Application Real-Time Monitoring Service:セルフマネージド Web アプリケーションへの Managed Service for OpenTelemetry コンソールページの埋め込み

仕組み

埋め込みフローでは、STS ベースのフェデレーションログインを使用して、コンソールページへの一時的でスコープ付きのアクセスを許可します。

前提条件

開始する前に、以下を確認してください。

• RAM 管理特権を持つ Alibaba Cloud アカウント（または AliyunRAMFullAccess ポリシー）

• HTTP リクエストを実行できるバックエンドを持つセルフマネージド Web アプリケーション

ステップ 1: RAM ユーザーを作成し、STS AssumeRole 権限を付与する

ご利用のアプリケーションバックエンドが STS AssumeRole 操作を呼び出すために使用する RAM ユーザーを作成します。

1. RAM コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

3. 「ユーザー」ページで、「ユーザーの作成」をクリックします。

4. [ユーザーの作成] ページで、次の設定を構成します。

   • 「ユーザー アカウント情報」セクションで、「ログオン名」と「表示名」を設定します。

   • 「[アクセスモード]」セクションで、「[永続的な AccessKey を使用してアクセス]」を選択します。

5. [OK] をクリックします。

   重要

   RAM は、RAM ユーザー用に AccessKey ペアを自動的に生成します。AccessKey ペアは一度だけ表示されます。ページを閉じる前に、AccessKey ID と AccessKey Secret をコピーして保存してください。詳細については、「AccessKey ペアの作成」をご参照ください。

6. [ユーザー] ページで、RAM ユーザーを探し、[操作] 列の [権限の追加] をクリックします。

   

   一度に複数の RAM ユーザーに権限を付与するには、ユーザーを選択し、ページの下部にある[権限の追加]をクリックします。

7. [権限付与] パネルで、以下の設定を行います：

   1. 設定 [リソーススコープ]:

      • アカウント：権限は現在の Alibaba Cloud アカウントに適用されます。

      • リソースグループ: 権限は特定のリソースグループに適用されます。詳細については、「リソースグループを使用して、RAM ユーザーに特定のECS インスタンスを管理する権限を付与する」をご参照ください。

      重要

      「リソーススコープ」を「リソースグループ」に設定する前に、クラウドサービスがリソースグループをサポートしているかを確認してください。詳しくは、「リソースグループと連携するサービス」をご参照ください。

   2. 「[プリンシパル]」（権限を付与する RAM ユーザー）を確認します。システムは、現在の RAM ユーザーを自動的にプリンシパルとして選択します。

   3. [ポリシー] セクションで、[AliyunSTSAssumeRoleAccess] を選択します。

   4. [権限を付与] をクリックします。

8. [閉じる] をクリックします。

ステップ 2: RAM ロールを作成し、Managed Service for OpenTelemetry の権限を付与する

埋め込まれたコンソールセッションがアクセスできるものを定義する RAM ロールを作成します。

1. 信頼された Alibaba Cloud アカウントの RAM ロールを作成する。

2. RAM ロールに権限を付与する。必要なアクセスレベルに基づいて、次のポリシーのいずれかを選択してください：

   ポリシー	アクセスレベル
   AliyunTracingAnalysisFullAccess	Managed Service for OpenTelemetry へのフル読み取り/書き込みアクセス
   AliyunTracingAnalysisReadOnlyAccess	Managed Service for OpenTelemetry への読み取り専用アクセス

   重要

   RAM ロールの権限は、埋め込まれたコンソールで利用可能なデータと操作を決定します。

ステップ 3: 一時的な AccessKey ペアと STS トークンを取得する

ご利用のアプリケーションバックエンドから、STS AssumeRole 操作を呼び出して一時的な認証情報を取得します。次のいずれかの方法を使用します。

• OpenAPI Explorer

• RAM SDK for Java

サンプルコードのプレースホルダーを実際の値に置き換えます。

String akId = "<your-access-key-id>";
String ak = "<your-access-key-secret>";
String roleArn = "<your-role-arn>";

ステップ 4: ログイントークンを取得する

GetSigninToken 操作を呼び出して、ステップ 3 の一時的な認証情報をログイントークンと交換します。

http://signin4service.alibabacloud.com/federation?Action=GetSigninToken
    &AccessKeyId=<temporary-access-key-id>
    &AccessKeySecret=<temporary-access-key-secret>
    &SecurityToken=<sts-token>
    &TicketType=mini

ステップ 5: ログイン不要の URL を構築する

ステップ 4 のログイントークンとコンソールページ URL を組み合わせて、ログイン不要の URL を構築します。

1. ターゲットコンソールページのURLを取得します。たとえば、中国 (杭州) リージョン向けの[アプリケーション]ページ:

   https://trace4servims.console.alibabacloud.com/#/overview/cn-hangzhou

2. (オプション) ナビゲーション要素を非表示にするために、レイアウトパラメーターをコンソールページ URL に追加します。

   パラメーター	効果	例
   hideTopbar=true	上部のナビゲーションバーを非表示にする	https://trace4servims.console.alibabacloud.com/#/overview/cn-hangzhou?hideTopbar=true
   hideSidebar=true	左側のナビゲーションウィンドウを非表示にする	https://trace4servims.console.alibabacloud.com/#/overview/cn-hangzhou?hideSidebar=true

   両方を非表示にするには、パラメーターを組み合わせます。?hideTopbar=true&hideSidebar=true

3. ログイン不要の URL を構築します。

   http://signin.alibabacloud.com/federation?Action=Login
       &LoginUrl=<your-login-failure-redirect-url>
       &SigninToken=<logon-token>
       &Destination=<console-page-url>

   パラメーター	説明
   LoginUrl	ログインが失敗した場合にユーザーがリダイレクトされる URL (HTTP 302 を返す)
   SigninToken	ステップ 4 のログイントークン
   Destination	Managed Service for OpenTelemetry コンソールページ URL (オプションのレイアウトパラメーターを含む)