports. For example, a user with permissions to Transactions and all applications can now create a new configuration for any application. However, if this user attempts to create a configuration for Log events, the configuration does not save and an error message appears in the UI:

For XLM configurations, the Filter By field indicates the source(s) of the given Event Type. Users with limited permission to sources need to add their permitted source(s) as filter criteria. If you do not specify filter criteria, you must have permission to all sources for the event type to create the configuration.

Dashboard Access

Grant permission to dashboards in the Dashboard tab. In this tab, the admin specifies if a user can create dashboards and time permissions, as well as custom permissions.

If an Analytics dashboard contains data from business journeys and/or XLM, access to the dashboard depends on the above permissions. For example, a role that allows its users to create a dashboard, but contains no permission to business journeys, does not permit the user to access a business journey-related dashboard. Ensure that roles have the necessary permission to access Analytics data and general dashboard access.