Configuration à distance

Ce produit n'est pas pris en charge par le site Datadog que vous avez sélectionné. ().

Aperçu

La configuration à distance est une fonctionnalité de Datadog qui vous permet de configurer à distance et de modifier le comportement de certaines fonctionnalités du produit dans les composants Datadog tels que les Agents, les SDK et les Travailleurs des pipelines d’observabilité déployés dans votre infrastructure. Utilisez la configuration à distance pour appliquer des configurations aux composants Datadog dans votre environnement à la demande, réduisant ainsi les coûts de gestion, diminuant les frictions entre les équipes et accélérant les temps de résolution des problèmes.

Pour les produits de sécurité Datadog, la protection des applications et des API et la protection des charges de travail, les Agents compatibles avec la configuration à distance et les SDK compatibles fournissent des mises à jour et des réponses de sécurité en temps réel, améliorant ainsi la posture de sécurité de vos applications et de votre infrastructure cloud.

Comment cela fonctionne

Lorsque la configuration à distance est activée, les composants Datadog tels que l’Agent Datadog interrogent en toute sécurité le site Datadog configuré pour les changements de configuration prêts à être appliqués. Les changements en attente sont ensuite automatiquement appliqués aux composants Datadog. Par exemple, après avoir soumis des changements de configuration dans l’interface utilisateur de Datadog pour une fonctionnalité de produit activée par la configuration à distance, les changements sont stockés dans Datadog.

Le schéma suivant illustre le fonctionnement de la configuration à distance :

Les utilisateurs configurent les fonctionnalités dans l'interface utilisateur, la configuration est stockée dans Datadog, l'Agent demande des mises à jour de configuration.
  1. Vous configurez certaines fonctionnalités du produit dans l’interface utilisateur de Datadog.
  2. Les configurations des fonctionnalités du produit sont stockées en toute sécurité dans Datadog.
  3. Les composants Datadog activés par la configuration à distance dans vos environnements interrogent en toute sécurité, reçoivent et appliquent automatiquement les mises à jour de configuration de Datadog. Les bibliothèques de traçage déployées dans vos environnements communiquent avec les Agents pour demander et recevoir des mises à jour de configuration de Datadog au lieu d’interroger directement Datadog.

Environnements pris en charge

La configuration à distance fonctionne dans des environnements où des composants Datadog pris en charge sont déployés. Les composants Datadog pris en charge incluent :

  • Agents
  • Traceurs (indirectement)
  • Travailleurs des pipelines d’observabilité
  • Exécuteurs d’actions privées et services de conteneurs sans serveur tels qu’AWS Fargate.

La configuration à distance ne prend pas en charge les applications gérées par des conteneurs sans serveur, telles qu’AWS App Runner, Azure Container Apps, Google Cloud Run ; ou les fonctions déployées sous forme de conteneur, telles qu’AWS Lambda, Azure Functions et Google Cloud Functions.

Produits et fonctionnalités pris en charge

Les produits et fonctionnalités suivants sont pris en charge avec la configuration à distance.

Fleet Automation
  • Envoyer des flares directement depuis le site Datadog. Dépannez l’Agent Datadog sans avoir besoin d’accéder directement à l’hôte.
Protection des applications et des API (AAP)
  • Protéger: Bloquez les adresses IP des attaquants, les utilisateurs authentifiés et les demandes suspectes signalées dans les Signaux de sécurité et les Traces AAP temporairement ou définitivement via l’interface utilisateur de Datadog.
Application Security Monitoring (APM)
  • Configuration à l’exécution: Modifiez le taux d’échantillonnage des traces d’un service, l’activation de l’injection de journaux et les balises d’en-tête HTTP depuis l’interface Catalog, sans avoir à redémarrer le service. Lisez Configuration à l’exécution pour plus d’informations.
  • Définir à distance le taux d’échantillonnage de l’Agent: Configurez à distance l’Agent Datadog pour modifier ses taux d’échantillonnage de traces et définissez des règles pour adapter l’ingestion des traces de votre organisation selon vos besoins, sans avoir besoin de redémarrer votre Agent Datadog.
Instrumentation dynamique
  • Envoyez des métriques critiques, des traces et des journaux de vos applications en direct sans modifications de code.
Protection des charges de travail
  • Mises à jour automatiques des règles par défaut de l’Agent : Recevez et mettez à jour automatiquement les règles par défaut de l’Agent maintenues par Datadog à mesure que de nouvelles détections et améliorations de l’Agent sont publiées. Consultez Configuration de la protection des charges de travail pour plus d’informations.
  • Déploiement automatique de règles d’Agent personnalisées : Déployez automatiquement vos règles d’Agent personnalisées sur des hôtes désignés (tous les hôtes ou un sous-ensemble défini d’hôtes).

Pipelines d’observabilité

  • Déployez et mettez à jour à distance les Travailleurs des Pipelines d’Observabilité (OPW) : Créez et modifiez des pipelines dans l’interface utilisateur de Datadog, déployant vos modifications de configuration sur les instances OPW fonctionnant dans votre environnement.

Mise à l’échelle automatique

  • Gérez à distance les configurations de mise à l’échelle des clusters et des charges de travail pour vos environnements conteneurisés. Consultez Mise à l’échelle automatique pour plus d’informations.

Exécuteur d’actions privé

  • Exécutez des workflows et des applications Datadog qui interagissent avec des services hébergés sur votre réseau privé sans exposer vos services à l’Internet public. Pour plus d’informations, consultez Actions Privées.

Drapeaux de fonctionnalités

  • Fournissez des configurations de drapeaux (règles de ciblage et d’attribution) aux SDK côté serveur pour une attribution de variante synchrone basée sur le contexte d’évaluation. Consultez Drapeaux de fonctionnalités pour plus d’informations.

Considérations de sécurité

Datadog a mis en place les mécanismes suivants pour protéger la confidentialité, l’intégrité et la disponibilité des configurations récupérées et appliquées par vos composants Datadog :

  • Les composants Datadog activés pour la configuration à distance déployés dans votre infrastructure demandent des configurations à Datadog.
    Certains composants comme les exécuteurs d'actions privés sont toujours activés pour la configuration à distance. D'autres, comme les Agents, peuvent être activés ou désactivés à l'aide d'options de configuration sur disque.
  • Datadog n’envoie jamais de modifications de configuration à moins qu’elles ne soient demandées par des composants Datadog. S’il envoie des modifications de configuration, Datadog n’envoie que les modifications pertinentes pour le composant demandeur.
  • Les demandes de configuration sont initiées depuis votre infrastructure vers Datadog via HTTPS (port 443). C’est le même port que l’Agent utilise par défaut pour envoyer des données d’observabilité.
  • La communication entre vos composants Datadog et Datadog est chiffrée à l’aide de HTTPS et est authentifiée et autorisée à l’aide de votre clé API Datadog, sauf dans le cas des exécuteurs d’actions privés où un jeton JWT est utilisé à la place.
  • Seuls les utilisateurs disposant de la permission api_keys_write sont autorisés à activer ou désactiver la capacité de configuration à distance sur les clés API et à utiliser les fonctionnalités de produit prises en charge.
  • Les modifications de configuration soumises via l’interface utilisateur de Datadog sont signées et validées par le composant Datadog demandeur, vérifiant ainsi l’intégrité de la configuration.

Accès basé sur les rôles

L’activation de la Configuration à Distance impacte les produits suivants. Chaque produit définit un ensemble de contrôles d’accès basés sur les rôles qui doivent être accordés à leurs utilisateurs. Pour des informations générales sur la gestion des accès, voir Contrôle d’Accès.

Produit avec Configuration à Distance ActivéeContrôles d’Accès Basés sur les Rôles
Fleet AutomationFLEET_POLICIES_WRITE
AGENT_UPGRADE_WRITE
FLEET_FLARE

Pour plus d’informations, voir Fleet Automation.
App and API ProtectionAPPSEC_ACTIVATION_READ
APPSEC_ACTIVATION_WRITE
APPSEC_PROTECT_READ
APPSEC_PROTECT_WRITE

Pour plus d’informations, voir Access Control.
APMAPM_SERVICE_INGEST_READ
APM_SERVICE_INGEST_WRITE
APM_REMOTE_CONFIGURATION_READ
APM_REMOTE_CONFIGURATION_WRITE

Pour plus d’informations, voir Échantillonnage Adaptatif.
Dynamic InstrumentationDEBUGGER_READ
DEBUGGER_WRITE
DEBUGGER_WRITE_PRE_PROD
APM_REMOTE_CONFIGURATION_READ
APM_REMOTE_CONFIGURATION_WRITE

Pour plus d’informations, voir APM.
Workload ProtectionSECURITY_MONITORING_CWS_AGENT_RULES_WRITE
SECURITY_MONITORING_CWS_AGENT_RULES_READ
SECURITY_MONITORING_CWS_AGENT_RULES_ACTIONS

Pour plus d’informations, voir Security.
CSM Side ScanningORG_MANAGEMENT
MANAGE_INTEGRATIONS

Pour plus d’informations, voir Enable Agentless Scanning.
Observability PipelinesOBSERVABILITY_PIPELINES_READ
OBSERVABILITY_PIPELINES_WRITE
OBSERVABILITY_PIPELINES_DELETE
OBSERVABILITY_PIPELINES_DEPLOY
OBSERVABILITY_PIPELINES_CAPTURE_WRITE
OBSERVABILITY_PIPELINES_CAPTURE_READ

Pour plus d’informations, voir Observability Pipelines.
Private Action RunnerON_PREM_RUNNER_WRITE
ON_PREM_RUNNER_READ
ON_PREM_RUNNER_USE

Pour plus d’informations, voir App Builder & Workflow Automation.
Network Device Monitoring (NDM)NDM_DEVICE_PROFILES_VIEW
NDM_DEVICE_PROFILES_EDIT
Container AutoscalingORCHESTRATION_AUTOSCALING_MANAGE
ORCHESTRATION_WORKLOAD_SCALING_WRITE
ORCHESTRATION_WORKLOAD_SCALING_READ
Serverless Lambda Auto-instrumentationSERVERLESS_AWS_INSTRUMENTATION_READ
SERVERLESS_AWS_INSTRUMENTATION_WRITE

Pour plus d’informations, voir Serverless.
Feature FlagsFEATURE_FLAG_CONFIG_READ
FEATURE_FLAG_CONFIG_WRITE
FEATURE_FLAG_ENVIRONMENT_CONFIG_READ
FEATURE_FLAG_ENVIRONMENT_CONFIG_WRITE

Pour plus d’informations, voir Feature Flags.

Enable Remote Configuration

Dans la plupart des cas, Remote Configuration est activé par défaut pour votre organisation. Vous pouvez vérifier si Remote Configuration est activé pour votre organisation depuis la page des paramètres de Remote Configuration. Si vous devez l’activer :

  1. Assurez-vous que vos autorisations RBAC incluent org_management, afin de pouvoir activer Remote Configuration pour votre organisation.
  2. Depuis la page des paramètres de votre organisation, activez Remote Configuration. Cela permet aux composants Datadog de votre organisation de recevoir des configurations depuis Datadog.
  3. Suivez les instructions de configuration spécifiques au produit ci-dessous pour terminer la configuration de Remote Configuration.

Configuration spécifique au produit

Consultez la documentation ci-dessous pour des instructions spécifiques au produit que vous configurez.

ProduitInstructions de configuration
Fleet AutomationSetup Fleet Automation
APMConfiguration à l’exécution
Dynamic InstrumentationCommencez avec Dynamic Instrumentation
Workload ProtectionWorkload Protection
Pipelines d’observabilitéAssurez-vous que vous avez activé Remote Configuration sur la clé API que vous utilisez pour les pipelines d’observabilité.
Sensitive Data ScannerCloud storage
Private Action RunnerPrivate Actions Overview
Feature FlagsServer-Side Feature Flags

Meilleures pratiques

Datadog Audit Trail

Utilisez Datadog Audit Trail pour surveiller l’accès à l’organisation et les événements liés à Remote Configuration activée. Audit Trail permet à vos administrateurs et équipes de sécurité de suivre la création, la suppression et la modification des clés API et des clés d’application Datadog. Une fois Datadog Audit Trail configuré, vous pouvez consulter les événements liés aux fonctionnalités Remote Configuration activées et voir qui a demandé ces changements. Datadog Audit Trail vous permet de reconstruire des séquences d’événements et d’établir une surveillance robuste de Datadog pour Remote Configuration.

Monitors

Configurez des monitors pour recevoir des notifications lorsqu’un événement intéressant se produit.

Se désinscrire de Remote Configuration

Au lieu de désactiver Remote Configuration globalement, Datadog recommande de se désinscrire pour des produits Datadog spécifiques. Pour plus d’informations, consultez la documentation du produit concerné.

Lectures complémentaires