組織内の特定のデータにアクセスできるユーザーを制御することは、セキュリティ、コンプライアンス、データ ガバナンスにとって不可欠です。New Relic のロールベースのアクセス制御はユーザーがアクセスできる機能を管理しますが、 data access controlユーザーが表示できる特定のデータを管理します。
現在、ログ データに対してデータ アクセス制御が利用可能であり、特定のログ パーティションへのユーザー アクセスを制限できます。
使い方
大規模な組織では、さまざまなチーム、サービス、環境にわたって膨大な量のログが生成されます。セキュリティ チームは個人を特定できる情報 (PII) が含まれる可能性のある重要なセキュリティ ログを監視する必要がありますが、開発チームは特定のマイクロサービスに関連するログのみを確認する必要があります。 Data access control使用すると、各チームがアクセスできるログ パーティションを正確に定義するポリシーを作成できます。
特定のログ パーティションへのアクセスを制限するデータ アクセス ポリシーを作成し、アクセス許可を介してユーザー グループに割り当てます。ポリシーが割り当てられたグループ内のユーザーは、そのポリシーで許可されたログ パーティションにのみアクセスできます。
すべて拒否のアプローチから始めて、必要なパーティションへのアクセスのみを許可する許可ポリシーを追加することをお勧めします。これは最小権限の原則に従い、ユーザーが必要なデータにのみアクセスできるようにします。
重要な概念:
- データ アクセス ポリシー: 「許可」リストまたは拒否リストを使用して、ユーザーがアクセスできるログ パーティションを定義します。
- ポリシーの割り当て: ポリシーは、 Access Management* UI を介してグループに割り当てられます。
- ワイルドカード マッチング: 複数のパーティションを一致させるには、
%ワイルドカードとして使用します (例:log_prod%"log_prod" で始まるすべてのパーティションに一致します)。 - 複数のポリシー: ユーザーが異なるポリシーを持つ複数のグループに属している場合、最も許可の高いアクセスが適用されます。
重要
アクセスが制限されているユーザーは、履歴エクスポート、集計通知、またはInsights APIを通じて、制限付きログ パーティションからの情報を引き続き参照できる可能性があります。 詳細と軽減策については、潜在的なデータ漏洩リスクを参照してください。
要件
データ アクセス ポリシーを作成および管理するには、次のものが必要です。
データアクセスポリシーを作成して割り当てる
UI またはNerdGraph APIを通じてデータ アクセス ポリシーを作成し、割り当てることができます。UI を通じてポリシーを作成するには、次の手順を参照してください。
ポリシーの作成
one.newrelic.com > Administration > Access Management > Data access policiesに移動します。
Create a policy (既存のポリシーがある場合はAdd a policy ) をクリックします。
ポリシーの名前を入力します。
条件を選択してください:
- Deny selected: 選択したログ パーティションへのアクセスをブロックします。
- Allow selected: 選択したログ パーティションへのアクセスのみを許可します。
Filter partitions by accountドロップダウンから、ログ パーティション リストを絞り込むアカウントを選択します。
ポリシーに含めるログ パーティションを選択します。
- ドロップダウンからパーティションを選択するか、
- パーティション名またはワイルドカード (複数のパーティションに一致する場合は
log_go%など) をコンマで区切って入力します。
設定を確認するには、 Review policyクリックします。
Create policyをクリックします。
ポリシーはData access policiesタブに表示されます。表示、編集、削除するには、 メニュー。
ポリシーをグループに割り当てる
Administration > Access Management > Grantsに移動します。
ポリシーを割り当てる権限を見つけて、 その横にあるメニュー。
Add data access policyを選択します。
Policiesドロップダウンからポリシーを選択します。
Saveをクリックします。
Policy name列には割り当てられたポリシーが表示されます。削除または変更するには、 メニュー。
複数のポリシーとアクセス解決
ユーザーが、異なるデータ アクセス ポリシーを持つ複数のグループに属している場合:
- ポリシーの組み合わせを許可: ユーザーはグループ全体で許可されているすべてのパーティションにアクセスできます。たとえば、グループ A が
log_frontend%を許可し、グループ B がlog_backend%を許可している場合、ユーザーは両方にアクセスできます。 - 拒否ポリシーの上書き: 拒否ポリシーは許可ポリシーを上書きします。たとえば、グループ A が
log_%許可し、グループ B がlog_sensitiveを拒否した場合、ユーザーはlog_sensitiveを除くすべてのパーティションにアクセスできます。
ユーザーに適用されるポリシーを表示するには、 Administration > Access Management > Grantsに移動し、そのグループのPolicy name列を確認します。
潜在的なデータ漏洩リスク
データ アクセス制御により、ほとんどの New Relic 機能でログ データへのアクセスが制限されますが、ユーザーが制限されたデータを見る可能性があるシナリオもあります。