Токены платформы¶

Latest Dynatrace

Токены платформы — это долгоживущие токены доступа, обеспечивающие программный доступ к сервисам платформы Dynatrace. Они могут быть созданы обычными пользователями и работают в рамках назначенных пользователю разрешений.

Токены платформы являются удобной альтернативой клиентам OAuth и подходят для процессов и приложений, которые напрямую интегрируются с API Dynatrace. Они могут быть назначены пользователю, который их создаёт, или сервисному пользователю, к которому создающий пользователь имеет доступ.

Для токенов платформы можно установить срок действия или сделать их бессрочными.

Эти свойства делают токены платформы хорошим кандидатом для различных интеграций с платформой Dynatrace, таких как:

Выполнение запланированного запроса Grail для экспорта данных и ETL
Отправка бизнес-метрик и событий через API
Скрипт для синхронизации дашбордов между несколькими средами

Как использовать токен платформы¶

Токены платформы можно использовать напрямую с API, предоставляемыми сервисами платформы Dynatrace. Для использования токена платформы передайте его в заголовке Authorization:

Authorization: Bearer <platformtoken>

Чтобы получить обзор всех сервисов, поддерживающих токены платформы, перейдите в Dynatrace API explorer. В Dynatrace найдите Dynatrace API и выберите результат.

Вы также можете напрямую вставить токен платформы в поле Authorization в Dynatrace API explorer для быстрого экспериментирования и тестирования.

Мои токены платформы¶

Эта функция доступна для обычных пользователей. Каждый пользователь может создавать токены платформы во всех аккаунтах, участником которых он является.

Все перечисленные ниже операции управления токенами платформы выполняются на страницах Account Management.

Перейдите в Мои токены платформы.

Откроется страница https://myaccount.dynatrace.com/platformTokens, которую вы можете добавить в закладки для быстрого доступа к управлению токенами платформы. 2. Вам будет представлена таблица со списком всех ваших токенов платформы.

На этой странице перечислены все ваши токены платформы, и вы можете создавать, удалять или отключать свои токены.

Создание нового токена платформы¶

Каждый пользователь может создать до 10 токенов платформы в рамках одного аккаунта.

Выберите Platform token и укажите:
Token Name
Expiration date
Account
Apply to account
Environments.
- Если выбрано apply to account, эта опция недоступна.
- Выберите, будет ли новый токен сгенерирован для вас (по умолчанию) или для сервисного пользователя, к которому у вас есть доступ.
- Выберите области действия токена в таблице ниже
Таблица предоставляет список областей действия, соответствующих отдельным конечным точкам API.
Перейдите в Dynatrace API explorer, чтобы увидеть соответствие между областями действия токена и конечными точками API.
ВАЖНО: Токен платформы работает только в рамках разрешений назначенного пользователя. Это означает, что выбранная область действия предоставляет доступ только в том случае, если у пользователя есть соответствующие разрешения.
Выберите Generate, чтобы сгенерировать токен платформы.
Созданный токен будет показан только один раз, поэтому обязательно скопируйте его в безопасное место.
После сохранения токена выберите Finish and exit, чтобы вернуться к списку токенов платформы.

Отключение токена платформы¶

Найдите токен платформы, который вы хотите отключить, в обзорном списке.
В столбце Actions выберите > Disable.
Выберите Cancel для отмены или Disable для подтверждения.
В диалоговом окне отображается ID токена для подтверждения.

Отключённый токен нельзя использовать в API, но его можно позже повторно включить для продолжения использования. Это удобно, если вы хотите временно заблокировать токен.

Отключение токена платформы происходит мгновенно, но для распространения изменения может потребоваться до пяти минут.

Удаление токена платформы¶

Найдите токен платформы, который вы хотите удалить, в обзорном списке.
В столбце Actions выберите > Delete.
Выберите Cancel для отмены или Disable для подтверждения.
В диалоговом окне отображается ID токена для подтверждения.

Дублирование токена платформы¶

Найдите токен платформы, который вы хотите дублировать, в обзорном списке.
В столбце Actions выберите > Duplicate.
Запускается процесс создания с точной копией свойств исходного токена и именем "Duplicate of:" <token-name>.
Измените свойства по своему усмотрению и выберите Generate.
После дублирования токена — это единственный момент, когда вы можете просмотреть его и скопировать для дальнейшего использования.
После сохранения токена выберите Finish and exit, чтобы вернуться к списку токенов платформы.

Ротация токена платформы¶

Регулярная ротация токенов является лучшей практикой безопасности.

Чтобы выполнить ротацию активного токена

Найдите токен платформы, который вы хотите ротировать, в обзорном списке.
В столбце Actions выберите > Rotate.
Выберите, когда истечёт срок действия старого токена
Вы можете выбрать немедленное истечение или отложить его на более позднее время, чтобы обеспечить перекрытие между двумя токенами.
Выберите имя.
Чтобы отличить ротированный токен от оригинала, вы можете добавить текущую дату в имя токена. старый: K8s operator новый: K8s operator 10.09.2024
Примите предложенный срок действия или измените его.
Выберите Rotate.
Не забудьте заменить старый токен новым во всех местах, где вы его используете.

Токены с истёкшим сроком действия¶

Токены с истёкшим сроком действия продолжают отображаться в обзорном списке, пока вы или администратор аккаунта не решите их удалить.

Управление токенами пользователей¶

Администраторы аккаунтов могут отключать или удалять токены платформы, созданные всеми пользователями в их аккаунте. Действия по управлению в интерфейсе Account Management выполняются аналогично описанным выше действиям для обычных пользователей.

Отключение создания токенов платформы для всего аккаунта¶

Администраторы аккаунтов могут включать или отключать создание новых токенов платформы для данного аккаунта.

В Account Management перейдите в Identity & access management > Platform tokens.
Отключите Allow to manage platform tokens и подтвердите диалог, нажав Deny.
Необязательно: чтобы отключить использование существующих токенов платформы, выберите конкретные или все токены с помощью чекбоксов слева и нажмите Disable в верхней части списка.
Необязательно: чтобы удалить существующие токены платформы, выберите конкретные или все токены с помощью чекбоксов слева и нажмите Delete в верхней части списка.

Чтобы повторно включить создание новых токенов платформы, включите Allow to manage platform tokens и подтвердите диалог, нажав Allow.

Разрешение пользователям генерировать токены платформы для сервисных пользователей¶

Чтобы разрешить пользователям генерировать токены платформы для существующих сервисных пользователей, администратор аккаунта должен назначить разрешение iam:service-users:use и, при необходимости, ограничить его с помощью iam:service-user-email для одной или нескольких групп. Пример политики может выглядеть следующим образом:

ALLOW iam:service-users:use


WHERE iam:service-user-email IN ("abc@service.sso.dynatrace.com", "def@service.sso.dynatrace.com");

Требования к токенам платформы¶

Пользователь может сгенерировать максимум 10 токенов платформы для данного аккаунта.
Токен платформы привязан только к одному аккаунту и не может использоваться для доступа к другим аккаунтам.
Область действия токена платформы может быть дополнительно ограничена для работы только с одной или несколькими средами в рамках аккаунта, для которого выпущен токен.
Имя токена платформы не может превышать 255 символов.
Использование токенов платформы с истёкшим сроком действия для доступа к Dynatrace возвращает HTTP-ошибку 403.

Доступные сервисы для токенов платформы¶

Следующие сервисы поддерживаются токенами платформы:

app-engine
automation
notification
davis
davis-copilot
document
email
iam
platform-management
storage
settings
app-settings
state
state-management