Oracle Cloud Infrastructure-Dokumentation

Vorausgesetzte IAM-Policys

Erstellen Sie eine IAM-Policy mit den folgenden Policy-Anweisungen, um den Zugriff auf Oracle Log Analytics und die zugehörigen Ressourcen zu ermöglichen und Benutzergruppen Zugriff zu erteilen.

Es sind drei Typen von Policy-Anweisungen erforderlich:

  • Service-Policys: Dies sind die Policy-Anweisungen, mit denen das Produkt verwendet werden kann. 

    allow service loganalytics to READ loganalytics-features-family in tenancy

  • Benutzer-Policys: Diese Policy-Anweisungen dienen zur Kontrolle des Benutzerzugriffs. Fügen Sie einen Benutzer in der Gruppe hinzu, für die Policys definiert sind. Es wird empfohlen, drei Gruppen zu haben: Log-Analytics-Users, Log-Analytics-Admins und Log-Analytics-SuperAdmins. Es ist jedoch auch möglich, dass bereits Gruppen vorhanden sind, für die Sie Policys definieren. Weitere Informationen zu den empfohlenen Gruppen und deren Zugriff finden Sie unter Benutzergruppen zur Implementierung der Zugriffskontrolle erstellen und Benutzergruppen Zugriff erteilen.

    Die folgenden Policy-Anweisungen bieten den Zugriff auf die Benutzergruppe Log-Analytics-Admins für die Ressourcen loganalytics-features-family und compartments im gesamten Mandanten: 

    allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy
allow group Log-Analytics-Admins to read compartments in tenancy

    Die folgenden Policy-Anweisungen bieten den Zugriff auf die Benutzergruppe Log-Analytics-Admins für die Ressourcen management-dashboard-family und loganalytics-resources-family:

    • Zugriff über den gesamten Mandanten: 

      allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy
allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

    • Zugriff auf bestimmte Compartments: 

      allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1
allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

  • Ressourcen-Policys: Diese Policy-Anweisungen sind für alle Hintergrundprozesse erforderlich, z.B. geplante Aufgaben, EM-Bridges oder Logerfassung mit Management-Agents. Diese Policys können dynamische Gruppen verwenden, um die Gruppe von Ressourcen zu definieren, und die Policy-Anweisungen können geschrieben werden, um Zugriff auf die dynamische Gruppe zu erteilen. Siehe Log Analytics-Features, die mehrere Policy-Anweisungen erfordern, um sie für Benutzer zu aktivieren. Informationen zu einzelnen Ressourcentypen unter den aggregierten Ressourcen loganalytics-features-family und loganalytics-resources-family und deren Policys finden Sie unter Einige der einzelnen Ressourcentypen und IAM-Policys, die verwendet werden sollen.

Einige der oben genannten Policy-Anweisungen sind in den verfügbaren, von Oracle definierten Policy Templates enthalten. Sie können die Vorlage für Ihren Anwendungsfall verwenden. Siehe Von Oracle definierte Policy-Vorlagen für allgemeine Anwendungsfälle.

Hinweis

Wenn Sie Oracle Log Analytics mit der Onboarding-UI aktiviert haben, die verfügbar ist, wenn Sie zum ersten Mal zum Service navigieren, werden bereits einige Policys erstellt. Siehe Policys, die beim Onboarding von Log Analytics erstellt wurden.