Ce produit n'est pas pris en charge par le
site Datadog que vous avez sélectionné. (
).
Aperçu
La configuration à distance est une fonctionnalité de Datadog qui vous permet de configurer à distance et de modifier le comportement de certaines fonctionnalités du produit dans les composants Datadog tels que les Agents, les SDK et les Travailleurs des pipelines d’observabilité déployés dans votre infrastructure. Utilisez la configuration à distance pour appliquer des configurations aux composants Datadog dans votre environnement à la demande, réduisant ainsi les coûts de gestion, diminuant les frictions entre les équipes et accélérant les temps de résolution des problèmes.
Pour les produits de sécurité Datadog, la protection des applications et des API et la protection des charges de travail, les Agents compatibles avec la configuration à distance et les SDK compatibles fournissent des mises à jour et des réponses de sécurité en temps réel, améliorant ainsi la posture de sécurité de vos applications et de votre infrastructure cloud.
Comment cela fonctionne
Lorsque la configuration à distance est activée, les composants Datadog tels que l’Agent Datadog interrogent en toute sécurité le site Datadog configuré pour les changements de configuration prêts à être appliqués. Les changements en attente sont ensuite automatiquement appliqués aux composants Datadog. Par exemple, après avoir soumis des changements de configuration dans l’interface utilisateur de Datadog pour une fonctionnalité de produit activée par la configuration à distance, les changements sont stockés dans Datadog.
Le schéma suivant illustre le fonctionnement de la configuration à distance :
- Vous configurez certaines fonctionnalités du produit dans l’interface utilisateur de Datadog.
- Les configurations des fonctionnalités du produit sont stockées en toute sécurité dans Datadog.
- Les composants Datadog activés par la configuration à distance dans vos environnements interrogent en toute sécurité, reçoivent et appliquent automatiquement les mises à jour de configuration de Datadog. Les bibliothèques de traçage déployées dans vos environnements communiquent avec les Agents pour demander et recevoir des mises à jour de configuration de Datadog au lieu d’interroger directement Datadog.
Environnements pris en charge
La configuration à distance fonctionne dans des environnements où des composants Datadog pris en charge sont déployés. Les composants Datadog pris en charge incluent :
- Agents
- Traceurs (indirectement)
- Travailleurs des pipelines d’observabilité
- Exécuteurs d’actions privées et services de conteneurs sans serveur tels qu’AWS Fargate.
La configuration à distance ne prend pas en charge les applications gérées par des conteneurs sans serveur, telles qu’AWS App Runner, Azure Container Apps, Google Cloud Run ; ou les fonctions déployées sous forme de conteneur, telles qu’AWS Lambda, Azure Functions et Google Cloud Functions.
Produits et fonctionnalités pris en charge
Les produits et fonctionnalités suivants sont pris en charge avec la configuration à distance.
- Fleet Automation
- Envoyer des flares directement depuis le site Datadog. Dépannez l’Agent Datadog sans avoir besoin d’accéder directement à l’hôte.
- Protection des applications et des API (AAP)
- Protéger: Bloquez les adresses IP des attaquants, les utilisateurs authentifiés et les demandes suspectes signalées dans les Signaux de sécurité et les Traces AAP temporairement ou définitivement via l’interface utilisateur de Datadog.
- Application Security Monitoring (APM)
- Configuration à l’exécution: Modifiez le taux d’échantillonnage des traces d’un service, l’activation de l’injection de journaux et les balises d’en-tête HTTP depuis l’interface Catalog, sans avoir à redémarrer le service. Lisez Configuration à l’exécution pour plus d’informations.
- Définir à distance le taux d’échantillonnage de l’Agent: Configurez à distance l’Agent Datadog pour modifier ses taux d’échantillonnage de traces et définissez des règles pour adapter l’ingestion des traces de votre organisation selon vos besoins, sans avoir besoin de redémarrer votre Agent Datadog.
- Instrumentation dynamique
- Envoyez des métriques critiques, des traces et des journaux de vos applications en direct sans modifications de code.
- Protection des charges de travail
- Mises à jour automatiques des règles par défaut de l’Agent : Recevez et mettez à jour automatiquement les règles par défaut de l’Agent maintenues par Datadog à mesure que de nouvelles détections et améliorations de l’Agent sont publiées. Consultez Configuration de la protection des charges de travail pour plus d’informations.
- Déploiement automatique de règles d’Agent personnalisées : Déployez automatiquement vos règles d’Agent personnalisées sur des hôtes désignés (tous les hôtes ou un sous-ensemble défini d’hôtes).
Pipelines d’observabilité
- Déployez et mettez à jour à distance les Travailleurs des Pipelines d’Observabilité (OPW) : Créez et modifiez des pipelines dans l’interface utilisateur de Datadog, déployant vos modifications de configuration sur les instances OPW fonctionnant dans votre environnement.
Mise à l’échelle automatique
- Gérez à distance les configurations de mise à l’échelle des clusters et des charges de travail pour vos environnements conteneurisés. Consultez Mise à l’échelle automatique pour plus d’informations.
Exécuteur d’actions privé
- Exécutez des workflows et des applications Datadog qui interagissent avec des services hébergés sur votre réseau privé sans exposer vos services à l’Internet public. Pour plus d’informations, consultez Actions Privées.
Drapeaux de fonctionnalités
- Fournissez des configurations de drapeaux (règles de ciblage et d’attribution) aux SDK côté serveur pour une attribution de variante synchrone basée sur le contexte d’évaluation. Consultez Drapeaux de fonctionnalités pour plus d’informations.
Considérations de sécurité
Datadog a mis en place les mécanismes suivants pour protéger la confidentialité, l’intégrité et la disponibilité des configurations récupérées et appliquées par vos composants Datadog :
- Les composants Datadog activés pour la configuration à distance déployés dans votre infrastructure demandent des configurations à Datadog.
Certains composants comme les exécuteurs d'actions privés sont toujours activés pour la configuration à distance. D'autres, comme les Agents, peuvent être activés ou désactivés à l'aide d'options de configuration sur disque.
- Datadog n’envoie jamais de modifications de configuration à moins qu’elles ne soient demandées par des composants Datadog. S’il envoie des modifications de configuration, Datadog n’envoie que les modifications pertinentes pour le composant demandeur.
- Les demandes de configuration sont initiées depuis votre infrastructure vers Datadog via HTTPS (port 443). C’est le même port que l’Agent utilise par défaut pour envoyer des données d’observabilité.
- La communication entre vos composants Datadog et Datadog est chiffrée à l’aide de HTTPS et est authentifiée et autorisée à l’aide de votre clé API Datadog, sauf dans le cas des exécuteurs d’actions privés où un jeton JWT est utilisé à la place.
- Seuls les utilisateurs disposant de la permission
api_keys_write sont autorisés à activer ou désactiver la capacité de configuration à distance sur les clés API et à utiliser les fonctionnalités de produit prises en charge. - Les modifications de configuration soumises via l’interface utilisateur de Datadog sont signées et validées par le composant Datadog demandeur, vérifiant ainsi l’intégrité de la configuration.
Accès basé sur les rôles
L’activation de la Configuration à Distance impacte les produits suivants. Chaque produit définit un ensemble de contrôles d’accès basés sur les rôles qui doivent être accordés à leurs utilisateurs. Pour des informations générales sur la gestion des accès, voir Contrôle d’Accès.
| Produit avec Configuration à Distance Activée | Contrôles d’Accès Basés sur les Rôles |
|---|
| Fleet Automation | FLEET_POLICIES_WRITE
AGENT_UPGRADE_WRITE
FLEET_FLARE
Pour plus d’informations, voir Fleet Automation. |
| App and API Protection | APPSEC_ACTIVATION_READ
APPSEC_ACTIVATION_WRITE
APPSEC_PROTECT_READ
APPSEC_PROTECT_WRITE
Pour plus d’informations, voir Access Control. |
| APM | APM_SERVICE_INGEST_READ
APM_SERVICE_INGEST_WRITE
APM_REMOTE_CONFIGURATION_READ
APM_REMOTE_CONFIGURATION_WRITE
Pour plus d’informations, voir Échantillonnage Adaptatif. |
| Dynamic Instrumentation | DEBUGGER_READ
DEBUGGER_WRITE
DEBUGGER_WRITE_PRE_PROD
APM_REMOTE_CONFIGURATION_READ
APM_REMOTE_CONFIGURATION_WRITE
Pour plus d’informations, voir APM. |
| Workload Protection | SECURITY_MONITORING_CWS_AGENT_RULES_WRITE
SECURITY_MONITORING_CWS_AGENT_RULES_READ
SECURITY_MONITORING_CWS_AGENT_RULES_ACTIONS
Pour plus d’informations, voir Security. |
| CSM Side Scanning | ORG_MANAGEMENT
MANAGE_INTEGRATIONS
Pour plus d’informations, voir Enable Agentless Scanning. |
| Observability Pipelines | OBSERVABILITY_PIPELINES_READ
OBSERVABILITY_PIPELINES_WRITE
OBSERVABILITY_PIPELINES_DELETE
OBSERVABILITY_PIPELINES_DEPLOY
OBSERVABILITY_PIPELINES_CAPTURE_WRITE
OBSERVABILITY_PIPELINES_CAPTURE_READ
Pour plus d’informations, voir Observability Pipelines. |
| Private Action Runner | ON_PREM_RUNNER_WRITE
ON_PREM_RUNNER_READ
ON_PREM_RUNNER_USE
Pour plus d’informations, voir App Builder & Workflow Automation. |
| Network Device Monitoring (NDM) | NDM_DEVICE_PROFILES_VIEW
NDM_DEVICE_PROFILES_EDIT |
| Container Autoscaling | ORCHESTRATION_AUTOSCALING_MANAGE
ORCHESTRATION_WORKLOAD_SCALING_WRITE
ORCHESTRATION_WORKLOAD_SCALING_READ |
| Serverless Lambda Auto-instrumentation | SERVERLESS_AWS_INSTRUMENTATION_READ
SERVERLESS_AWS_INSTRUMENTATION_WRITE
Pour plus d’informations, voir Serverless. |
| Feature Flags | FEATURE_FLAG_CONFIG_READ
FEATURE_FLAG_CONFIG_WRITE
FEATURE_FLAG_ENVIRONMENT_CONFIG_READ
FEATURE_FLAG_ENVIRONMENT_CONFIG_WRITE
Pour plus d’informations, voir Feature Flags. |
Enable Remote Configuration
Dans la plupart des cas, Remote Configuration est activé par défaut pour votre organisation. Vous pouvez vérifier si Remote Configuration est activé pour votre organisation depuis la page des paramètres de Remote Configuration. Si vous devez l’activer :
- Assurez-vous que vos autorisations RBAC incluent
org_management, afin de pouvoir activer Remote Configuration pour votre organisation. - Depuis la page des paramètres de votre organisation, activez Remote Configuration. Cela permet aux composants Datadog de votre organisation de recevoir des configurations depuis Datadog.
- Suivez les instructions de configuration spécifiques au produit ci-dessous pour terminer la configuration de Remote Configuration.
Configuration spécifique au produit
Consultez la documentation ci-dessous pour des instructions spécifiques au produit que vous configurez.
Meilleures pratiques
Datadog Audit Trail
Utilisez Datadog Audit Trail pour surveiller l’accès à l’organisation et les événements liés à Remote Configuration activée. Audit Trail permet à vos administrateurs et équipes de sécurité de suivre la création, la suppression et la modification des clés API et des clés d’application Datadog. Une fois Datadog Audit Trail configuré, vous pouvez consulter les événements liés aux fonctionnalités Remote Configuration activées et voir qui a demandé ces changements. Datadog Audit Trail vous permet de reconstruire des séquences d’événements et d’établir une surveillance robuste de Datadog pour Remote Configuration.
Monitors
Configurez des monitors pour recevoir des notifications lorsqu’un événement intéressant se produit.
Se désinscrire de Remote Configuration
Au lieu de désactiver Remote Configuration globalement, Datadog recommande de se désinscrire pour des produits Datadog spécifiques. Pour plus d’informations, consultez la documentation du produit concerné.
Lectures complémentaires
Documentation, liens et articles supplémentaires utiles: