Catálogo de políticas de IAM para Logging Analytics
Aquí puede encontrar todas las políticas necesarias para utilizar las distintas funciones y recursos de Oracle Logging Analytics.
Algunos de los puntos que debe tener en cuenta al crear políticas de IAM para Oracle Logging Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulte la documentación de Oracle Cloud Infrastructure.
-
Puede crear una política de IAM para cada tipo de recurso en Oracle Logging Analytics mediante uno de los verbos Inspeccionar, Leer, Usar o Gestionar, que se muestran en el orden creciente del número de permisos que puede proporcionar. Consulte la documentación de Oracle Cloud Infrastructure.
-
Para ver los permisos exactos y las operaciones de API que puede realizar con cada verbo para cada tipo de recurso, consulte Referencia de política de Logging Analytics.
-
El servicio Oracle Logging Analytics de su arrendamiento requiere una política de IAM de nivel de servicio en el nivel de arrendamiento o raíz.
-
Las políticas de acceso de usuario/grupo para el tipo de recurso agregado
loganalytics-features-familyy cualquiera de sus recursos individuales se deben crear en el nivel de arrendamiento o root. -
Las políticas de acceso de usuario/grupo para el tipo de recurso agregado
loganalytics-resources-familyy cualquiera de sus recursos individuales se pueden definir en el nivel de compartimento o arrendamiento según sea necesario. -
Puede utilizar las plantillas fácilmente disponibles para crear una política para un grupo de usuarios o grupo dinámico para realizar una operación específica o una recopilación de operaciones. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Temas:
Funciones de Logging Analytics que requieren varias sentencias de política para activarlas para los usuarios
- Políticas de IAM de requisitos previos
que incluye Activar acceso desde Logging Analytics a su familia de funciones y Otorgar acceso a grupos de usuarios
- Permitir a los usuarios gestionar la personalización de la consola de OCI en el arrendamiento
- Permitir a los usuarios gestionar preferencias de grupo en Logging Analytics
- Configuración de instancias informáticas para acceder a Logging Analytics entre arrendamientos
- Configuración del panel de gestión
- Permitir a los usuarios acceder a datos de log de ejemplo en arrendamientos
- Permitir la recopilación continua de logs mediante agentes de gestión
- Permitir a los usuarios realizar operaciones de creación, obtención y lista de cargas bajo demanda
- Permitir a los usuarios realizar la operación de supresión de carga bajo demanda
- Permisos necesarios para cargar logs de eventos
- Permitir recopilación de logs de Object Storage
- Permitir recopilación de logs entre arrendamientos desde Object Storage
- Permitir recopilación de logs del servicio OCI Logging
- Permitir recopilación de logs entre arrendamientos desde el servicio OCI Logging
- Permitir recopilación de logs del servicio OCI Streaming
- Permitir a los usuarios realizar operaciones de puente de EM
- Permitir la detección automática de entidades y la recopilación de logs
- Permitir a los usuarios depurar datos de log
- Permitir a los usuarios realizar todas las operaciones en tareas programadas
- Permitir a los usuarios realizar todas las operaciones con plantillas de reglas de detección
- Permitir el uso de claves proporcionadas por el cliente para cifrar logs
- Permitir todas las operaciones de la solución Kubernetes
Algunos de los tipos de recursos individuales y las políticas de IAM que se deben utilizar
Oracle Logging Analytics tiene dos tipos de recursos agregados: loganalytics-features-family y loganalytics-resources-family. Cada uno de estos tipos de recursos agregados tiene varios tipos de recursos individuales como parte de ellos. Si crea una política general para el tipo de recurso agregado, esa política proporciona el permiso para realizar las tareas en todos los tipos de recursos individuales de esa política. Las políticas generales de ejemplo que cubren todos los tipos de recursos de la agregación correspondiente:
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyEstas sentencias de política se incluyen en el flujo de trabajo de vinculación disponible en Oracle Logging Analytics al acceder a él por primera vez. Sin embargo, si desea proporcionar un control de acceso más granular a los tipos de recursos individuales, puede que desee explorar las sentencias de política de cada uno de los tipos de recursos individuales.
A continuación se muestran algunos de los tipos de recursos individuales en loganalytics-features-family y loganalytics-resources-family:
| Tipo de recurso individual | Pertenece al tipo de recurso agregado | Sentencias de política de ejemplo |
|---|---|---|
|
Tipo de entidad (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en el recurso de tipo de entidad |
|
Campo (Tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en los campos |
|
Etiqueta (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en las etiquetas |
|
Ciclo de vida (tipo de recurso: |
|
Permitir a los usuarios ver detalles de espacio de nombres y preferencias de inquilino |
|
Consulta (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en las consultas |
|
Analizador (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en analizadores |
|
Origen (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en los orígenes |
|
Almacenamiento (tipo de recurso: |
|
Permitir a los usuarios ver información de almacenamiento y archive logs |
|
Entidad (tipo de recurso: |
|
|
|
Grupo de logs (tipo de recurso: |
|
Permitir a los usuarios realizar todas las operaciones en grupos de logs |
|
Regla de tiempo de ingesta (tipo de recurso: |
|
Permitir a los usuarios realizar operaciones de regla de alerta de tiempo de ingesta |
Permitir a los usuarios realizar todas las operaciones en el recurso de tipo de entidad
Tipo de recurso individual: loganalytics-entity-type
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso Tipo de entidad puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-entity-type en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-entity-type:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los tipos de entidad |
Obtener detalles sobre un tipo de entidad |
Crear, suprimir o actualizar un tipo de entidad |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en los campos
Tipo de recurso individual: loganalytics-field
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El campo puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-field in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-field en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los campos |
Obtener detalles de un campo |
Crear, suprimir o actualizar un campo |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en las etiquetas
Tipo de recurso individual: loganalytics-label
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
La etiqueta puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-label in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-label en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-label:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar las etiquetas |
Obtener detalles sobre una etiqueta, incluidos los orígenes en los que se utiliza |
Crear, suprimir o actualizar una etiqueta |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios ver detalles de espacio de nombres y preferencias de inquilino
Tipo de recurso individual: loganalytics-lifecycle
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-lifecycle en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-lifecycle:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Mostrar los espacios de nombres |
Obtener detalles sobre un espacio de nombres y las preferencias del inquilino |
Uso tiene el mismo nivel de permisos y operaciones de API que Lectura. |
Desvincular o incorporar un espacio de nombres, actualizar o eliminar preferencias de inquilino. |
Permitir a los usuarios realizar todas las operaciones en analizadores
Tipo de recurso individual: loganalytics-parser
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
Los analizadores pueden estar en el arrendamiento |
allow group <user_group> to USE loganalytics-parser in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-parser en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-parser:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los analizadores y obtener su resumen |
Obtener detalles sobre un analizador, mostrar las funciones del analizador, probar un analizador, extraer las rutas de acceso de la cabecera y los campos del contenido del log |
Creación, supresión o actualización de un analizador |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en los orígenes
Tipo de recurso individual: loganalytics-source
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El origen puede estar en el arrendamiento |
allow group <user_group> to USE loganalytics-source in tenancy |
En el ejemplo anterior, se proporciona el permiso USE para loganalytics-source en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-source:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumere los orígenes, conozca los tipos de origen, las asociaciones de entidad para cada origen, las etiquetas utilizadas en los orígenes y las funciones de origen. |
Obtenga detalles sobre un origen, incluidas asociaciones, definiciones de campos ampliados (EFD), patrones. Validación de parámetros de asociación y detalles de EFD. |
Cree, suprima o actualice orígenes o asociaciones y valide un origen. |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios ver información de almacenamiento y archive logs
Tipo de recurso individual: loganalytics-storage
Parte de tipo de recurso agregado: loganalytics-features-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
El recurso de almacenamiento puede estar en el arrendamiento |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
En el ejemplo anterior se proporciona el permiso MANAGE para loganalytics-storage en el arrendamiento.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-storage:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
Obtenga detalles sobre el almacenamiento y su uso. |
Con algunos permisos adicionales, puede recuperar los datos archivados y liberar los datos recuperados. Consulte la Referencia de políticas de Logging Analytics. |
Active y desactive el archivado, actualice el almacenamiento y obtenga el tamaño de datos de depuración. |
Permitir a los usuarios realizar operaciones de entidad
Tipo de recurso individual: loganalytics-entity
Parte de tipo de recurso agregado: loganalytics-resources-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
La entidad puede estar en cualquier compartimento del arrendamiento |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
La entidad puede estar en un compartimento específico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
En los ejemplos anteriores se proporciona el permiso USE para loganalytics-entity en el arrendamiento o en un compartimento específico.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar las entidades, mostrar sus asociaciones con los orígenes |
Obtener detalles de una entidad |
Crear, suprimir o actualizar una entidad, moverla a un compartimento diferente, agregar o eliminar asociación con un origen |
Gestionar tiene el mismo nivel de permisos y operaciones de API que Usar. |
Permitir a los usuarios realizar todas las operaciones en grupos de logs
Tipo de recurso individual: loganalytics-log-group
Parte de tipo de recurso agregado: loganalytics-resources-family
Sentencia de política de recursos si no se define la política de familia:
| Caso de uso | Políticas de IAM |
|---|---|
|
Los grupos de logs pueden estar en cualquier compartimento del arrendamiento |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Los grupos de logs están en un compartimento específico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
En los ejemplos anteriores se proporciona el permiso MANAGE para loganalytics-log-group en el arrendamiento o en un compartimento específico.
Se pueden realizar las siguientes operaciones con cada verbo al crear la política de IAM para loganalytics-log-group:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumerar los grupos de logs y obtener el resumen |
Obtener detalles de un grupo de logs. |
Crear y actualizar un grupo de logs, cambiar su compartimento |
Suprimir un grupo de logs |