ユーザー・アクセスの管理
Instana でユーザー アクセスを管理し、役割ベースのアクセス制御 (RBAC)、アクセス許可、アクセス レベルを設定できます。 ユーザーを招待し、ロールを作成し、ユーザーをロールに割り当てたり、特定の製品領域(スコープ)への設定されたアクセス権以上の異なるロールを持つチームにユーザーを追加することができます。
Instana は、組織内のチーム、役割、アクセスを管理する構造的な方法を提供します。 テナントとユニットの間に明確な境界線を設ける。 誰が何をできるかを正確にコントロールすることができる。 スケーラブルで安全なアクセス管理をサポートする。
- ユーザー:システムにアクセスする人。 ユーザーはチームまたは役割の一部です。
- テナント:ユーザーが所属する組織または顧客。
- ユニット:テナント内のサブグループまたは機能領域。 そのユニットには明確なスコープ(対象範囲)がある。
- チーム:ユーザーが所属するテナント内のグループ。 各チームはユニット内で活動する。
- スコープ:チームやユニットが責任を持ち、アクセスできる範囲を定義する。
- 役割:そのスコープ内でユーザーができることを指定します。 その範囲内で、ユーザーにはロール(できること)が割り当てられる。 ユーザーをチームに割り当てるにはロールが必要です
- APIトークン:ユーザーの役割に基づいてシステム・リソースへのアクセスを許可するセキュアなキー。 これらのロールは、安全なアクセスのためのAPIトークンにリンクされている。
アクセスは、以下の条件に基づいて許可される:
- ユーザーは誰か
- アクセスに必要なもの
- どのように交流させるか
役割ベースのアクセス制御
役割ベースのアクセス制御(RBAC)は、個々のユーザーに特定のアクションの実行を許可し、アクセス・スコープを可視化するために使用される。 各ユーザーは複数のロールに割り当てることができ、それぞれに関連するパーミッションがあります。
ロールは、すべての製品エリアへのアクセスを制限することも、制限しないこともできます。 ロールは Permissionスコープ設定によって定義されます。 ロールが特別な製品領域へのアクセスを制限されている場合、設定された可視スコープが適用されます。
- データサブプロセッサーとしてクライアントを管理する。
- コンプライアンス上、データを分離しなければならない企業でチームを管理する。
ユーザーの招待
- ナビゲーション・メニューで、 [設定 ] > [ セキュリティとアクセス ] > [ ユーザー ] > [ ユーザーを招待] をクリックします。
- 招待したい人のメールアドレスを入力してください。 デフォルトでは、
Defaultロールが新規ユーザーに割り当てられます。
招待されたユーザーは、アカウントのセットアップを完了するための E メールを受信します。 ID プロバイダを介して Instana UI にログインするユーザーは、自動的に作成されます。
役割の作成
チームとそのメンバーはテナントレベルで管理され、対応する権限とエリアはユニットごとに管理されます。
- ナビゲーションメニューで、 「設定」 >「 セキュリティとアクセス 」>「 ロール」の順にクリックします。 デフォルトでは、以下が利用可能:
Default:閲覧権限のみ有効。 SSOまたはLDAP認証によって作成されたユーザーには、このロールが自動的に割り当てられます。Owner:このロールは制限できません。
- 新しいロールをクリックします。
- ロールの名前を入力し、ロールが提供できるすべての権限を選択します。
- オプション:選択した権限をユニット全体に提供するために、ユーザーを直接ロールに割り当てます。
ロールが作成されると、各エリアに対してアクセス権や追加権限を付与することができます。
Web サイト
このロールを持つユーザーのウェブサイトへのアクセスを許可または禁止する。 お客様が付与した権限は、「ウェブサイト&モバイルアプリ」ページの 「ウェブサイト」 タブに適用されます。 ウェブサイトへのアクセス権限を有効にすると、デフォルトで閲覧権限が有効になります。
このロールに対して、以下の権限を有効にすることができます:
| 権限 | 説明 |
|---|---|
| ウェブサイトの作成、設定、削除 | ウェブサイトの作成、設定、削除 |
| Web サイトのスマート・アラートの構成 | ウェブサイトのスマート・アラートの作成と設定 |
モバイル・アプリ
このロールを持つユーザーがモバイルアプリを監視することを許可または禁止する。 許可する権限は、ウェブサイト&モバイルアプリページのモバイルアプリタブに適用されます。 モバイルアプリへのアクセス許可を有効にすると、デフォルトで閲覧許可が有効になります。
このロールに対して、以下の権限を有効にすることができます:
| 権限 | 説明 |
|---|---|
| モバイルアプリの作成、設定、削除 | モバイルアプリの作成、設定、削除 |
| モバイル・アプリケーション用のスマート・アラートの構成 | モバイルアプリ用スマートアラートの作成と設定 |
ビジネス・プロセス
このロールを持つユーザーに対して、ビジネス・パースペクティブおよび関連プロセスの監視を許可または禁止する。 ビジネス・プロセスへのアクセス権限を有効にすると、デフォルトでビジネス・パースペクティブとプロセスの閲覧が可能になる。
このロールに対して、以下の権限を有効にすることができます:
| 権限 | 説明 |
|---|---|
| ビジネス視点とプロセスの管理と設定 | ビジネスプロセスの作成、設定、削除 |
アプリケーション
このロールを持つユーザーにアプリケーションの監視を許可または禁止する。 あなたが付与したパーミッションは、アプリケーションページのアプリケーションタブに適用されます。 アプリケーションへのアクセス権限を有効にすると、デフォルトでアプリケーションのパースペクティブとその設定を表示できるようになります。
このロールに対して、以下の権限を有効にすることができます:
| 権限 | 説明 |
|---|---|
| トレース詳細ビューでコールの詳細を表示 | アクセストレースの詳細 |
| サービス・ルールおよびエンドポイント・マッピングのカスタマイズ | サービスとエンドポイントの設定 |
| アプリケーション・パースペクティブの作成と設定、削除 | アプリケーション・パースペクティブの作成、設定、削除 |
| アプリケーション用スマート・アラートの設定 | アプリケーションのスマート・アラートの作成と設定 |
| アプリケーションに関するグローバルなスマート・アラートの設定 | アプリケーション視点でのグローバル・スマート・アラートの作成と設定 |
GenAIの可観測性
このロールを持つユーザーが GenAI observability にアクセスし、Instana UI でジェネレーティブ AI (gen AI) アプリケーションのメトリクスとトレースを表示することを許可または禁止します。
プラットフォーム
このロールを持つユーザーに対して、以下のプラットフォームの監視を許可または禁止する。 このパーミッションは、デフォルトでは Kubernetes にのみ適用される。
このロールに対して以下の権限を有効にできます:
- 表示 Cloud Foundry
- IBM Power HMc を見る
- IBM PowerVCの表示
- IBM Z HMCの表示
- OpenStack 表示
- Kubernetes 表示
- Nutanix 表示
- SAP 表示
- vSphere 表示
SaaS,、これらのプラットフォームのモニタリング機能へのユーザーアクセスを設定するには、 SaaS のオプション機能へのアクセス設定を参照してください。
インフラストラクチャー
このロールを持つユーザーによるインフラストラクチャおよびインフラストラクチャ エンティティ ダッシュボードへのアクセスを許可または禁止します。
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| インフラストラクチャーの分析表示 | 分析許可 インフラモニタリング |
| ヒープ・ダンプの作成 | Instana UIからヒープダンプを作成する |
| スレッド・ダンプの作成 | Instana UIからスレッドダンプを作成する |
| インフラストラクチャーのグローバル・スマート・アラートの構成 | インフラストラクチャのグローバル・スマート・アラートの作成と設定 |
カスタム・ダッシュボード
このロールを持つユーザがカスタム・ダッシュボードにアクセスすることを許可または禁止します。
プライベートカスタムダッシュボードがチームに関連付けられている場合、ダッシュボードが公開されていなくても、そのチームのメンバー全員がダッシュボードを表示、編集、削除できます。 しかし、ウィジェットで可視化されるデータは、ユーザーのアクセス範囲によって制限される。
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| すべてのユーザーおよび API トークンとのカスタム・ダッシュボードの公開共有 | プライベートカスタムダッシュボードを、このInstanaユニットのすべてのユーザーとAPIトークンで共有します。 さらに、この許可により、パブリック・カスタム・ダッシュボードに編集者を割り当てることができます。 この権限を持つユーザーは、全ユーザーの名前とメールアドレス、全APIトークンIDとその名前の完全なリストを表示できます。 このパーミッションはオーナーレベルのパーミッションである。 |
| すべてのパブリック・カスタム・ダッシュボードの管理 | この権限は、共有カスタム・ダッシュボードを編集および削除する権限を付与します。 この権限により、共有されたカスタムダッシュボード、および現在または削除された他のユーザーによって共有されたカスタムダッシュボードの編集または削除が可能になります |
| サービス・レベル指標の構成 | SLIの定義と設定が可能 |
Logs
このロールを持つユーザーのログへのアクセスを許可または禁止する。 ログへのアクセス権限を有効にすると、デフォルトでログ分析の閲覧が可能になる。 このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| ログ分析ツール統合の構成 | ログ分析ツール統合のアクセス設定 |
| ログ削除 | ログの削除 |
| ログ用のグローバル・スマート・アラートの構成 | ログのグローバル・スマート・アラートの作成と設定 |
| アクセスログ取り込み量レポート | アナリティクス製品領域でログを表示し、許可されている場合はアプリケーションおよびインフラストラクチャ領域でも表示します |
| ログ分析ツール統合の構成 | ログ分析ツール統合のアクセス設定 |
| ログの保存期間の設定 | ログ保存期間のアクセス設定 |
シンセティック・モニタリング
ユーザーが合成テストやロケーションを監視することを許可または禁止する。 あなたが付与したパーミッションは、Synthetic monitoring UI上の Tests タブと Locations タブに適用されます。 シンセティック・モニタリングへのアクセス権限を有効にすると、シンセティック・テストとそのコンフィギュレーションをデフォルトで表示できるようになる。
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| 合成テストにアクセスし、その設定を表示する | 合成テストとその設定にアクセスする |
| 合成テストの作成、実行、設定、削除 | 合成テストの管理 |
| 合成モニタリング用のスマート・アラートの設定 | 合成テストを監視するためのスマート・アラートの設定 |
| 合成ロケーションの設定と削除 | 合成テストのロケーションの設定と削除 |
| シンセティック資格情報を使用するためのアクセス | 合成認証情報を表示(読み取り専用、変更不可) |
| 合成認証情報の設定と削除 | 合成テストの認証情報の設定と削除 |
自動化
ユーザーのオートメーションへのアクセスを許可または禁止することができます。 付与した権限は、 Automation の Action Catalog、 Action History、 Policies タブに適用されます。 オートメーションへのアクセス権限を有効にすると、デフォルトでアクション、ポリシー、アクション履歴の閲覧が可能になる。
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| 自動化アクション、ポリシー、履歴にアクセス | オートメーション・アクション、ポリシー、履歴の表示 |
| 自動化アクションの実行 | 自動化されたアクションの実行 |
| 自動化ポリシーの構成 | 自動化ポリシーの作成、設定、削除 |
| オートメーション・アクション履歴の削除 | オートメーション・アクション履歴の削除 |
AIゲートウェイ(パブリック・プレビュー)
AIゲートウェイへのユーザーアクセスを許可または禁止することができます。 付与した権限は、 AI ゲートウェイの LLM ゲートウェイ ・タブに適用されます。 AIゲートウェイへのアクセス権限を有効にすると、デフォルトでLLMゲートウェイの表示が可能になる。
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| AIゲートウェイへのアクセス | LLMゲートウェイを見る |
| LLMゲートウェイの作成、構成、削除。 | LLMゲートウェイの設定と削除 |
イベントおよびアラートの管理
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| アラート・チャネルの構成 | アラートチャンネルの作成と設定 |
| イベントおよびアラートの構成 | イベント、アラート、スマートアラートを作成し、設定する |
| 保守ウィンドウの構成 | メンテナンスウィンドウの設定 |
| アラート用のグローバル・カスタム・ペイロードの構成 | グローバルスマートアラートの作成と設定。 |
| イベント (問題) のマニュアルによるクローズ | インスタナのイベントを手動で閉じる |
グローバル関数
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| 個人用 API トークンの構成 | ユーザーのアクセス権を継承する個人用 API トークンの作成と構成を許可します。 |
| リリースの構成 | リリースの構成を許可します。 |
| サービス & エンドポイント・マッピング | サービスおよびエンドポイントの構成を許可します。 |
| アカウントおよび請求情報に対するアクセス権限 | アカウント、課金、ライセンス情報へのアクセスを許可します。 |
データ・ソース
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| エージェントのダウンロードおよびエージェント・キーの可視性 | エージェントにアクセスし、設定する。 |
| エージェントの構成 | Instana UI からすべてのエージェントを設定する。 |
| エージェント・モードの構成 | Instana UI からエージェントモードを作成します。 |
アクセス制御
このロールに対して以下の権限を有効にできます:
| 権限 | 説明 |
|---|---|
| ユーザー管理 | ユーザーアカウントの招待、変更、削除。 |
| チーム管理 | すべてのチームと役割に対してアクセス範囲と権限を設定する。 これは所有者レベルの権限です。 |
| API トークンの構成 | APIトークンの作成と設定 このパーミッションはオーナーレベルのパーミッションである。 |
| 認証方式の構成 | 認証方法を設定する(例: 2FA/SSO )。 |
| 監査証跡へのアクセス | 全ユーザーの監査証跡にアクセスする。 すべてのユーザーの活動は監査証跡に記録されます。 |
| トークンおよびセッション・タイムアウトの設定に対するアクセス権限 | アクセストークンとセッションタイムアウトの設定 |
パーミッションはユニットレベルで適用される。
ロール間の権限の優先順位
ユーザーに複数のロールが割り当てられており、これらのロールで付与されるパーミッションが同じでない場合は、低い方のパーミッションが適用されます。
ユーザに複数のロールが割り当てられ、少なくとも1つのロールにパーミッションが付与されている場合、そのパーミッションはユーザに適用されます。 このルールは、 追加権限、 イベントとアラート、およびグローバル機能に適用されます。
チームの作成
新しいチームを作成するには、以下の手順に従ってください:
- ナビゲーションメニューで、 「設定」 >「 セキュリティとアクセス 」>「 チーム 」をクリックします。
- 新しいチーム 」をクリックする。
- 新しいチームの名前を「 名前 」フィールドに入力してください。
- 説明(任意) 欄に、チームの目的を追加してください。
- 保存 をクリックします。
- 「ユーザーの追加」をクリックします。 追加するユーザーの選択ダイアログが表示されます。
- チームに追加するユーザーを選択します。
- 保存 をクリックします。
チームのスコープを設定する
チームスコープが定義されるまでは、メンバーはユニットスコープ全体に与えられた役割で活動する。
チーム内のメンバーは、異なるロールが与えられていても、ユニット上のアクセス範囲を共有する。 チームメンバーに割り当てられたロールが、チームのスコープに適用できることを確認する。
Instanaの製品分野ごとにエンティティを選択したり、フィルタを定義したりして、チームスコープに追加できます。
エリアごとに範囲を設定できる。
ユーザーは、デフォルトのスコープからチーム固有のスコープに切り替えることができます。 スコープを切り替えるには、 Profileをクリックし、 Scope メニューでスコープを選択する。
ユーザーはチームに追加された後にのみスコープを選択できます。 スコープの選択はチームメンバーに基づいて行われる。 デフォルトのスコープは、直接割り当てられたすべてのロールの権限の組み合わせを反映します。一方、各チームのスコープは、そのチームに対して定義された内容にアクセスと権限を制限します。
設定とアクセス権は、管理者が割り当てたスコープに制限されるが、デフォルトのスコープではより広い可視性が確保される。
役割: ユーザーが特定の範囲内で実行できる操作を定義します。 ロールはこれらの権限を決定し、ユーザーをチームに割り当てるために必要です。デフォルトや所有者などの組み込みロールを使用できます。
Web サイト
テナントにあるユニット上のすべてのウェブサイトへのアクセスを許可することも、選択したウェブサイトへのアクセスを許可することもできます。
テナントのユニット上のすべてのWebサイトへのアクセスを許可するには、「 Entire <unit-tenant>」をクリックします。
選択したウェブサイトへのアクセスを許可する:
- 選択したウェブサイトをクリックします。
- ウェブサイトの追加をクリックします。
- ウェブサイトの追加ダイアログで、ウェブサイトを選択します。
- 完了をクリックする。
- 保存 をクリックします。
モバイル・アプリ
テナントにあるユニット上のすべてのモバイルアプリへのアクセスを許可することも、選択したモバイルアプリへのアクセスを許可することもできます。
テナントのユニット上のすべてのモバイルアプリへのアクセスを許可するには、「 Entire <unit-tenant>」をクリックします。
選択したモバイルアプリへのアクセスを許可する:
- 選択したモバイルアプリをクリックします。
- モバイルアプリの追加をクリックします。
- モバイルアプリの追加ダイアログで、モバイルアプリを選択します。
- 完了をクリックする。
- 保存 をクリックします。
ビジネス・プロセス
テナント上のユニットのすべてのビジネス・パースペクティブにアクセス権を付与することも、選択したビジネス・パースペクティブにアクセス権を付与することもできます。
テナントにあるユニット上のすべてのビジネス観点へのアクセスを許可するには、[ Entire <unit-tenant>]をクリックします。
選択したビジネス・パースペクティブへのアクセスを許可します:
- 選択したビジネス・パースペクティブ ]をクリックします。
- ビジネス視点の追加 ]をクリックします。
- ビジネス・パースペクティブの追加] ダイアログで、ビジネス・パースペクティブを選択します。
- 完了をクリックする。
- 保存 をクリックします。
アプリケーション
テナントにあるユニット上のすべてのアプリケーションへのアクセスを許可することも、選択したアプリケーションへのアクセスを許可することもできます。
テナントのユニット上のすべてのアプリケーションのパースペクティブへのアクセスを許可するには、[ 全体]をクリックします。
選択したアプリケーションのパースペクティブへのアクセスを許可します:
- 選択したアプリケーションのパースペクティブ ]をクリックします。
- アプリケーションのパースペクティブを追加 ]をクリックします。
- Add application perspectives ダイアログで、ウェブサイトを選択します。
- 完了をクリックする。
- オプション: アプリケーションの パースペクティブを参照してください。
- 保存 をクリックします。
Kubernetes
テナント上のユニット上の Kubernetes にあるすべてのネームスペースとクラスタにアクセス権を付与することも、選択したネームスペースとクラスタにアクセス権を付与することもできます。
テナント上のユニット上の Kubernetes、すべてのネームスペースとクラスタへのアクセスを許可するには、[ Entire <unit-tenant> ]をクリックします。
選択した Kubernetes 内のネームスペースおよびクラスタへのアクセスを許可する:
- Selected namespaces and clusters ]をクリックします。
- Add namespaces をクリックします。
- ネームスペースの追加ダイアログで、ネームスペースを選択します。
- 完了をクリック
- クラスタの追加をクリックします。
- クラスターの追加ダイアログで、クラスターを選択します。
- 完了をクリックする。
- 保存 をクリックします。
インフラストラクチャー
テナントのユニット上のすべてのインフラへのアクセスを許可することも、限られたインフラへのアクセスを許可することもできます。
テナントのユニット上のすべてのインフラストラクチャへのアクセスを許可するには、[ Entire <unit-tenant>]をクリックします。
限られたインフラへのアクセスを許可すること:
- 限られたインフラをクリックする。 他のInstana領域で定義されているスコープに関連するインフラストラクチャのエンティティやエージェントは、自動的にスコープに追加されます。
- オプション: ダイナミック・フォーカス・クエリ(DFQ)を使用した追加アクセスを許可する] チェックボックスを選択します。 詳細については、 「動的フォーカスによるフィルタリング」 を参照してください。 ダイナミック・フォーカス・クエリー(DFQ) フィールドに、クエリーを入力します。
- 保存 をクリックします。
シンセティック・モニタリング
テナント内のユニットにあるすべての合成監視テストと認証情報へのアクセス権を付与するか、選択した合成監視テストと認証情報へのアクセス権を付与することができます。 管理者によって追加された項目は、「Selected ***」タブに一覧表示されます。 テストまたはクレデンシャルがアプリケーション、ウェブサイト、またはモバイル・ア プリに関連付けられている場合は、チーム・スコープに含まれる。 試験または資格は、チーム・アソシエーションを通じてチームに関連付けられる。
テナント上のユニット上のすべての総合モニタリングテストおよび資格情報へのアクセスを許可するには、[ Entire <unit-tenant>]をクリックします。
選択した Synthetic モニタリングテストおよび資格情報へのアクセスを許可する:
- 選択した、または関連するテストと資格情報をクリックします。
- Add testsをクリックする。
- テストの追加ダイアログで、テストを選択します。
- 完了をクリックする。
- 資格情報の追加をクリックする。
- クレデンシャルの追加ダイアログで、クレデンシャルを選択する。
- 完了をクリックする。
- 保存 をクリックします。
イベントおよびアラートの管理
テナント上のユニットのすべてのイベントおよびアラート・チャンネルへのアクセスを許可するか、チームに関連付けられたアラート・チャンネルへのアクセスを許可することができます。
テナント上のユニットのすべてのイベントおよびアラート・チャンネルへのアクセスを許可するには、[ Entire <unit-tenant>]をクリックします。
チームに関連するイベントやアラート・チャンネルへのアクセスを許可する:
- チーム関連のアラートチャンネルをクリックします。
- 保存 をクリックします。
自動化
テナント上のユニット上のすべてのオートメーション・タスクへのアクセスを許可するか、フィルタを使用してアクセスを許可することができます。
テナント上のユニットのすべての自動化タスクへのアクセスを許可するには、[ Entire <unit-tenant> ]をクリックします。
自動化タスクへのアクセスをユーザーフィルターにかける:
- アクションタグとフィルターでフィルターをクリックします。
- Action type(アクションタイプ )フィールドから、アクションタイプを選択する。
- タグフィールドからタグを選択する。
- 保存 をクリックします。
APIトークンの作成
APIトークンは、設定された権限に基づいてテナント単位内のシステムリソースへのアクセスを許可する安全なキーです。 これらの権限は、安全なアクセスを確保するためにAPIトークンと紐付けられています。 APIトークンを使用することで、ユーザーはInstana上のテナントユニットに関するすべてのデータを閲覧およびアクセスできます。
APIトークン(通常):管理者によって作成・管理されます。 トークンは、作成時に定義されたパーミッションを持つ特定のユニットで有効です。 パーソナルAPIトークン: ユーザーがパーミッションを持っている場合に作成されます。 Personal APIトークンは、ユーザーのロールの権限をいつでも継承します。 これらのAPIトークンは、その範囲に制限はない。
APIトークンを作成する:
- ナビゲーション・メニューで、 「Settings(設定)」 > 「 Security & Access(セキュリティとアクセス )」 > 「 API tokens(APIトークン) 」の順にクリックします。
- トークンの名前を入力します。
- トークンの有効期限を設定します。
- New API tokenをクリックします。 新しいAPIトークンの作成ダイアログが表示されます。
- オプション:所有者権限を設定し、権限を切り替えます。
- オプション:追加のパーミッションを設定し、パーミッションを切り替えます。
- 保存 をクリックします。