Группы пользователей, разрешения и политики: различия между версиями

Материал из Dynatrace
 
(не показаны 4 промежуточные версии этого же участника)
Строка 1: Строка 1:
Вам необходимо настроить группы пользователей в Ключ-АСТРОМ Managed, чтобы разрешить доступ к вашей среде мониторинга или вашему серверу Ключ-АСТРОМ.
Вам необходимо настроить группы пользователей в Dynatrace Managed, чтобы разрешить доступ к вашей среде мониторинга или вашему серверу Dynatrace.


== Управление группами и пользователями ==
== Управление группами и пользователями ==
Учетная запись администратора по умолчанию создается во время управляемой установки Ключ-АСТРОМ. Эта учетная запись существует независимо от выбранного вами типа аутентификации (внутренняя или LDAP). Учетная запись администратора по умолчанию имеет разрешения кластера.
Учетная запись администратора по умолчанию создается во время управляемой установки Dynatrace. Эта учетная запись существует независимо от выбранного вами типа аутентификации (внутренняя или LDAP). Учетная запись администратора по умолчанию имеет разрешения кластера.


Вы можете управлять пользователями и группами через Консоль управления кластером. В меню Ключ-АСТРОМ перейдите в раздел «Аутентификация пользователя» в меню навигации.
Вы можете управлять пользователями и группами через Консоль управления кластером. В меню Dynatrace перейдите в раздел «Аутентификация пользователя» в меню навигации.


=== Создать группу ===
=== Создать группу ===
Строка 32: Строка 32:


=== Разрешения кластера ===
=== Разрешения кластера ===
Пользователи, назначенные в группы с этим разрешением, автоматически получают права доступа администратора для всех сред. У них есть доступ к консоли управления кластером и они могут управлять вашей средой мониторинга и сервером Ключ-АСТРОМ. Пользователи, назначенные в группы с этим разрешением, также могут:
Пользователи, назначенные в группы с этим разрешением, автоматически получают права доступа администратора для всех сред. У них есть доступ к консоли управления кластером и они могут управлять вашей средой мониторинга и сервером Dynatrace. Пользователи, назначенные в группы с этим разрешением, также могут:


* Добавить новые узлы Ключ-АСТРОМ Server
* Добавить новые узлы Dynatrace Server
* Обновите сервер Ключ-АСТРОМ
* Обновите сервер Dynatrace
* Управление управляемыми пользователями и группами пользователей Ключ-АСТРОМ
* Управление управляемыми пользователями и группами пользователей Dynatrace
* Установите Ключ-АСТРОМ ЕдиныйАгент в любую среду мониторинга
* Установите Dynatrace OneAgent в любую среду мониторинга
* Настраивать параметры мониторинга для любой среды мониторинга
* Настраивать параметры мониторинга для любой среды мониторинга


=== Разрешения среды ===
=== Разрешения среды ===
Ключ-АСТРОМ предоставляет следующие разрешения на уровне среды. Выбрать все, что подходит:
Dynatrace предоставляет следующие разрешения на уровне среды. Выбрать все, что подходит:


* Среда доступа: разрешает доступ к среде только для чтения. Вы не можете изменять настройки или устанавливать ЕдиныйАгент только с этим разрешением.
* Среда доступа: разрешает доступ к среде только для чтения. Вы не можете изменять настройки или устанавливать OneAgent только с этим разрешением.


----<blockquote>'''<big>Важно</big>'''
----<blockquote>'''<big>Важно</big>'''
Строка 53: Строка 53:
----
----


* Изменить настройки мониторинга: позволяет изменять все настройки среды. Чтобы установить ЕдиныйАгент, вы должны предоставить разрешение на скачивание и установку ЕдиныйАгент.
* Изменить настройки мониторинга: позволяет изменять все настройки среды. Чтобы установить OneAgent, вы должны предоставить разрешение на скачивание и установку OneAgent.
* Загрузить и установить ЕдиныйАгент: позволяет загружать ЕдиныйАгент и устанавливать его на хостах. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
* Загрузить и установить OneAgent: позволяет загружать OneAgent и устанавливать его на хостах. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
* Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы».
* Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы».
* Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Ключ-АСТРОМ, включая загрузку дампов памяти. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****). Также позволяет вручную запускать дампы памяти.
* Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Dynatrace, включая загрузку дампов памяти. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****). Также позволяет вручную запускать дампы памяти.
* Настроить данные захвата запроса: позволяет настроить правила захвата атрибутов запроса. Их можно использовать для захвата таких элементов, как заголовки HTTP или параметры публикации, для хранения, фильтрации и поиска. Когда вы устанавливаете это разрешение, изменение настроек мониторинга включается автоматически.
* Настроить данные захвата запроса: позволяет настроить правила захвата атрибутов запроса. Их можно использовать для захвата таких элементов, как заголовки HTTP или параметры публикации, для хранения, фильтрации и поиска. Когда вы устанавливаете это разрешение, изменение настроек мониторинга включается автоматически.
* Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.
* Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Ключ-АСТРОМ Application Security.
* Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Dynatrace Application Security.
* Управление заявками в службу поддержки: разрешает доступ ко всем заявкам в службу поддержки, созданным для этой среды.
* Управление заявками в службу поддержки: разрешает доступ ко всем заявкам в службу поддержки, созданным для этой среды.


=== Разрешения зоны управления ===
=== Разрешения зоны управления ===
Имена зон управления добавляются к именам среды и отображаются, например, как <code>Env1::mz1</code>, <code>Env1::mz2</code>, <code>Env2::mza</code>, or <code>Env2::mzb</code>. Ключ-АСТРОМ предоставляет следующие разрешения на уровне зоны управления. (Загрузить и установить ЕдиныйАгент и Настроить данные захвата запросов выделены серым цветом, поскольку они не применяются к зонам управления.) Выберите все подходящие варианты:
Имена зон управления добавляются к именам среды и отображаются, например, как <code>Env1::mz1</code>, <code>Env1::mz2</code>, <code>Env2::mza</code>, or <code>Env2::mzb</code>. Dynatrace предоставляет следующие разрешения на уровне зоны управления. (Загрузить и установить OneAgent и Настроить данные захвата запросов выделены серым цветом, поскольку они не применяются к зонам управления.) Выберите все подходящие варианты:


* Среда доступа: разрешает доступ только для чтения к объектам в зоне управления. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
* Среда доступа: разрешает доступ только для чтения к объектам в зоне управления. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
Строка 78: Строка 78:
* Изменить настройки мониторинга: позволяет изменять настройки зоны управления, например, возможность записывать или редактировать синтетические мониторы.
* Изменить настройки мониторинга: позволяет изменять настройки зоны управления, например, возможность записывать или редактировать синтетические мониторы.
* Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы» для хостов, явно включенных в зону управления. Обратите внимание, что недостаточно предоставить доступ на уровне зоны управления к группам хостов, к которым они принадлежат - подробности см. В Правилах зоны управления.
* Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы» для хостов, явно включенных в зону управления. Обратите внимание, что недостаточно предоставить доступ на уровне зоны управления к группам хостов, к которым они принадлежат - подробности см. В Правилах зоны управления.
* Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Ключ-АСТРОМ, для объектов в зоне управления. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****) - см. Также Разрешения среды выше.
* Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Dynatrace, для объектов в зоне управления. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****) - см. Также Разрешения среды выше.
* Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.
* Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.
Строка 88: Строка 88:
* Если сеанс пользователя охватывает несколько приложений, не все из которых назначены зоне управления, пользователи по-прежнему могут видеть и воспроизводить сеанс. Однако действия пользователя, связанные с приложением, к которому у вас нет доступа, маскируются, и соответствующая часть воспроизведения не отображается.
* Если сеанс пользователя охватывает несколько приложений, не все из которых назначены зоне управления, пользователи по-прежнему могут видеть и воспроизводить сеанс. Однако действия пользователя, связанные с приложением, к которому у вас нет доступа, маскируются, и соответствующая часть воспроизведения не отображается.
* Кнопки воспроизведения неактивны для пользователей, которые имеют доступ к приложениям, но не имеют разрешения на воспроизведение сеансов.
* Кнопки воспроизведения неактивны для пользователей, которые имеют доступ к приложениям, но не имеют разрешения на воспроизведение сеансов.
** Пример страницы сведений о сеансе: настройки
*** -
** Пример страницы сведений о сеансе: уведомления
*** -


Дополнительные сведения о зонах управления см. В разделе Зоны управления.</blockquote>
Дополнительные сведения о зонах управления см. В разделе Зоны управления.</blockquote>
----
----


* Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Ключ-АСТРОМ Application Security.
* Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Dynatrace Application Security.


=== Взаимосвязь между средой и разрешениями зоны управления ===
=== Взаимосвязь между средой и разрешениями зоны управления ===
Строка 115: Строка 111:
Разрешениями пользователей также можно управлять с помощью политик IAM, которые обеспечивают более детальный контроль доступа. С помощью политик вы можете создавать свои собственные разрешения на доступ и назначать их группам пользователей на уровне кластера или среды, как и в случае с механизмом разрешений.
Разрешениями пользователей также можно управлять с помощью политик IAM, которые обеспечивают более детальный контроль доступа. С помощью политик вы можете создавать свои собственные разрешения на доступ и назначать их группам пользователей на уровне кластера или среды, как и в случае с механизмом разрешений.


Дополнительные сведения см. в разделе Управление политиками и группами с помощью Ключ-АСТРОМ IAM.
Дополнительные сведения см. в разделе Управление политиками и группами с помощью Dynatrace IAM.

Текущая версия на 11:13, 26 января 2023

Вам необходимо настроить группы пользователей в Dynatrace Managed, чтобы разрешить доступ к вашей среде мониторинга или вашему серверу Dynatrace.

Управление группами и пользователями

Учетная запись администратора по умолчанию создается во время управляемой установки Dynatrace. Эта учетная запись существует независимо от выбранного вами типа аутентификации (внутренняя или LDAP). Учетная запись администратора по умолчанию имеет разрешения кластера.

Вы можете управлять пользователями и группами через Консоль управления кластером. В меню Dynatrace перейдите в раздел «Аутентификация пользователя» в меню навигации.

Создать группу

1. В меню навигации выберите Аутентификация пользователя> Группы пользователей.

2. Выберите Добавить новую группу.

3. Назначьте разрешения только что созданной группе

  • Чтобы назначить права администратора группе, установите для параметра Предоставить разрешения глобального администратора этой группе значение Вкл. Группа будет иметь права доступа ко всем средам.
  • Чтобы назначить индивидуальные права доступа для каждой среды, введите разделенный запятыми список имен групп LDAP, которые должны быть сопоставлены этой группе пользователей.

Создать пользователя

1. Выберите Аутентификация пользователя> Учетные записи пользователей в меню навигации.

2. Выберите Добавить нового пользователя.

Примечание: Этот параметр доступен только в том случае, если вы используете внутреннюю базу данных, а не LDAP.

Распределить пользователя по группам

1. Выберите Аутентификация пользователя> Учетные записи пользователей в меню навигации.

2. Выберите пользователя.

3. Выберите «Добавить» в разделе «Добавить групповые назначения».

Примечание: Группа не может быть назначена, если для нее не указаны разрешения.

Разрешения

Вы можете назначить группе предопределенный набор разрешений. Как только группа определена, вы можете добавлять в нее пользователей. Пользователи могут принадлежать более чем к одной группе и наследовать разрешения групп, к которым они принадлежат. Вы можете изменять или создавать группы в соответствии с вашими потребностями.

Разрешения кластера

Пользователи, назначенные в группы с этим разрешением, автоматически получают права доступа администратора для всех сред. У них есть доступ к консоли управления кластером и они могут управлять вашей средой мониторинга и сервером Dynatrace. Пользователи, назначенные в группы с этим разрешением, также могут:

  • Добавить новые узлы Dynatrace Server
  • Обновите сервер Dynatrace
  • Управление управляемыми пользователями и группами пользователей Dynatrace
  • Установите Dynatrace OneAgent в любую среду мониторинга
  • Настраивать параметры мониторинга для любой среды мониторинга

Разрешения среды

Dynatrace предоставляет следующие разрешения на уровне среды. Выбрать все, что подходит:

  • Среда доступа: разрешает доступ к среде только для чтения. Вы не можете изменять настройки или устанавливать OneAgent только с этим разрешением.

Важно

Разрешение среды доступа требуется для любых других разрешений среды, поэтому среда доступа автоматически выбирается для среды, когда вы выбираете любое другое разрешение среды.


  • Изменить настройки мониторинга: позволяет изменять все настройки среды. Чтобы установить OneAgent, вы должны предоставить разрешение на скачивание и установку OneAgent.
  • Загрузить и установить OneAgent: позволяет загружать OneAgent и устанавливать его на хостах. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
  • Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы».
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Dynatrace, включая загрузку дампов памяти. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****). Также позволяет вручную запускать дампы памяти.
  • Настроить данные захвата запроса: позволяет настроить правила захвата атрибутов запроса. Их можно использовать для захвата таких элементов, как заголовки HTTP или параметры публикации, для хранения, фильтрации и поиска. Когда вы устанавливаете это разрешение, изменение настроек мониторинга включается автоматически.
  • Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
  • Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.
  • Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Dynatrace Application Security.
  • Управление заявками в службу поддержки: разрешает доступ ко всем заявкам в службу поддержки, созданным для этой среды.

Разрешения зоны управления

Имена зон управления добавляются к именам среды и отображаются, например, как Env1::mz1, Env1::mz2, Env2::mza, or Env2::mzb. Dynatrace предоставляет следующие разрешения на уровне зоны управления. (Загрузить и установить OneAgent и Настроить данные захвата запросов выделены серым цветом, поскольку они не применяются к зонам управления.) Выберите все подходящие варианты:

  • Среда доступа: разрешает доступ только для чтения к объектам в зоне управления. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.

Важно

Разрешение среды доступа требуется для любых других разрешений зоны управления, поэтому среда доступа автоматически выбирается для зоны управления при выборе любого другого разрешения зоны управления.


  • Изменить настройки мониторинга: позволяет изменять настройки зоны управления, например, возможность записывать или редактировать синтетические мониторы.
  • Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы» для хостов, явно включенных в зону управления. Обратите внимание, что недостаточно предоставить доступ на уровне зоны управления к группам хостов, к которым они принадлежат - подробности см. В Правилах зоны управления.
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные Dynatrace, для объектов в зоне управления. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****) - см. Также Разрешения среды выше.
  • Воспроизведение данных сеанса: позволяет воспроизводить записанные пользовательские сеансы с правилами маскирования воспроизведения, применяемыми во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не захватываются и, следовательно, всегда маскируются во время воспроизведения.
  • Воспроизведение данных сеанса без маскирования: позволяет воспроизводить записанные сеансы пользователя без применения правил маскирования воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда маскируются во время воспроизведения.

Важно

Чтобы разрешения на воспроизведение сеанса работали в зоне управления, пользователь также должен иметь доступ к необходимым приложениям.

  • Если сеанс пользователя охватывает несколько приложений, не все из которых назначены зоне управления, пользователи по-прежнему могут видеть и воспроизводить сеанс. Однако действия пользователя, связанные с приложением, к которому у вас нет доступа, маскируются, и соответствующая часть воспроизведения не отображается.
  • Кнопки воспроизведения неактивны для пользователей, которые имеют доступ к приложениям, но не имеют разрешения на воспроизведение сеансов.

Дополнительные сведения о зонах управления см. В разделе Зоны управления.


  • Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает Dynatrace Application Security.

Взаимосвязь между средой и разрешениями зоны управления


Важно

Когда вы предоставляете любое разрешение, кроме среды доступа на уровне среды, среда доступа автоматически включается также и для среды. Аналогичным образом, когда вы предоставляете любое разрешение, кроме среды доступа на уровне зоны управления, среда доступа автоматически включается для зоны управления.


Зоны управления предназначены для обеспечения целевого и ограниченного доступа к определенным объектам в среде. Если вы хотите предоставить разрешение пользователям, имеющим доступ к зоне управления, мы рекомендуем использовать разрешения на уровне зоны управления. Любые разрешения, которые вы предоставляете на уровне среды, заменяют разрешения на уровне зоны управления и дополняют их. Другими словами, разрешения зоны управления не могут использоваться для ограничения разрешений, уже предоставленных на уровне среды.

Возьмем, к примеру, зону управления, содержащую три хоста из пяти хостов в среде. Если вы предоставите разрешение «Просмотр журналов» для зоны управления, зрители смогут увидеть вкладку «Журналы» с информацией для трех хостов в зоне управления. Однако, если вы удалите такое же разрешение на уровне зоны управления и предоставите его на уровне среды, пользователи смогут:

  • Получите доступ ко всем зонам управления из фильтра зон управления в строке меню.
  • См. Вкладку «Журналы» для всех пяти хостов в среде при просмотре «Все зоны управления».
  • См. Вкладку «Журналы» для трех хостов в назначенной зоне управления, когда они переключаются на нее.

Политика IAM

Разрешениями пользователей также можно управлять с помощью политик IAM, которые обеспечивают более детальный контроль доступа. С помощью политик вы можете создавать свои собственные разрешения на доступ и назначать их группам пользователей на уровне кластера или среды, как и в случае с механизмом разрешений.

Дополнительные сведения см. в разделе Управление политиками и группами с помощью Dynatrace IAM.