Splunk Observability Cloudを使用した組織のアクセストークンの作成および管理

組織のアクセストークンの作成と管理：デフォルト設定、管理、可視性、トークンの変更、名前の変更、非アクティブ化。

アクセストークン（組織トークンとも呼ばれます）は、存続期間の長い組織レベルのトークンです。アクセストークンは、管理アクセス権を持つユーザーに関連付けられたトークンが必要な場合を除き、すべての API リクエストで使用できます。詳細については、「Splunk Observability Cloud を使用したユーザー API アクセストークンの取得と管理」を参照してください。

アクセストークンを使って、以下のことが実行できます：

APIコールを使ってSplunk Observability Cloudにデータポイントを送信する。
APIを呼び出すスクリプトを実行する。
ユーザー、サービス、チームなどのさまざまなグループの使用状況を追跡することにより、リソースを管理します。たとえば、米国とカナダのユーザーが Splunk Observability Cloud にデータを送信しているとします。各グループに固有のアクセストークンを与えて、各国からのデータ量を比較できます。

注: デフォルトでは、管理者であるユーザーのみがすべてのアクセストークンを検索して表示できます。アクセストークンを作成または更新するときに、このデフォルトを変更できます。

組織内でトークンへのアクセス権を持つパワーユーザーにはバナーが表示されますが、トークンをローテーションする必要があることを伝えるメールは管理者のみに届きます。

トークンの有効期限

トークンの有効期限は、アクセストークンページで確認できます。このページを表示するには、[Settings] を選択し、[Access tokens] を選択します。デフォルトでは、アクセストークンは作成日から 30 日後に期限切れになります。期限切れになる前にトークンをローテーションすることも、トークンの作成中にデフォルトの期限日を変更することもできます。詳細については、「アクセストークンのローテーション」および「有効期限の日付を設定する」を参照してください。

デフォルトでは、すべての組織管理者は、組織のトークンの有効期限が切れる 30 日前に電子メールを受信します。電子メールには、期限が切れるトークンのリストを表示する Splunk Observability Cloud へのリンクが含まれています。有効期限のリマインダの日付を変更するには、「有効期限の日付を設定する」を参照してください。

デフォルトのアクセストークン

デフォルトでは、すべての組織に組織レベルのアクセストークンが 1 つ設定されています。追加のトークンを作成しない場合、Splunk Observability Cloud にデータを送信するすべての API リクエストは、このアクセストークンを使用する必要があります。

アクセストークンの管理

アクセス（組織）トークンを管理するには、以下の手順にしたがいます：

Settings メニューを開きます。
Access Tokens を選択します。
Status と Scope のフィルターを使用しするか、検索バーにトークン名を入力して、トークンを見つけます。
トークン名の横にある展開アイコンを選択します。これにより、トークンに関する詳細が表示されます。

[Authorization Scopes] フィールドの値によって許可されるアクセストークンの権限については、「アクセストークンの作成」の権限に関するステップを参照してください。
（オプション）組織管理者の場合、リストに表示されたトークンの右側にアクションメニュー（⋮）が表示されます。このメニューからトークンアクションを選択できます。
トークンの権限を変更するには、「トークンの権限を変更する」を参照してください。

トークンの権限を変更する

組織の管理者であれば、他のユーザーやチームのトークン権限を変更できます。

トークンの権限を変更するには、以下の手順に従ってください：

[Access Token Permissions] チェックボックスをオンにします。以下の権限オプションから選択します。
- [Only Admins can Read]：新しいトークンを表示または読み取ることができるのは、管理者ユーザーのみです。トークンは他のユーザーには表示されません。
- [Admins and Select Users or Teams can Read]：管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。トークンはその他のユーザーには表示されません。
- Everyone can Read：組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。
権限を追加するには、Access Token Permissions の下にある左矢印を選択します。
Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです：
チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン（X）を選択します。
トークンを更新するには、Update を選択します。

アクセストークンのシークレットを表示およびコピーする

トークンのシークレットを表示するには、トークン名を選択し、Show Token を選択します。

トークン値をコピーするには、[Copy] を選択します。アクセストークンを表示またはコピーするには、管理者である必要はありません。

アクセストークンの作成

アクセストークンの作成を開始するには、次の手順に従います：

Splunk Observability Cloudのメインメニューを開きます。
Settings を選択し、Access Tokens を選択します。
New Token を選択します。

次に、アクセストークン作成ガイド付きセットアップの各ステップを完了します：

トークンに名前を付け、認証スコープを選択する。
トークンの表示と使用を許可する対象者を決定する。
有効期限の日付を設定する。

注: アクセストークンを作成するには、組織の管理者である必要があります。

トークンに名前を付け、認証スコープを選択する

トークンの作成を開始するには、トークンの名前とスコープを入力します。次の手順を実行します。

一意のトークン名を入力します。すでに使用されているトークン名を入力した場合、たとえそのトークンが非アクティブであっても、Splunk Observability Cloud はその名前を受け付けません。

認証スコープを選択します。認証スコープに関する情報は、以下の表を参照してください。


認証スコープ	説明
RUMトークン	このスコープを使用して、RUM 取り込みエンドポイントで認証します。これらのエンドポイントは、`https://rum-ingest.<REALM>.signalfx.com/v1/rum` というベース URL を使用します。
取り込みトークン	データ取り込みエンドポイントで認証する場合と Splunk Distribution of OpenTelemetry Collector を使用する場合は、このスコープを使用します。これらのエンドポイントは、次のベース URL を使用します。 POST `https://ingest.<REALM>.signalfx.com/v2/datapoint` POST `https://ingest.<REALM>.signalfx.com/v2/datapoint/otlp` POST `https://ingest.<REALM>.signalfx.com/v2/event` POST `https://ingest.<REALM>.signalfx.com/v1/trace` これらのエンドポイントに関する情報は、「Sending data points」を参照してください。
APIトークン	Splunk Observability Cloud の API エンドポイントで認証する場合は、このスコープを使用します。これらのエンドポイントは、次のベース URL を使用します。 `https://api.<REALM>.signalfx.com` `wss://stream.<REALM>.signalfx.com` API 認証スコープでアクセストークンを作成する際、トークンに関連付ける Splunk Observability Cloud のロールを少なくとも 1 つ選択します。 `power`、`usage`、`read_only` から選択できます。Splunk Observability Cloud のロールの詳細については、「Splunk Observability Cloud のロールについて」を参照してください。これらのエンドポイントに関する情報は、Splunk Observability CloudのAPIエンドポイントの概要を参照してください。

（オプション）トークンの説明を追加します。
Next を選択して次のステップに進みます。

トークンの表示と使用を許可する対象者を決定する

次に、トークンの権限を構成して、組織のユーザーやチームがトークンを使用できるようにします。次の手順を実行します。

表示権限を編集します。使用可能な権限を表示するには、[Access Token Permissions] ボックスを選択します。次の権限オプションが表示されます。
- [Only Admins can Read]：新しいトークンを表示または読み取ることができるのは、管理者ユーザーのみです。トークンは他のユーザーには表示されません。
- [Admins and Select Users or Teams can Read]：管理者ユーザーと、あなたが選択したユーザーまたはチームが、新しいトークンの表示または読み取りができます。トークンはその他のユーザーには表示されません。
- Everyone can Read：組織内のすべてのユーザーとチームが、このトークンの表示および読み取りができます。
権限を追加するには、Access Token Permissions の下にある矢印を選択します。
Admins and Select Users or Teams can Read を選択した場合は、アクセスを許可するユーザーまたはチームを選択します。手順は以下の通りです：
1. Add Team or User を選択します。Splunk Observability Cloud が、組織内のチームとユーザーのリストを表示します。
2. 大きなリストでチームまたはユーザー名を検索するには、検索ボックスへの名前の入力を開始します。Splunk Observability Cloud は一致する結果を返します。ユーザーまたはチームを選択します。
3. さらにチームやユーザーを追加する場合は、Add Team or User を再度選択します。
  
  注: このメッセージは、すべてのユーザーがこのチームに参加でき、このアクセストークンの表示または読み取りができることを意味します。
4. チームまたはユーザーを削除するには、チームまたはユーザー名の横にある削除アイコン（X）を選択します。
Next を選択して最後のステップに進みます。

有効期限の日付を設定する

トークンの有効期限を選択すると、トークンの作成が完了します。

[Expiration date] ボックスで、トークンが期限切れになる日付を選択します。有効期限をトークンの作成日から 18 年以上後にすることはできません。
Expiration alert ボックスで、以下のオプションのいずれかを選択します：
- Only admins can receive alert：トークンの有効期限の日付が近づくと、管理者のみにアラートが届きます。
- Admins and users or teams with token permissions can receive alert：トークンの有効期限の日付が近づくと、管理者とトークン権限を持つすべてのユーザーにアラートが届きます。
Create を選択して新しいトークンの作成を終了します。

アクセストークンのローテーション

アクセストークンメニューまたは Splunk Observability Cloud API を使用して、アクセストークンをローテーションできます。これにより、トークンの新しいシークレットが作成され、トークンの以前のシークレットが非アクティブになります。オプションで、以前のトークンシークレットが期限切れになるまでの猶予期間を指定できます。

トークンの有効期限が切れた後は、トークンをローテーションできません。有効期限が切れる前にトークンをローテーションしなかった場合、新しいトークンを作成して置き換える必要があります。

注: トークンをローテーションするには、Splunk Observability Cloudの管理者である必要があります。

トークンメニューを使用してアクセストークンをローテーションする

アクセストークンメニューを使用してトークンをローテーションするには、以下の手順にしたがいます：

Splunk Observability Cloudで、Settings を選択します。
Access tokens を選択します。
アクセストークンメニューで、ローテーションするトークンを選択します。
Rotate token を選択します。
新しいトークンシークレットの有効期限、および、（オプション）現在のトークンシークレットの猶予期間を入力します。
Rotate を選択します。

トークンのローテーションが終了したら、猶予期間が終了する前に、新しいトークンシークレットを使って OpenTelemetry Collector の構成を更新してください。

Splunk Observability Cloud APIを使用してアクセストークンをローテーションする

API を使用してアクセストークンをローテーションするには、Splunk Observability Cloud API の POST /token/{name}/rotate エンドポイントを使用します。トークンをローテーションする API コールは次のようになります。

curl -X  POST "https://api.{realm}.signalfx.com/v2/token/{name}/rotate?graceful={gracePeriod}&secondsUntilExpiry={secondsUntilExpiry}" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <your-user-session-api-token-value>"

以下の手順に従ってください：

realm フィールドに自分のSplunkレルムを入力します。
[your-user-session-api-token-value] フィールドに API セッショントークンを入力します。API セッショントークンを検索または作成するには、「Splunk Observability Cloud を使用したユーザー API アクセストークンの取得と管理」を参照してください。
name フィールドにローテーションさせたいトークンの名前を入力します。
オプションで、gracePeriod フィールドに、猶予期間を秒単位で指定します。
オプションで、[secondsUntilExpiry] フィールドにトークンが期限切れになるまでの秒数を指定します。これは、0 秒から 5,676,000,000 秒（18 年）までの任意の値に設定できます。未指定のままにすると、トークンは 30 日間有効のままになります。
APIエンドポイントを呼び出してトークンをローテーションします。

例えば、以下のAPIコールは、myToken をローテンションし、以前のトークンシークレットの有効期限が切れるまでの猶予期間を604800秒（7日間）に設定するものです。

curl -X POST "https://api.us0.signalfx.com/v2/token/myToken/rotate?graceful=6048000" \
   -H "Content-type: application/json" \
   -H "X-SF-TOKEN: <123456abcd>"

このエンドポイントの詳細やリクエストと応答の例を確認するには、Splunk 開発者向けドキュメントを参照してください。

アクセストークンの名前を変更する

以下の手順で、トークンの名前を変更します：

トークンのアクションメニュー（⋮）から [Edit Token] を選択します。
トークンの新しい名前を入力します。
OK を選択します。

トークンの名前を変更しても、トークンのシークレットには影響しません。

注: Cloud のインテグレーション（AWS、GCP、または Azure）の場合、アクセストークンの名前を変更した後、API を使用して新しいトークン名を選択する必要があります。AWS の場合、UI で新しいトークンを設定することもできます。

アクセストークンの無効化または有効化

注: トークンを削除することはできません。無効化することのみ可能です。

トークンを無効化するには、トークンのアクションメニュー（⋮）から [Deactivate] を選択します。

無効化されたトークンを有効化するには、無効化されたトークンのアクションメニュー（⋮）から [Activate] を選択します。

有効なトークンまたは無効なトークンの検索は、アクセストークンページで Status フィルターを使用して実行できます。

トークンの制限を管理する

ホスト数とコンテナ数の制限を含むアクセストークンの制限を変更するには、以下の手順に従います：

編集するトークンを選択します。これにより、トークンの詳細ページが開きます。
トークンのアクションメニュー（⋮）を選択し、[Manage limits] を選択します。
Manage limits メニューで、新しいトークンの制限を追加します。

トークン制限の詳細については、「Manage data ingest using access tokens」を参照してください。