Vous pouvez utiliser des informations d'identification sécurisées avec monitoring Synthétique pour stocker des informations critiques, telles que les mots de passe, la clé API, les noms d'utilisateur, etc. Cela empêche l'utilisateur du moniteur scripté d'afficher, de mettre à jour ou de supprimer ces valeurs à moins qu'il ne dispose d'autorisations explicites dans New Relic.
Vous pouvez définir des informations d'identification sécurisées dans New Relic ou avec l'API. Les informations d'identification sont stockées en toute sécurité à l'aide du chiffrement AES-GCM 256 bits au repos avec des clés gérées par AWS Key Management Service (KMS).
Pour savoir comment sécuriser les informations sensibles dans votre workflow monitoring Synthétique, regardez cette courte vidéo (3:15 minutes) :
Exigences et limites
Avant d’utiliser des informations d’identification sécurisées, consultez ces exigences et directives :
Identifiants sécurisés | Commentaires |
|---|---|
Moniteur applicable | La fonctionnalité d'informations d'identification sécurisées est disponible pour les navigateurs scriptés Synthétique et pour le moniteur de test API et le moniteur d'étapes. Voir Types de moniteurs synthétiques pour plus d'informations. |
Autorisations | L'administrateur du compte peut contrôler quel utilisateur peut |
Limite | Vous pouvez avoir un maximum de 1 000 identifiants sécurisés. |
Ajouter ou mettre à jour des informations d'identification sécurisées
Vous pouvez ajouter ou mettre à jour des informations d'identification sécurisées à l'aide de l'interface utilisateur ou de l'API REST de monitoring Synthétique. Attention, les valeurs ne peuvent pas être affichées, uniquement les clés.
Pour ajouter, afficher, modifier ou supprimer une clé d'identification sécurisée pour un navigateur scripté ou un moniteur de test d'API à partir de l'interface utilisateur :
Allez à one.newrelic.com > Synthetic monitoring > Secure credentials.
Pour ajouter un nouvel identifiant sécurisé, recherchez le bouton Create secure credential + . Si vous avez déjà ajouté des informations d'identification, ce bouton se trouve en haut à droite.
- Conseils pour créer le Key: choisissez un nom d'utilisateur ou un autre nom de clé significatif pour identifier les informations d'identification sécurisées. Utilisez des caractères alphanumériques ou des traits de soulignement
_. Les noms de clés doivent être en MAJUSCULES. - Conseils pour créer le Value: utilisez n’importe quelle combinaison de caractères alphanumériques ou spéciaux. 10000 caractères maximum. Ce champ n'est pas accessible via l'API.
- Conseils pour créer le Key: choisissez un nom d'utilisateur ou un autre nom de clé significatif pour identifier les informations d'identification sécurisées. Utilisez des caractères alphanumériques ou des traits de soulignement
Pour modifier un justificatif d'identité existant, cliquez sur les points de suspension icône pour les options.
Associez les informations d'identification sécurisées à un navigateur scripté ou à un test API en modifiant le script.
Une fois que vous avez ajouté les informations d'identification sécurisées au script, l'interface utilisateur Secure credentials indique combien de moniteurs scriptés utilisent ces informations d'identification. Ce nombre est approximatif et n'est mis à jour qu'après l'exécution d'un outil de monitoring doté d'informations d'identification sécurisées.
Conseil
Vous devez créer des informations d’identification sécurisées avant de pouvoir créer un moniteur en les utilisant. Cette astuce peut s’avérer utile lorsque vous utilisez un outil d’infrastructure en tant que code comme Terraform.
Mettre à jour le script
Lorsque vous utilisez l'éditeur d'interface utilisateur Synthetics pour créer des navigateurs scriptés ou un moniteur de test d'API, suivez ces instructions :
Script | Guidelines |
|---|---|
Format | Partout dans le script où vous référencez les informations d'identification sécurisées, celles-ci sont accessibles via l'objet JavaScript New Relic |
Informations d'identification existantes | Pour afficher ou sélectionner dans une liste d’informations d’identification sécurisées disponibles :
|
Validation | Pour valider les informations d'identification sécurisées, suivez les procédures standard pour tester le script ou écrivez un test API. |
Toute modification apportée à la valeur des informations d'identification sécurisées prendra automatiquement effet sur tous les moniteurs qui les utilisent. Vous n'avez pas besoin de mettre à jour également le script.
Exception: Si vous mettez à jour le script et que les tâches sont déjà en cours de traitement, la modification des informations d'identification sécurisées ne prendra effet qu'au prochain démarrage de la tâche.
Sécurité pour des informations d'identification sécurisées
Pour garantir la sécurité de vos informations d'identification sécurisées, New Relic supprime la valeur sécurisée de toutes les données qui aboutissent aux données monitoring et aux alertes Synthétique. New Relic employees cannot access secure credential values and must be added to the account to be able to view secure credentials.
Exemple
Un identifiant sécurisé est nommé PASSWORD et la valeur est Pass123!. New Relic remplace Pass123! par _SECURECREDENTIAL_
Par exemple, un script comprend :
$browser.get("https://example.com/" + $secure.PASSWORD)Les résultats script montreront que votre moniteur Synthétique est allé à https://example.com/_SECURECREDENTIAL_, même s'il est en réalité allé à https://example.com/Pass123!. Cela garantit que la valeur des informations d’identification sécurisées n’apparaîtra pas dans les résultats.
Informations expurgées
Nous rédigeons actuellement les éléments suivants à partir des résultats de votre moniteur :
- Les valeurs exactes de vos identifiants sécurisés
- Toutes les valeurs codées en pourcentage de vos informations d'identification sécurisées
Protéger vos informations d'identification lors de leur utilisation
Lors de la création d'un script, assurez-vous que les informations d'identification sécurisées ne sont pas transmises à un site externe ou saisies sur un site Web d'une manière qui entraînerait leur affichage ou leur divulgation.
Les mécanismes de protection détaillés ci-dessus sont conçus pour empêcher la divulgation des informations d'identification lorsqu'elles sont stockées par New Relic et les réponses textuelles du site Web monitoré. Cependant, la capacité de script permet à l'utilisateur d'implémenter des fonctionnalités qui pourraient entraîner la divulgation des informations d'identification en cas d'utilisation abusive par l'utilisateur. New Relic ne contrôle pas le site monitoré ni les actions des utilisateurs individuels de votre organisation. Pour cette raison, vous ne devez accorder l'autorisation « Utiliser les informations d'identification » qu'aux utilisateurs qui sont entièrement approuvés et autorisés à le faire par votre organisation. Pour mettre à jour les autorisations pour les informations d'identification sécurisées dans Synthetics monitoring, veuillez suivre les concepts de gestion des utilisateurs pour contrôler les capacités des informations d'identification sécurisées.
New Relic Logs instance de sauvegarde ou de validation du moniteur qui inclut des informations d'identification sécurisées ; les logs sont interrogeables via NrAuditEvents.
