IAM-Policys - Katalog für Log Analytics
Hier finden Sie alle Policys, die Sie für die Verwendung der verschiedenen Features und Ressourcen in Oracle Log Analytics benötigen.
Einige der Punkte, die Sie beim Erstellen von IAM-Policys für Oracle Log Analytics beachten müssen:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Siehe Oracle Cloud Infrastructure-Dokumentation.
-
Sie können eine IAM-Policy für jeden Ressourcentyp in Oracle Log Analytics mit einer der Verben Prüfen, Lesen, Verwenden oder Verwalten erstellen, die in der zunehmenden Reihenfolge der Anzahl der Berechtigungen aufgeführt sind, die Sie bereitstellen können. Siehe Oracle Cloud Infrastructure-Dokumentation.
-
Die genauen Berechtigungen und API-Vorgänge, die Sie mit jedem Verb für jeden Ressourcentyp ausführen können, finden Sie in der Log Analytics-Policy-Referenz.
-
Für den Oracle Log Analytics-Service in Ihrem Mandanten ist eine IAM-Policy auf Serviceebene auf Mandanten- oder Root-Ebene erforderlich.
-
Benutzer-/Gruppenzugriffs-Policys für den aggregierten Ressourcentyp
loganalytics-features-familyund alle zugehörigen einzelnen Ressourcen müssen auf Mandanten- oder root-Ebene erstellt werden. -
Benutzer-/Gruppenzugriffs-Policys für den aggregierten Ressourcentyp
loganalytics-resources-familyund eine der einzelnen Ressourcen können nach Bedarf auf Compartment- oder Mandantenebene festgelegt werden. -
Mit den verfügbaren Vorlagen können Sie eine Policy für eine Benutzergruppe oder dynamische Gruppe erstellen, um einen bestimmten Vorgang oder eine Zusammenstellung von Vorgängen auszuführen. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.
Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.
Themen:
Log Analytics-Funktionen, die mehrere Policy-Anweisungen erfordern, um sie für Benutzer zu aktivieren
- Vorausgesetzte IAM-Policys
einschließlich Zugriff von Log Analytics auf die zugehörige Featuresfamilie aktivieren und Zugriff auf Benutzergruppen erteilen
- Verwalten der OCI-Konsolenpersonalisierung im Mandanten durch Benutzer zulassen
- Verwalten von Gruppenvoreinstellungen in Log Analytics durch Benutzer zulassen
- Compute-Instanzen Für den mandantenübergreifenden Zugriff auf Log Analytics einrichten
- Management-Dashboard konfigurieren
- Zugriff von Benutzern auf Beispiellogdaten über Mandanten hinweg zulassen
- Aktivieren und Verwenden von LoganAI durch Benutzer zulassen
- Kontinuierliche Logerfassung mit Management-Agents zulassen
- Erstellen, Abrufen und Auflisten von On-Demand-Uploads durch Benutzer zulassen
- Löschen von On-Demand-Upload durch Benutzer zulassen
- Upload von Ereignislogs durch Benutzer zulassen
- Upload von OpenTelemetry-Logs durch Benutzer zulassen
- Logerfassung aus Objektpeicher zulassen
- Mandantenübergreifende Logerfassung aus Object Storage zulassen
- Erfassung von Logs aus OCI Logging Service zulassen
- Mandantenübergreifende Logerfassung aus OCI Logging Service zulassen
- Erfassung von Logs aus OCI Streaming Service zulassen
- Ausführen von EM-Bridgevorgängen durch Benutzer zulassen
- Automatische Discovery von Entitys und Logerfassung zulassen
- Löschen von Logdaten durch Benutzer zulassen
- Benutzer können alle Vorgänge für geplante Aufgaben ausführen
- Benutzer können alle Vorgänge mit Erkennungsregelvorlagen ausführen
- Verwendung von vom Kunden bereitgestellten Schlüsseln zum Verschlüsseln von Logs zulassen
- Alle Vorgänge der Kubernetes-Monitoringlösung zulassen
Einige der einzelnen Ressourcentypen und IAM-Policys zur Verwendung
Oracle Log Analytics hat zwei aggregierte Ressourcentypen loganalytics-features-family und loganalytics-resources-family. Jeder dieser aggregierten Ressourcentypen enthält mehrere individuelle Ressourcentypen. Wenn Sie eine Rahmen-Policy für den aggregierten Ressourcentyp erstellen, erteilt diese Policy die Berechtigung, die Aufgaben für alle einzelnen Ressourcentypen unter dieser Policy auszuführen. Die Beispiel-Rahmenrichtlinien, die alle Ressourcentypen des entsprechenden Aggregats abdecken:
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyDiese Policy-Anweisungen sind im Onboardingworkflow enthalten, der in Oracle Log Analytics verfügbar ist, wenn Sie das erste Mal darauf zugreifen. Wenn Sie jedoch eine detailliertere Zugriffskontrolle für die einzelnen Ressourcentypen bereitstellen möchten, sollten Sie die Policy-Anweisungen jedes einzelnen Ressourcentyps untersuchen.
Einige der individuellen Ressourcentypen in loganalytics-features-family und loganalytics-resources-family sind:
| Einzelner Ressourcentyp | Gehört zum aggregierten Ressourcentyp | Beispiel-Policy-Anweisungen |
|---|---|---|
|
Entitätstyp (Ressourcentyp: |
|
Alle Vorgänge für Entitätstypressource durch Benutzer zulassen |
|
Feld (Ressourcentyp: |
|
|
|
Beschriftung (Ressourcentyp: |
|
|
|
Lebenszyklus (Ressourcentyp: |
|
Anzeige von Namespace-Details und Mandantenvoreinstellungen durch Benutzer zulassen |
|
Suchbegriff (Ressourcentyp: |
|
|
|
Parser (Ressourcentyp: |
|
|
|
Quelle (Ressourcentyp: |
|
|
|
Speicher (Ressourcentyp: |
|
Anzeigen von Speicherinformationen und Archive-Logs durch Benutzer zulassen |
|
Entity (Ressourcentyp: |
|
|
|
Loggruppe (Ressourcentyp: |
|
Ausführen aller Vorgänge für Loggruppen durch Benutzer zulassen |
|
Regel für Aufnahmezeit (Ressourcentyp: |
|
Ausführen von Alertregelvorgängen für Aufnahmezeit durch Benutzer zulassen |
Alle Vorgänge für Entitätstypressource durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-entity-type
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Die Ressource Entitytyp kann sich im Mandanten befinden |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-entity-type im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-entity-type erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Entitytypen auflisten |
Details zu einem Entitytyp abrufen |
Entitytyp erstellen, löschen oder aktualisieren |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Ausführen aller Vorgänge für Felder durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-field
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Feld kann sich im Mandanten befinden |
allow group <user_group> to USE loganalytics-field in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-field im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-entity erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Felder auflisten |
Ruft Details zu einem Feld ab |
Feld erstellen, löschen oder aktualisieren |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Ausführen aller Vorgänge für Labels durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-label
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Label kann sich im Mandanten befinden |
allow group <user_group> to USE loganalytics-label in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-label im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-label erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Labels auflisten |
Details zu einem Label einschließlich der Quellen abrufen, in denen es verwendet wird |
Label erstellen, löschen oder aktualisieren |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Anzeige von Namespace-Details und Mandantenvoreinstellungen durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-lifecycle
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Die Ressource |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-lifecycle im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-lifecycle erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Namespaces auflisten |
Details zu einem Namespace und den Voreinstellungen im Mandanten abrufen |
Verwenden hat dieselbe Berechtigungs- und API-Vorgangsstufe wie Lesen. |
Offboarding oder Onboarding eines Namespace, aktualisieren oder löschen Sie Mandantenvoreinstellungen. |
Ausführen aller Vorgänge für Parser durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-parser
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Parser können sich im Mandanten befinden |
allow group <user_group> to USE loganalytics-parser in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-parser im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-parser erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Parser auflisten und deren Zusammenfassung abrufen |
Details zu einem Parser abrufen, die Parserfunktionen auflisten, einen Parser testen, die Pfade des Headers und Felder aus dem Loginhalt extrahieren |
Parser erstellen, löschen oder aktualisieren |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Benutzer können alle Vorgänge für Quellen ausführen
Einzelner Ressourcentyp: loganalytics-source
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Quelle kann sich im Mandanten befinden |
allow group <user_group> to USE loganalytics-source in tenancy |
Im obigen Beispiel wird die Berechtigung USE für loganalytics-source im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-source erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listen Sie die Quellen auf, informieren Sie sich über Quelltypen, Entityzuordnungen für jede Quelle, Labels, die in den Quellen verwendet werden, und Quellfunktionen. |
Rufen Sie Details zu einer Quelle ab, einschließlich Zuordnungen, erweiterten Felddefinitionen (EFD), Mustern. Assoziationsparameter und EFD-Details validieren |
Erstellen, löschen oder aktualisieren Sie Quellen oder Zuordnungen, und validieren Sie eine Quelle. |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Anzeigen von Speicherinformationen und Archive-Logs durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-storage
Teil des aggregierten Ressourcentyps: loganalytics-features-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Speicherressource kann sich im Mandanten befinden |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
Im obigen Beispiel wird die Berechtigung MANAGE für loganalytics-storage im Mandanten bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-storage erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
Rufen Sie Details zum Speicher und seiner Nutzung ab. |
Mit einigen zusätzlichen Berechtigungen können Sie die archivierten Daten abrufen und die zurückgerufenen Daten freigeben. Siehe Log Analytics-Policy-Referenz. |
Aktivieren und deaktivieren Sie die Archivierung, aktualisieren Sie den Speicher, und rufen Sie die Größe der Löschdaten ab. |
Ausführen von Entityvorgängen durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-entity
Teil des aggregierten Ressourcentyps: loganalytics-resources-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Entity kann sich in einem beliebigen Compartment im Mandanten befinden |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
Entity kann sich in einem bestimmten Compartment befinden |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
In den obigen Beispielen wird die Berechtigung USE für loganalytics-entity im Mandanten oder in einem bestimmten Compartment bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-entity erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Entitys auflisten und ihre Verknüpfungen mit Quellen auflisten |
Details zu einer Entity abrufen |
Entity erstellen, löschen oder aktualisieren, in ein anderes Compartment verschieben, Verknüpfung mit einer Quelle hinzufügen oder entfernen |
Verwalten verfügt über dieselben Berechtigungen und API-Vorgänge wie Verwenden. |
Ausführen aller Vorgänge für Loggruppen durch Benutzer zulassen
Einzelner Ressourcentyp: loganalytics-log-group
Teil des aggregierten Ressourcentyps: loganalytics-resources-family
Ressourcen-Policy-Anweisung, wenn Familien-Policy nicht definiert ist:
| Anwendungsfall | IAM-Policys |
|---|---|
|
Loggruppen können sich in einem beliebigen Compartment im Mandanten befinden |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Loggruppen befinden sich in einem bestimmten Compartment |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
In den obigen Beispielen wird die Berechtigung MANAGE für loganalytics-log-group im Mandanten oder in einem bestimmten Compartment bereitgestellt.
Die folgenden Vorgänge können mit jedem Verb ausgeführt werden, wenn Sie eine IAM-Policy für loganalytics-log-group erstellen:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Loggruppen auflisten und Zusammenfassung abrufen |
Details einer Loggruppe abrufen. |
Loggruppe erstellen und aktualisieren, Compartment ändern |
Loggruppe entfernen |