Catálogo de políticas de IAM para Log Analytics
Aquí puede encontrar todas las políticas que necesita para utilizar las distintas funciones y recursos de Oracle Log Analytics.
Algunos de los puntos que debe tener en cuenta al crear políticas de IAM para Oracle Log Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulte la documentación de Oracle Cloud Infrastructure.
-
Puede crear una política de IAM para cada tipo de recurso en Oracle Log Analytics mediante uno de los verbos Inspeccionar, Lectura, Uso o Gestionar, que se muestran en el orden creciente de número de permisos que puede proporcionar. Consulte la documentación de Oracle Cloud Infrastructure.
-
Para ver los permisos exactos y las operaciones de API que puede realizar con cada verbo para cada tipo de recurso, consulte Referencia de políticas de Log Analytics.
-
El servicio Oracle Log Analytics de su arrendamiento necesita una política de IAM de nivel de servicio en el nivel de arrendamiento o root.
-
Las políticas de acceso de usuario/grupo para el tipo de recurso agregado
loganalytics-features-familyy cualquiera de sus recursos individuales se deben crear en el nivel de arrendamiento o root. -
Las políticas de acceso de usuario/grupo para el tipo de recurso agregado
loganalytics-resources-familyy cualquiera de sus recursos individuales se pueden definir en el nivel de compartimento o arrendamiento según sea necesario. -
Puede utilizar las plantillas disponibles para crear una política para que un grupo de usuarios o un grupo dinámico realicen una operación específica o una recopilación de operaciones. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.
Si ha activado Oracle Log Analytics mediante la interfaz de usuario de vinculación, que está disponible al navegar al servicio por primera vez, algunas políticas ya se han creado. Consulte Políticas creadas durante la incorporación de Log Analytics.
Temas:
Funciones de Log Analytics que requieren varias sentencias de política para activarlas para los usuarios
- Requisitos previos de políticas de IAM
que incluye Activar acceso de Log Analytics a su familia de funciones y Otorgar acceso a grupos de usuarios
- Permitir a los usuarios gestionar la personalización de la consola de OCI en el arrendamiento
- Permitir a los usuarios gestionar preferencias de grupo en Log Analytics
- Configuración de instancias informáticas para acceder a Log Analytics entre arrendamientos
- Configuración del panel de gestión
- Permitir a los usuarios acceder a datos de log de muestra en arrendamientos
- Permitir que los usuarios activen y utilicen LoganAI
- Permitir recopilación continua de logs mediante agentes de gestión
- Permitir a los usuarios realizar operaciones de creación, obtención y lista de cargas bajo demanda
- Permitir a los usuarios realizar la operación de supresión de carga bajo demanda
- Permitir a los usuarios cargar logs de eventos
- Permitir a los usuarios cargar logs de OpenTelemetry
- Permitir recopilación de logs de Object Storage
- Permitir recopilación de logs entre arrendamientos desde Object Storage
- Permitir recopilación de logs desde el servicio OCI Logging
- Permitir recopilación de logs entre arrendamientos desde el servicio OCI Logging
- Permitir recopilación de logs del servicio OCI Streaming
- Permitir a los usuarios realizar operaciones de puente de EM
- Permitir detección automática de entidades y recopilación de logs
- Permitir a los usuarios depurar datos de log
- Permitir a los usuarios realizar todas las operaciones en tareas programadas
- Permitir a los usuarios realizar todas las operaciones con plantillas de reglas de detección
- Permitir el uso de claves proporcionadas por el cliente para cifrar logs
- Permitir todas las operaciones de la solución de supervisión de Kubernetes
Algunos tipos de recursos individuales y políticas de IAM para utilizarlos
Oracle Log Analytics tiene dos tipos de recursos agregados: loganalytics-features-family y loganalytics-resources-family. Cada uno de estos tipos de recursos agregados tiene varios tipos de recursos individuales como parte de ellos. Si crea una política general para el tipo de recurso agregado, esa política proporciona el permiso para realizar las tareas en todos los tipos de recursos individuales de esa política. Las políticas generales de ejemplo que cubren todos los tipos de recursos de la agregación correspondiente:
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyEstas sentencias de política se incluyen en el flujo de trabajo de vinculación disponible en Oracle Log Analytics al acceder a él por primera vez. Sin embargo, si desea proporcionar un control de acceso más granular a los tipos de recursos individuales, puede que desee explorar las sentencias de política de cada uno de los tipos de recursos individuales.
A continuación se muestran algunos de los tipos de recursos individuales de loganalytics-features-family y loganalytics-resources-family:
| Tipo de recursos individuales | Pertenece al tipo de recurso agregado | Sentencias de política de ejemplo |
|---|---|---|
|
Tipo de entidad (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en el recurso de tipo de entidad |
|
Campo (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en los campos |
|
Etiqueta (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en etiquetas |
|
Ciclo de vida (tipo de recurso: |
|
Permitir a los usuarios ver detalles de espacio de nombres y preferencias de inquilino |
|
Consulta (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en las consultas |
|
Analizador (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en analizadores |
|
Origen (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en los orígenes |
|
Almacenamiento (tipo de recurso: |
|
Permitir a los usuarios ver información de almacenamiento y archive logs |
|
Entidad (tipo de recurso: |
|
|
|
Grupo de logs (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en grupos de logs |
|
Regla de tiempo de ingesta (tipo de recurso: |
|
Permitir a los usuarios realizar operaciones de regla de alerta de tiempo de ingesta |
Permitir a los usuarios realizar todas las operaciones en el recurso de tipo de entidad
Tipo de recurso individual: loganalytics-entity-type
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso Tipo de entidad puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-entity-type en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-entity-type:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los tipos de entidades |
Obtener detalles sobre un tipo de entidad |
Crear, suprimir o actualizar un tipo de entidad |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en los campos
Tipo de recurso individual: loganalytics-field
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El campo puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-field in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-field en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los campos |
Obtiene detalles de un campo |
Crear, suprimir o actualizar un campo |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en etiquetas
Tipo de recurso individual: loganalytics-label
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
La etiqueta puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-label in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-label en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-label:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Mostrar las etiquetas |
Obtener detalles sobre una etiqueta, incluidos los orígenes en los que se utiliza |
Crear, suprimir o actualizar una etiqueta |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios ver detalles de espacio de nombres y preferencias de inquilino
Tipo de recurso individual: loganalytics-lifecycle
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-lifecycle en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-lifecycle:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los espacios del nombre |
Obtener detalles sobre un espacio de nombres y las preferencias del inquilino |
Use tiene el mismo nivel de permisos y operaciones de API que Read. |
Desvinculación o incorporación de un espacio de nombres, actualización o supresión de preferencias de inquilino. |
Permitir a los usuarios realizar todas las operaciones en analizadores
Tipo de recurso individual: loganalytics-parser
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
Los analizadores pueden estar en el arrendamiento |
allow group <user_group> to USE loganalytics-parser in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-parser en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-parser:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los analizadores y obtener su resumen |
Obtener detalles sobre un analizador, mostrar las funciones del analizador, probar un analizador, extraer las rutas de la cabecera y los campos del contenido del log |
Crear, suprimir o actualizar un analizador |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en los orígenes
Tipo de recurso individual: loganalytics-source
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El origen puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-source in tenancy |
En el ejemplo anterior se proporciona el permiso USE para loganalytics-source en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-source:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Muestre los orígenes, los conocimientos sobre los tipos de origen, las asociaciones de entidades para cada origen, las etiquetas utilizadas en los orígenes y las funciones de origen. |
Obtenga detalles sobre un origen, incluidas asociaciones, definiciones de campos extendidos (EFD), patrones. Validación de parámetros de asociación y detalles de EFD. |
Cree, suprima o actualice orígenes o asociaciones y valide un origen. |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios ver información de almacenamiento y archive logs
Tipo de recurso individual: loganalytics-storage
Parte del tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso de almacenamiento puede estar en el arrendamiento |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
En el ejemplo anterior se proporciona el permiso MANAGE para loganalytics-storage en el arrendamiento.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-storage:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
N/D |
Obtenga detalles del almacenamiento y su uso. |
Con algunos permisos adicionales, puede recuperar los datos archivados y liberar los datos recuperados. Consulte la Referencia de políticas de Log Analytics. |
Active y desactive el archivado, actualice el almacenamiento y obtenga el tamaño de los datos de depuración. |
Permitir a los usuarios realizar operaciones de entidad
Tipo de recurso individual: loganalytics-entity
Parte del tipo de recurso agregado: loganalytics-resources-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
La entidad puede estar en cualquier compartimento del arrendamiento |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
La entidad puede estar en un compartimento específico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
En los ejemplos anteriores se proporciona el permiso USE para loganalytics-entity en el arrendamiento o en un compartimento específico.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar las entidades y sus asociaciones con los orígenes |
Obtiene detalles de una entidad |
Crear, suprimir o actualizar una entidad, moverla a un compartimento diferente, agregar o eliminar la asociación con un origen |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en grupos de logs
Tipo de recurso individual: loganalytics-log-group
Parte del tipo de recurso agregado: loganalytics-resources-family
Sentencia de política de recursos si no se ha definido la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
Los grupos de logs pueden estar en cualquier compartimento del arrendamiento |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Los grupos de logs están en un compartimento específico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
En los ejemplos anteriores se proporciona el permiso MANAGE para loganalytics-log-group en el arrendamiento o en un compartimento específico.
Las siguientes operaciones se pueden realizar con cada verbo al crear la política de IAM para loganalytics-log-group:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los grupos de logs y obtener el resumen |
Obtener detalles de un grupo de logs. |
Crear y actualizar un grupo de logs, cambiar su compartimento |
Suprimir un grupo de logs |