合成モニタリングで安全な認証情報を使用して、パスワード、API キー、ユーザー名などの重要な情報を保存することができます。これにより、New Relic で明示的な許可を得ていない限り、スクリプトを使用したモニターユーザーがこれらの値を閲覧、更新、削除することができなくなります。
NewRelicまたはAPIを使用して安全な資格情報を設定できます。クレデンシャルは、 AWS Key Management Service(KMS)によって管理されるキーを使用して、保存時にAES-GCM256ビット暗号化を使用して安全に保存されます。
合成モニタリングのワークフローで機密情報を保護する方法については、こちらのショートビデオ(3分15秒)をご覧ください。
要件と限界
安全な認証情報を使用する前に 、以下の要件とガイドラインを確認してください。
認証情報の保護 | コメントコメント |
|---|---|
対象モニター | セキュアクレデンシャル機能は、 合成スクリプトのブラウザとAPIテストモニター でのみ利用可能です。 |
権限 | アカウント管理者は、 ユーザーの権限を管理することにより、どのユーザーが |
制限 | 最大で1,000件のセキュアな認証情報を持つことができます。 |
安全な認証情報の追加・更新
UIまたは合成モニタリングRESTAPIを使用して、安全なクレデンシャルを追加または更新できます。値は表示できず、キーのみが表示されることに注意してください。
スクリプト化されたブラウザまたはAPIテストモニターの安全なクレデンシャルキーをUIから追加、表示、編集、または削除するには、次の手順に従います。
one.newrelic.com > Synthetic monitoring > Secure credentialsに移動します。
新しい安全な資格情報を追加するには、 Create secure credential +ボタンを探します。 資格情報がすでに追加されている場合、このボタンは右上にあります。
- Keyを作成するためのヒント: 安全な資格情報を識別するために、ユーザー名またはその他の意味のあるキー名を選択します。 英数字またはアンダースコア
_文字を使用します。 キー名は大文字にする必要があります。 - Value作成するためのヒント: 英数字または特殊文字の任意の組み合わせを使用します。 最大10000文字。 このフィールドにはAPI経由ではアクセスできません。
- Keyを作成するためのヒント: 安全な資格情報を識別するために、ユーザー名またはその他の意味のあるキー名を選択します。 英数字またはアンダースコア
既存の資格情報を編集するには、省略記号をクリックしますオプションのアイコン。
安全な資格情報をスクリプトに追加すると、 Secure credentials UI に、その資格情報を使用するスクリプト モニターの数が表示されます。 この数値は概算であり、安全な資格情報を持つモニターが実際に実行された後にのみ更新されます。
ヒント
安全な認証情報を使用してモニターを作成する前に、安全な認証情報を作成する必要があります。このヒントは、Terraform などのコードとしてのインフラストラクチャ ツールを使用する場合に役立ちます。
スクリプトの更新
Synthetics UI エディタ を使用して、スクリプト付きブラウザや API テストモニタを作成する場合は、以下のガイドラインに従ってください。
Script | Guidelines |
|---|---|
形式 | セキュアクレデンシャルを参照するスクリプトのどこからでも、ドット表記の予約済みのNew Relic |
既存のクレデンシャル | 利用可能なセキュアな認証情報のリストを表示または選択するには、以下の手順に従います。
|
バリデーション | 安全なクレデンシャルを検証するには、標準的な手順に従って、 スクリプトのテスト または API テストの作成 を行います。 |
セキュアクレデンシャルの値を変更すると、それを使用するすべてのモニターに自動的に反映されます。スクリプトを更新する必要はありません。
Exception: スクリプトを更新し、ジョブがすでに処理中の場合、安全な資格情報の変更は次回ジョブが開始されるまで有効になりません。
安全な認証情報のためのセキュリティ
安全な認証情報のセキュリティを確保するために、 New Relic外形監視データとアラートの結果に送られるすべてのデータから安全な値をスクラブします。 New Relic employees cannot access secure credential values and must be added to the account to be able to view secure credentials 。
例
安全なクレデンシャルの名前はPASSWORDで、値はPass123!です。 NewRelicはPass123!をに置き換えます _SECURECREDENTIAL_
例えば、あるスクリプトには
$browser.get("https://example.com/" + $secure.PASSWORD)スクリプトの結果は、実際にはhttps://example.com/Pass123!に移動したにもかかわらず、合成モニターがhttps://example.com/_SECURECREDENTIAL_に移動したことを示しています。これにより、安全なクレデンシャルの値が結果に表示されなくなります。
再編集された情報
現在、モニターの結果から以下の内容を再編集しています。
- お客様のセキュアな認証情報の正確な値
- セキュアな認証情報の任意のパーセントエンコードされた値
使用中の認証情報を保護する
スクリプトを作成するときは、安全な資格情報が外部サイトに渡されたり、表示または開示されるような方法で Web サイトに入力されたりしないようにしてください。
上記で詳しく説明した保護メカニズムは、New Relic によって保存される認証情報や監視対象の Web サイトからのテキスト内応答の開示を防ぐように設計されています。ただし、スクリプト機能を使用すると、ユーザーが悪用した場合に資格情報が漏洩する可能性がある機能をユーザーが実装できます。New Relic は、監視対象のサイトや組織の個々のユーザーのアクションを制御しません。このため、組織によって完全に信頼され、許可されているユーザーにのみ、「資格情報を使用する」権限を付与する必要があります。Synthetics モニタリングで安全な認証情報の権限を更新するには、ユーザー管理の概念に従って安全な認証情報の機能を制御してください。
New Relic は、安全な認証情報を含むモニターの保存または検証のインスタンスをログに記録します。ログはNrAuditEvents経由でクエリ可能です。
