Catalogue de stratégies IAM pour Log Analytics
Vous trouverez ici toutes les stratégies dont vous avez besoin pour utiliser les différentes fonctionnalités et ressources dans Oracle Log Analytics.
Points à noter lors de la création de stratégies IAM pour Oracle Log Analytics :
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Reportez-vous à Documentation d'Oracle Cloud Infrastructure.
-
Vous pouvez créer une stratégie IAM pour chaque type de ressource dans Oracle Log Analytics à l'aide de l'un des verbes Inspecter, Lire, Utiliser ou Gérer, répertoriés dans l'ordre croissant du nombre de droits d'accès que vous pouvez fournir. Reportez-vous à Documentation d'Oracle Cloud Infrastructure.
-
Pour visualiser les droits d'accès exacts et les opérations d'API que vous pouvez effectuer à l'aide de chaque verbe pour chaque type de ressource, reportez-vous à Référence de stratégie Log Analytics.
-
Le service Oracle Log Analytics dans votre location requiert une stratégie IAM de niveau de service au niveau de la location ou de l'utilisateur root.
-
Les stratégies d'accès utilisateur/groupe pour le type de ressource agrégé
loganalytics-features-familyet l'une de ses ressources individuelles doivent être créées au niveau de la location ou de l'utilisateur root. -
Les stratégies d'accès d'utilisateur/de groupe pour le type de ressource agrégé
loganalytics-resources-familyet toutes ses ressources individuelles peuvent être définies au niveau du compartiment ou de la location si nécessaire. -
Vous pouvez utiliser les modèles disponibles pour créer une stratégie pour un groupe d'utilisateurs ou un groupe dynamique afin d'effectuer une opération spécifique ou un ensemble d'opérations. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.
Si vous avez activé Oracle Log Analytics à l'aide de l'interface utilisateur d'intégration qui est disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées pendant l'intégration de Log Analytics.
Rubriques :
Fonctionnalités Log Analytics nécessitant plusieurs instructions de stratégie pour les activer pour les utilisateurs
- Stratégies IAM prérequises
qui inclut l'activation de l'accès de Log Analytics à sa famille de fonctionnalités et l'octroi de l'accès aux groupes d'utilisateurs
- Autoriser les utilisateurs à gérer la personnalisation de la console OCI dans la location
- Autoriser les utilisateurs à gérer les préférences de groupe dans Log Analytics
- Configuration d'instances de calcul pour accéder à la location croisée Log Analytics
- Configuration du tableau de bord de gestion
- Autoriser les utilisateurs à accéder aux exemples de données de journal dans les locations
- Autoriser les utilisateurs à activer et à utiliser LoganAI
- Autorisation de la collecte continue de journaux à l'aide d'agents de gestion
- Autoriser les utilisateurs à effectuer des opérations de création, d'obtention et de liste de chargement à la demande
- Autoriser les utilisateurs à effectuer une opération de suppression de chargement à la demande
- Autoriser les utilisateurs à charger des journaux d'événements
- Autoriser les utilisateurs à télécharger des journaux OpenTelemetry
- Autoriser la collecte de journaux à partir d'Object Storage
- Autoriser la collecte de journaux inter-location à partir d'Object Storage
- Autoriser la collecte de journaux à partir du service OCI Logging
- Autoriser la collecte de journaux inter-location à partir du service OCI Logging
- Autoriser la collecte de journaux à partir du service OCI Streaming
- Autoriser les utilisateurs à effectuer des opérations de pont EM
- Autoriser le repérage automatique des entités et la collecte de journaux
- Autoriser les utilisateurs à purger les données de journal
- Autoriser les utilisateurs à effectuer toutes les opérations sur les tâches planifiées
- Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection
- Autoriser l'utilisation de clés fournies par le client pour le cryptage des journaux
- Autoriser toutes les opérations de la solution de surveillance Kubernetes
Types de ressource et stratégies IAM à utiliser
Oracle Log Analytics dispose de deux types agrégés de ressource loganalytics-features-family et loganalytics-resources-family. Chacun de ces types agrégés de ressource possède plusieurs types individuels de ressource. Si vous créez une stratégie globale pour le type de ressource agrégé, cette stratégie fournit l'autorisation d'effectuer les tâches sur tous les types de ressource individuels sous cette stratégie. Exemples de stratégies globales qui couvrent tous les types de ressource de l'agrégat correspondant :
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyCes instructions de stratégie sont incluses dans le workflow d'intégration disponible dans Oracle Log Analytics lorsque vous y accédez pour la première fois. Toutefois, si vous souhaitez fournir un contrôle d'accès plus détaillé aux différents types de ressource, vous pouvez examiner les instructions de stratégie de chacun des types de ressource individuels.
Voici certains des types individuels de ressource dans loganalytics-features-family et loganalytics-resources-family :
| Type de ressource individuel | Appartient au type de ressource agrégé | Exemples d'instructions de stratégie |
|---|---|---|
|
Type d'entité (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur la ressource de type entité |
|
Champ (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs |
|
Libellé (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes |
|
Cycle de vie (type de ressource : |
|
|
|
Recherche (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les codes express |
|
Analyseur (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs |
|
Source (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources |
|
Stockage (type de ressource : |
|
Autoriser les utilisateurs à afficher les informations de stockage et les journaux archivés |
|
Entité (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations d'entité |
|
Groupe de journaux (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux |
|
Règle de temps d'inclusion (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'inclusion |
Autoriser les utilisateurs à effectuer toutes les opérations sur la ressource de type entité
Type de ressource individuel : loganalytics-entity-type
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource Type d'entité peut se trouver dans la location |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-entity-type dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity-type :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les types d'entité |
Obtenir les détails d'un type d'entité |
Créer, supprimer ou mettre à jour un type d'entité |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs
Type de ressource individuel : loganalytics-field
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Le champ peut se trouver dans la location |
allow group <user_group> to USE loganalytics-field in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-field dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les champs |
Obtenir les détails d'un champ |
Créer, supprimer ou mettre à jour un champ |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes
Type de ressource individuel : loganalytics-label
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Le libellé peut se trouver dans la location |
allow group <user_group> to USE loganalytics-label in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-label dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-label :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les étiquettes |
Obtenir des détails sur un libellé, y compris les sources dans lesquelles il est utilisé |
Créer, supprimer ou mettre à jour un libellé |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à afficher les détails de l'espace de noms et les préférences de locataire
Type de ressource individuel : loganalytics-lifecycle
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-lifecycle dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-lifecycle :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les espaces de noms |
Obtenir des détails sur un espace de noms et les préférences dans le locataire |
Use a le même niveau de droits d'accès et d'opérations d'API que Read. |
Qu'il s'agisse d'un espace de noms, d'une mise à jour ou d'une suppression des préférences du locataire. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs
Type de ressource individuel : loganalytics-parser
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Les analyseurs peuvent se trouver dans la location |
allow group <user_group> to USE loganalytics-parser in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-parser dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-parser :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les analyseurs et obtenir leur récapitulatif |
Obtenir des détails sur un analyseur, répertorier les fonctions de l'analyseur, tester un analyseur, extraire les chemins de l'en-tête et des champs du contenu du journal |
Créer, supprimer ou mettre à jour un analyseur |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources
Type de ressource individuel : loganalytics-source
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La source peut se trouver dans la location |
allow group <user_group> to USE loganalytics-source in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-source dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-source :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertoriez les sources, connaissez les types de source, les associations d'entités pour chaque source, les libellés utilisés dans les sources et les fonctions source. |
Obtenir des détails sur une source, notamment les associations, les définitions de champs étendus (EFD) et les modèles. Validez les paramètres d'association et les détails EFD. |
Créez, supprimez ou mettez à jour des sources ou des associations et validez une source. |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à afficher les informations de stockage et les journaux archivés
Type de ressource individuel : loganalytics-storage
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource de stockage peut se trouver dans la location |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
L'exemple ci-dessus fournit le droit d'accès MANAGE pour loganalytics-storage dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-storage :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
S/O |
Obtenez des détails sur le stockage et son utilisation. |
Avec certaines autorisations supplémentaires, vous pouvez rappeler les données archivées et libérer les données rappelées. Reportez-vous à Référence de stratégie Log Analytics. |
Activez et désactivez l'archivage, mettez à jour le stockage et obtenez la taille des données de purge. |
Autoriser les utilisateurs à effectuer des opérations d'entité
Type de ressource individuel : loganalytics-entity
Partie du type agrégé de ressource : loganalytics-resources-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
L'entité peut se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
L'entité peut se trouver dans un compartiment spécifique |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent le droit d'accès USE pour loganalytics-entity dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les entités, répertorier leurs associations avec les sources |
Obtenir les détails d'une entité |
Créer, supprimer ou mettre à jour une entité, la déplacer vers un autre compartiment, ajouter ou enlever une association avec une source |
Gérer présente le même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux
Type de ressource individuel : loganalytics-log-group
Partie du type agrégé de ressource : loganalytics-resources-family
Instruction de stratégie de ressource si la stratégie familiale n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Les groupes de journaux peuvent se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Les groupes de journaux se trouvent dans un compartiment spécifique |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent le droit d'accès MANAGE pour loganalytics-log-group dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-log-group :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les groupes de journaux et obtenir le récapitulatif |
Obtenir les détails d'un groupe de journaux. |
Création et mise à jour d'un groupe de journaux, modification de son compartiment |
Suppression d'un groupe de journaux |