分析およびデータのセキュリティ

Application Analytics は、データを制御および保護できるようにするために、ロールベースのアクセスコントロール(RBAC)を提供しています。Analytics 権限を使用すると、環境内の機能と分析データへのきめ細かい制御されたアクセスを提供できます。このトピックでは、使用可能な権限について説明します。

Roles and Permissions

A predefined role called Analytics Administrator is provided with preset permissions for all Analytics-specific permissions.

You can clone predefined roles as a starting point for creating your own customized roles, but you should not assume the cloned roles have all of the permissions of the predefined role. In some cases, there may be hidden permissions, so you should add or remove permissions as needed for your customized role to ensure that you get the RBAC result you need.

To create roles and assign users to roles for Analytics, users need both the Analytics Administrator and the Account Owner role.

SeeTransaction Analytics Permissions.

デフォルトのアプリケーション

ユーザが必要なすべての Analytics 機能にアクセスできるようにするには、それらのユーザにデフォルトのアプリケーションの表示権限を付与する必要があります。この権限は、事前定義済みのすべての管理者ロールと読み取り専用ロールである Applications & Dashboards Viewer に付与されます。Analytics の新しいロールを作成する場合は、特定の Analytics 権限に加えて、この権限を付与する必要があります。

新しいロールを作成しても、この権限はそのロールに自動的に付与されません。新しいユーザに読み取り専用ロールを追加できます。または、[Administration] > [Applications] に移動し、[デフォルトアプリケーション(Default Application)] で View 権限を選択します。

Analytics 管理 UI のタブ

新しいロールを作成するときに、使用可能な権限を表示するために、コントローラ管理 UI の [Analytics] タブにアクセスします。

一般権限

このセクションでは、Analytics の機能へのアクセスを制御する権限について説明します。

検索権限

このセクションには、Analytics で作成されたすべての保存済み検索が表示されます。管理者ロールは、検索レベルでの検索の表示、編集、および削除権限を割り当てることができます。管理者は、組織内のさまざまなロールが必要とする特定の検索を作成して保存できます。管理者は、特定の保存済み検索の権限(表示、編集、および削除)を有効にするだけでなく、関連するアプリケーションまたは検索のログソースタイプへのアクセスも有効にする必要があります。これを行わないと、データアクセスレベルがロールに付与されません。

新しい保存済み検索を作成するには、ユーザーに Can Create a Search 権限が必要です。

View 権限:保存済み検索の表示権限のみを割り当てた場合、ユーザーは検索を編集または削除できません。

Edit 権限:保存済み検索の編集権限を割り当てた場合、ユーザーはフィルタ条件を変更すること、および同じ検索に戻して保存することができます。

Delete 権限:保存済み検索の削除権限を割り当てた場合、ユーザーは検索を削除できます。

イベントタイプの権限

Transactions Permissions::管理者ユーザーは、アプリケーション トランザクション データを表示するための権限を割り当てることができます。アカウントに対してすべてのトランザクションデータを表示する権限を付与すること、またはアプリケーションごとにすべてのトランザクションデータを表示する権限を付与することができます。新しいロールを作成する場合、トランザクション分析データを表示する権限を付与しても、特定のトランザクション分析レコードに関連付けられているすべてのアプリケーションデータを表示する権限は自動的には付与されないので注意してください。
重要: ユーザがフローマップなどの関連付けられたトランザクション スナップショット データを表示できるようにするには、アプリケーションに対して少なくとも読み取り専用権限を付与する必要があります。
Log Permissions::管理者ユーザーは、ログデータを表示するための権限を割り当てることができます。アカウントに対して、設定されているすべてのソースタイプのログデータを表示する権限を付与すること、またはソースごとにログデータを表示する権限を付与することができます。

Browser Requests Permissions::管理者ユーザーは、ブラウザ要求データを表示するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Mobile Requests Permissions::管理者ユーザーは、モバイル要求およびクラッシュレポートデータを表示するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Custom Analytics Events::管理者ユーザーは、カスタム分析イベントデータを照会するための権限を割り当てることができます。すべてのカスタム分析イベントのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

Synthetic Permissions::管理者ユーザーは、合成イベントデータを照会するための権限を割り当てることができます。アカウントに対してすべてのアプリケーションのデータを表示する権限を付与すること、または特定のアプリケーションのデータを表示する権限を付与することができます。

API キーの管理

このページでは、REST API キーの管理方法について説明します。

分析イベント REST API は、次の役割に対して 3 つの独立したエンドポイントを提供します。

  • スキーマ管理
  • イベントのパブリッシュ
  • クエリ イベント

API キーは、これらのパブリック REST API を使用するときに、呼び出し元が身元を証明するためのセキュアな認証メカニズムを提供します。

呼び出しサイトはインフラストラクチャ、部門、および地理的地域によって異なる可能性があるため、これらの資格情報は広く分散していて、制御が難しい場合があります。したがって、さまざまな呼び出しサイトからのイベントをパブリッシュまたは照会するために、キーと特定のキーに許可される操作をきめ細かく制御する必要があります。また、これらのキーが漏洩していることが判明した場合は、オンデマンドで取り消す必要がある場合があります。

このような理由から、分析イベント API のアクセスを管理するには、API キーを使用します。組織は、独自の内部ポリシーに基づいて複数の API キーを作成し、それらを管理および配布できます。たとえば、各部門または地理的地域に、配布および制御管理用の独自の API キーを割り当てることができます。API キーが漏洩した場合、そのキーを削除し、その他の不要な副作用のない新しいキーを作成できます。

Splunk AppDynamicsAPI キーは、パブリック分析イベント REST API の呼び出しにのみ有効であり、このキーを使用して、その他の方法で コントローラやデータにアクセスすることはできません。分析イベント API 分析イベント API

アクセス許可

API キーは、分析イベント REST API にのみ使用されます。API キーを作成するとき、各 API キーの読み取り権限と書き込み権限を指定できます。

Manage API 権限を持つユーザーは、次の操作を実行できます。

  • Add:API キーを作成します
  • Disable:そのキーを使用している呼び出しを一時的に無効にできますが、キーは削除できません
  • Enable:非アクティブ化されたキーを再度有効にします
  • Delete:キーを完全に削除します
注: 削除または非アクティブ化されたキーが検出され、そのキーを使用するすべての操作が拒否されるまでに、最大 15 分かかることがあります。

API キーを作成する場合、プラットフォームのさまざまなイベントタイプ(ログ、トランザクション、ブラウザ、およびモバイル)の権限を確認します。これらの権限を使用することで、特定の API キーごとに特定のイベントタイプへのアクセスを制限または許可できます。

API キーを作成するときに [Publish all Custom Events] を選択すると、パートナーがカスタムイベントのみをパブリッシュできるようにするための API キーが生成されます。

[Log Permissions] で、[apache] を [source type] として選択すると、API キーを生成して、さまざまなユーザーが Apache ログデータのみを照会できるようになります。
重要: API キーが作成された後では、権限は変更できません。
次のように、API キーの権限を付与できます。Custom Analytics Events
  • スキーマの管理:分析イベントスキーマ管理 API を使用してスキーマを作成できます。
  • カスタムイベントの照会:(適切な権限を使用して)すべての分析イベントタイプを照会できます。
  • カスタムイベントのパブリッシュ:分析イベントパブリッシュ API を使用して、分析カスタムイベントをパブリッシュできます。

Transactions:すべてのトランザクションまたは特定のアプリケーションを照会します。

Logs:すべてのログまたは特定のソースタイプを照会します。

Browser Requests:すべてのブラウザ要求または特定のアプリケーションを照会します。

Mobile Requests:すべてのモバイル要求または特定のアプリケーションを照会します。

Synthetic Requests Permissions:すべての合成要求データまたは特定のアプリケーションを照会します。

Connected Devices Permissions:接続されているデバイスのすべての要求データ、または特定のアプリケーションを照会します。

注: EUM をデプロイし、トランザクションおよびログ分析データに対してオンプレミス イベント サービスを使用し、EUM データに対して SaaS イベントサービスを使用している場合は、分析 API を使用してブラウザまたはモバイル要求データを照会できません。

API キーの作成

  1. [Analytics > Configuration] > [API Keys] の順にアクセスします。既存のキーを表示し、キーを管理するための操作にアクセスできます。
  2. [+Add] をクリックして設定パネルを表示します。
  3. [Name] および [Description] を追加します。
    警告: 必要な分析データ権限など、ユースケースに必要な権限をすべて選択し終わるまでは [Create] をクリックしないでください。一度キーを作成すると、権限を変更することはできません。編集できるのは、説明と、キーがアクティブか非アクティブかどうかのみです。
  4. 各権限セクションを展開して、このキーの権限を選択します。
  5. Create をクリックします。
  6. キーをコピーして保存します。
  7. キーをコピーしたことを示すチェックボックスをオンにして、[Done] をクリックします。
    警告: このダイアログを閉じた後は、キーを確認できません。

フィールドの可視性の管理

このページでは、分析データのフィールドの可視性を管理する方法について説明します。この機能を使用して、フィールドが組織内の他のユーザに表示されないようにできます。

カスタムイベントを除く、ほとんどの分析イベントタイプのフィールドの可視性を設定できます。カスタムイベントのフィールドを非表示にすることはサポートされていません。

アクセス許可

フィールドの可視性を管理するには、フィールドの管理権限が必要です。ロールにフィールドの管理権限がある場合、そのロールを持つすべてのユーザが、アクセス可能なすべてのフィールドを管理できることになります。これらユーザは、フィールドの非表示を解除することや、どのフィールドが非表示になっているか確認することができます。たとえば、Ecommerce App のビジネストランザクションのフィールドの管理権限と表示権限がある場合、そのアプリケーションのフィールドの表示と管理のみ行うことができます。

フィールドの管理

  1. [Analytics Search] パネルで、各コンポーネントグループの横にある [] をクリックし、[Manage Fields] パネルを開きます。
  2. [Manage Fields] パネルを使用して、フィールドの表示と非表示を切り替えることができます。フィールドのリストは、検索対象として選択されたイベントタイプによって異なります。

抽出フィールドの削除

バージョン 4.3 以降では、2 つのタイプの抽出フィールドが存在する場合があります。1 つは、コントローラのバージョンが上位のバージョンにアップグレードされた 4.2 で作成されたフィールドで、もう 1 つはログソースルールによってログから抽出されたフィールドです。

4.2 で作成されたフィールドについては、次の手順を使用してフィールドを削除できます。

  1. フィールドの上にカーソルを移動し、表示される表示アイコンをクリックします。
  2. ポップアップで [Delete] をクリックします。
ログソースルールを使用してログから抽出されるフィールドについては、ソースルールを編集することでフィールドを削除できます。「ソースルールのフィールド抽出」を参照してください。

ビジネスジャーニーとエクスペリエンスレベルの管理

このページでは、ロールベース アクセス コントロール(RBAC)を使用したビジネスジャーニーとエクスペリエンスレベルの管理(XLM)の可視性を管理する方法について説明します。組織内の機密情報へのアクセスを制限するには、ビジネスジャーニーおよび XLMRBAC が必要です。ユーザが制限付き機能にアクセスしようとすると、アクセスが拒否されたことをユーザに警告するメッセージが表示されます。

ビジネスジャーニーや XLM、それぞれの検索、イベントタイプ、ソースへのアクセス権限を付与できるのは分析管理者のみです。管理者は、各ユーザに適切なロールに割り当てることによって個別にアクセスを許可します。

ビジネスジャーニーおよび XLM のロールの作成

コントローラ UI で、[Settings] > [Administration] > [Roles] に移動します。

分析管理者は、[Analytics] タブで既存のロールを表示および編集できます。このタブには、[General]、[Searches]、[Events] が含まれます。新しいロールを作成するには、[+Create] を選択します。

一般権限

[General] タブでは、分析管理者がビジネスジャーニーと XLM へのアクセスを許可します。これは、ユーザがビジネスジャーニーまたは XLM のいずれかでアクションを実行するために必要です。[Manage Business Journeys] や [Manage Experience Levels] を確認します。

一般権限では、ユーザはビジネスジャーニーと XLM への機能レベルのアクセス権を持っています。ただし、ユーザーは一般権限のみを使用して、既存のイベントまたは保存済み検索の定義を表示したり、新しいイベントを作成したりすることはできません。これらの権限を有効にするには、以下の項を参照してください。

注:

ユーザのロールがビジネスジャーニーの定義で使用されている基本イベントタイプへのアクセスを許可されている限り、ユーザはビジネスジャーニーに対する一般権限を持たなくても検索を介してビジネスジャーニーのデータにアクセスできます。

この方法で、ユーザがデータをクエリできるようにすると同時に、ビジネスジャーニーの定義へのアクセスを制限できます。[Events] タブのイベントタイプに必要なすべてのアクセス権をユーザが持っていることを確認し、[Manage Business Journeys] をオフのままにします。

検索権限

分析には、ドラッグアンドドロップとクエリ言語の 2 つの検索タイプがあります。分析管理者は、[Searches] タブで両方のタイプへのアクセス権を付与します。

[Can Create a Search] を選択して、両方の検索タイプにアクセスします。[+Add] を選択して保存された特定の検索にアクセスします。

ユーザが次のいずれかの操作を実行するには、検索の作成権限が必要です。

  • 検索の保存
  • メトリックの作成
  • ビジュアルウィジェットの作成

検索アクセスはイベントタイプのアクセスによって異なります。ユーザは、ユーザのロールに割り当てられたイベントタイプとソースについてのみ、検索の作成と保存を行うことができます。

イベントタイプとソースの権限

次のセクションでは、イベントタイプおよびソースアクセスを割り当てる方法について説明します。ビジネスジャーニーと XLM に権限を付与しても、ユーザにすべてのレポートへの包括的なアクセス権が付与されるわけではありません。ユーザは、分析管理者によって付与された正確なイベントタイプとソースのみにアクセスできます。たとえば、トランザクションがイベントタイプで、そのソースがアプリケーションだとします。ユーザが特定のアプリケーションへのアクセスを必要とする場合、分析管理者は、ユーザに必要な各アプリケーションだけでなく、トランザクションも選択する必要があります。

次の表に、使用可能なイベントタイプとそれに対応するソースを示します。

イベントタイプソース
トランザクションアプリケーション
Log送信元タイプ(Source Type)
ブラウザレコードアプリケーションキー
モバイルレコードとセッションアプリケーションキー
合成セッションアプリケーションキー
接続デバイスアプリケーションキー
カスタム分析イベント特定のユーザ定義イベントタイプ

[Events] タブでは、正確なアクセスを指定できます。イベントタイプを選択し、関連するソースへのアクセス権を指定します。"Can View Data from all [source]" をオンにして、各ソースへの包括的なアクセスを許可します。個々のソースを選択するには、[+追加(+Add)] をクリックします。

適切なイベントタイプとソースの権限を使用すると、ユーザーは既存のレポートにアクセスしたり、新しいレポートを作成したりできます。たとえば、トランザクションとすべてのアプリケーションに対する権限を持つユーザは、すべてのアプリケーションに対して新しい設定を作成できるようになりました。ただし、このユーザーがログイベントの設定を作成しようとすると、設定は保存されず、UI にエラーメッセージが表示されます。

XLM 設定の場合、[Filter By] フィールドは指定された [Event Type] のソースを示します。ソースへの権限が制限されているユーザは、許可されたソースをフィルタ条件として追加する必要があります。フィルタ条件を指定していない場合、設定を作成するには、イベントタイプのすべてのソースに対する権限が必要です。

ダッシュボードのアクセス

[Dashboard] タブでダッシュボードに権限を付与します。このタブで、管理者は、ユーザがダッシュボードと時間の権限、およびカスタム権限を作成できるかどうかを指定します。

分析ダッシュボードにビジネスジャーニーと XLM からのデータが含まれている場合、ダッシュボードへのアクセスは上記の権限によって異なります。たとえば、ユーザによるダッシュボードの作成は許可されているが、ビジネスジャーニーへの権限が含まれていないロールでは、ユーザがビジネスジャーニーに関連するダッシュボードにアクセスすることは許可されていません。分析データと一般的なダッシュボードアクセスにアクセスするために必要な権限がロールに付与されていることを確認します。