Catalogue de politiques IAM pour Log Analytics
Vous trouverez ici toutes les politiques dont vous avez besoin pour utiliser les différentes fonctions et ressources d'Oracle Log Analytics.
Certains des points que vous devez noter lors de la création de politiques IAM pour Oracle Log Analytics :
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Voir Documentation sur Oracle Cloud Infrastructure.
-
Vous pouvez créer une politique IAM pour chaque type de ressource dans Oracle Log Analytics à l'aide de l'un des verbes Inspecter, Lecture, Utiliser ou Gérer, listé dans l'ordre croissant du nombre d'autorisations que vous pouvez fournir. Voir Documentation sur Oracle Cloud Infrastructure.
-
Pour voir les autorisations exactes et les opérations d'API que vous pouvez effectuer à l'aide de chaque verbe pour chaque type de ressource, voir Informations de référence sur les politiques Log Analytics.
-
Le service Oracle Log Analytics de votre location nécessite une politique IAM de niveau de service au niveau de la location ou de l'racine.
-
Les politiques d'accès utilisateur/groupe pour le type de ressource agrégé
loganalytics-features-familyet toutes ses ressources individuelles doivent être créées au niveau de la location ou de la racine. -
Les politiques d'accès utilisateur/groupe pour le type de ressource agrégé
loganalytics-resources-familyet toutes ses ressources individuelles peuvent être définies au niveau du compartiment ou de la location, si nécessaire. -
Vous pouvez utiliser les modèles facilement disponibles pour créer une stratégie pour un groupe d'utilisateurs ou un groupe dynamique afin d'effectuer une opération spécifique ou un ensemble d'opérations. Voir Modèles de politique définis par Oracle pour les cas d'utilisation communs.
Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous naviguez vers le service pour la première fois, certaines politiques sont déjà créées. Voir Politiques créées lors de l'intégration de Log Analytics.
Rubriques :
Fonctions Log Analytics qui requièrent plusieurs énoncés de politique pour les activer pour les utilisateurs
- Politiques GIA requises
qui inclut Activer l'accès de Log Analytics à sa famille de fonctions et Accorder l'accès aux groupes d'utilisateurs
- Autoriser les utilisateurs à gérer la personnalisation de la console OCI dans la location
- Autoriser les utilisateurs à gérer les préférences de groupe dans Log Analytics
- Configurer des instances de calcul pour accéder à Log Analytics interlocation
- Configurer le tableau de bord de gestion
- Autoriser les utilisateurs à accéder aux données-échantillons de journal entre les locations
- Autoriser les utilisateurs à activer et à utiliser LoganAI
- Permettre la collecte continue de journaux à l'aide d'agents de gestion
- Permettre aux utilisateurs d'effectuer des opérations de création, d'obtention et de liste de chargement sur demande
- Autoriser les utilisateurs à effectuer une opération de suppression de chargement sur demande
- Autoriser les utilisateurs à charger les journaux d'événements
- Autoriser les utilisateurs à charger les journaux OpenTelemetry
- Autoriser la collecte de journaux à partir du stockage d'objets
- Autoriser la collecte de journaux interlocation à partir du stockage d'objets
- Autoriser la collecte des journaux à partir du service de journalisation OCI
- Autoriser la collecte de journaux interlocation à partir du service de journalisation OCI
- Autoriser la collecte des journaux à partir du service de diffusion en continu pour OCI
- Autoriser les utilisateurs à effectuer des opérations de pont EM
- Autoriser la détection automatique d'entités et la collecte de journaux
- Autoriser les utilisateurs à épurer les données de journal
- Autoriser les utilisateurs à effectuer toutes les opérations sur les tâches programmées
- Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection
- Autoriser l'utilisation de clés fournies par le client pour le chiffrement des journaux
- Autoriser toutes les opérations de la solution de surveillance Kubernetes
Certains types de ressource individuels et certaines politiques IAM pour les utiliser
Oracle Log Analytics comporte deux types de ressource agrégés loganalytics-features-family et loganalytics-resources-family. Chacun de ces types de ressource agrégés comporte plusieurs types de ressource individuels. Si vous créez une politique globale pour le type de ressource agrégé, cette politique fournit l'autorisation d'effectuer les tâches sur tous les types de ressource individuels sous cette politique. Exemples de politiques générales qui couvrent tous les types de ressource de l'agrégat correspondant :
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyCes énoncés de politique sont inclus dans le flux de travail d'intégration disponible dans Oracle Log Analytics lorsque vous y accédez pour la première fois. Toutefois, si vous voulez fournir un contrôle d'accès plus granulaire aux types de ressource individuels, vous pouvez explorer les énoncés de politique de chacun des types de ressource individuels.
Voici quelques-uns des types de ressource individuels dans loganalytics-features-family et loganalytics-resources-family :
| Type de ressource individuel | Appartient à un type de ressource agrégé | Exemples d'énoncés de politique |
|---|---|---|
|
Type d'entité (Type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur la ressource de type d'entité |
|
Champ (Type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs |
|
Étiquette (Type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes |
|
Cycle de vie (type de ressource : |
|
Autoriser les utilisateurs à voir les détails de l'espace de noms et les préférences du client |
|
Consultation (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les consultations |
|
Analyseur (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs |
|
Source (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources |
|
Stockage (type de ressource : |
|
Autoriser les utilisateurs à voir les informations de stockage et les journaux d'archivage |
|
Entité (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations d'entité |
|
Groupe de journaux (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux |
|
Règle de temps d'ingestion (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'ingestion |
Autoriser les utilisateurs à effectuer toutes les opérations sur la ressource de type d'entité
Type de ressource individuel : loganalytics-entity-type
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
La ressource Type d'entité peut se trouver dans la location |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-entity-type dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-entity-type :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les types d'entité |
Obtenir des détails sur un type d'entité |
Créer, supprimer ou mettre à jour un type d'entité |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs
Type de ressource individuel : loganalytics-field
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
Le champ peut se trouver dans la location |
allow group <user_group> to USE loganalytics-field in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-field dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les champs |
Obtenir les détails d'un champ |
Créer, supprimer ou mettre à jour un champ |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes
Type de ressource individuel : loganalytics-label
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
L'étiquette peut se trouver dans la location |
allow group <user_group> to USE loganalytics-label in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-label dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-label :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les étiquettes |
Obtenir des détails sur une étiquette, y compris les sources dans lesquelles elle est utilisée |
Créer, supprimer ou mettre à jour une étiquette |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à voir les détails de l'espace de noms et les préférences du client
Type de ressource individuel : loganalytics-lifecycle
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
La ressource |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-lifecycle dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-lifecycle :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les espaces de noms |
Obtenir des détails sur un espace de noms et les préférences du locataire |
Le service Utilisation a le même niveau d'autorisations et d'opérations d'API que le service Lecture. |
Offrir ou intégrer un espace de noms, mettre à jour ou supprimer les préférences du client. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs
Type de ressource individuel : loganalytics-parser
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
Les analyseurs peuvent se trouver dans la location |
allow group <user_group> to USE loganalytics-parser in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-parser dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-parser :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les analyseurs et obtenir leur sommaire |
Obtenir des détails sur un analyseur, lister les fonctions de l'analyseur, tester un analyseur, extraire les chemins de l'en-tête et des champs du contenu du journal |
Créer, supprimer ou mettre à jour un analyseur |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources
Type de ressource individuel : loganalytics-source
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
La source peut se trouver dans la location |
allow group <user_group> to USE loganalytics-source in tenancy |
L'exemple ci-dessus fournit l'autorisation USE pour loganalytics-source dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-source :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les sources, connaître les types de source, les associations d'entités pour chaque source, les étiquettes utilisées dans les sources et les fonctions sources. |
Obtenez des détails sur une source, y compris les associations, les définitions de champ étendu (EFD), les modèles. Valider les paramètres d'association et les détails EFD. |
Créer, supprimer ou mettre à jour des sources ou des associations, et valider une source. |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à voir les informations de stockage et les journaux d'archivage
Type de ressource individuel : loganalytics-storage
Partie du type de ressource agrégé : loganalytics-features-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
La ressource de stockage peut se trouver dans la location |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
L'exemple ci-dessus fournit l'autorisation MANAGE pour loganalytics-storage dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-storage :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
S.O |
Obtenez des détails sur le stockage et son utilisation. |
Avec certaines autorisations supplémentaires, vous pouvez rappeler les données archivées et libérer les données rappelées. Voir Informations de référence sur les politiques Log Analytics. |
Activez et désactivez l'archivage, mettez à jour le stockage et obtenez la taille des données d'épuration. |
Autoriser les utilisateurs à effectuer des opérations d'entité
Type de ressource individuel : loganalytics-entity
Partie du type de ressource agrégé : loganalytics-resources-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
L'entité peut se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
L'entité peut se trouver dans un compartiment spécifique |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent l'autorisation USE pour loganalytics-entity dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les entités, répertorier leurs associations avec les sources |
Obtenir les détails d'une entité |
Créer, supprimer ou mettre à jour une entité, la déplacer vers un autre compartiment, ajouter ou supprimer une association avec une source |
Manage (Gérer) a le même niveau d'autorisations et d'opérations d'API que Use (Utiliser). |
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux
Type de ressource individuel : loganalytics-log-group
Partie du type de ressource agrégé : loganalytics-resources-family
Énoncé de politique de ressource si la politique de famille n'est pas définie :
| Cas d'utilisation | Politiques GIA |
|---|---|
|
Les groupes de journaux peuvent se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Les groupes de journaux se trouvent dans un compartiment spécifique |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent l'autorisation MANAGE pour loganalytics-log-group dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une politique IAM pour loganalytics-log-group :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les groupes de journaux et obtenir le sommaire |
Obtenir les détails d'un groupe de journaux. |
Créer et mettre à jour un groupe de journaux, modifier son compartiment |
Supprimer un groupe de journaux |