Octroi de l'accès à Logging Analytics et à ses ressources
Configurez la location Oracle Cloud Infrastructure pour utiliser Oracle Logging Analytics en effectuant ces tâches de configuration prérequis.
Oracle Logging Analytics est un service régional. Avant de commencer, sélectionnez la région à utiliser. Vous pouvez suivre les étapes ci-dessous pour chaque région à configurer, mais chaque région correspond à une instance différente. Sélectionnez la région à l'aide du sélecteur de région dans l'angle supérieur droit de la console.
Rubriques :
-
Activation de l'accès de Logging Analytics à sa famille de fonctionnalités
-
Identification des compartiments OCI dans lesquels placer les ressources Logging Analytics
-
Création de groupes d'utilisateurs pour implémenter le contrôle d'accès
Pour obtenir des stratégies permettant d'effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Logging Analytics, reportez-vous à Catalogue de stratégies IAM pour Logging Analytics.
Vous pouvez utiliser les modèles disponibles pour créer une stratégie permettant à un groupe d'utilisateurs ou à un groupe dynamique d'effectuer une opération spécifique ou un ensemble d'opérations. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Activation de l'accès de Logging Analytics à sa famille de fonctionnalités
Vous devez créer une stratégie IAM au niveau du service pour permettre au service Oracle Logging Analytics de fonctionner. Créez des stratégies à l'aide des stratégies IAM Oracle Cloud Infrastructure standard et ajoutez-y l'instruction de stratégie suivante.
| Instruction de stratégie | Description |
|---|---|
allow service loganalytics to READ loganalytics-features-family in tenancy |
Accordez les droits d'accès READ du service Oracle Logging Analytics de la famille loganalytics-features-family dans la location. |
Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.
Pour obtenir des stratégies permettant d'effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Logging Analytics, reportez-vous à Catalogue de stratégies IAM pour Logging Analytics.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Identification des compartiments OCI dans lesquels placer les ressources Logging Analytics
Utilisez des compartiments pour créer les ressources Oracle Logging Analytics telles que les entités et les groupes de journaux. Affinez l'accès aux compartiments pour un meilleur contrôle d'accès utilisateur.
Vous pouvez utiliser des compartiments existants ou en créer spécifiquement forOracle Logging Analytics. Vous pouvez créer plusieurs compartiments pour permettre à différents ensembles d'utilisateurs d'accéder à différentes parties du produit ou des données de journal. Pour plus d'informations sur le fonctionnement des compartiments, reportez-vous à Gestion des compartiments dans la documentation Oracle Cloud Infrastructure.
Les ressources Oracle Logging Analytics doivent se trouver dans les compartiments. Lorsque vous créez l'une des ressources suivantes, vous devez sélectionner le compartiment dans lequel elle se trouvera :
| Ressource | Contrôle d'accès à l'aide des stratégies Oracle IAM |
|---|---|
|
Entités |
Vous pouvez déterminer qui peut activer ou désactiver la collecte de journal pour une entité spécifique. |
|
Groupes de journaux |
Vous pouvez déterminer qui peut effectuer des recherches dans les journaux après leur collecte, leur enrichissement et leur indexation. |
|
Stratégies de purge |
Vous pouvez déterminer qui peut arrêter ou modifier la définition de stratégie de purge. |
|
Règles de collecte Object Storage |
Vous pouvez déterminer qui peut arrêter ou modifier la règle de collecte. |
Pour obtenir des stratégies permettant d'effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Logging Analytics, reportez-vous à Catalogue de stratégies IAM pour Logging Analytics.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Création de groupes d'utilisateurs pour implémenter le contrôle d'accès
Créez des groupes d'utilisateurs pour accorder différents niveaux d'accès aux utilisateurs en fonction de la façon dont vous voulez utiliser Oracle Logging Analytics.
Un utilisateur membre du groupe Administration dispose d'un accès complet à toutes les fonctionnalités d'Oracle Logging Analytics. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.
Groupes d'utilisateurs recommandés
Pour commencer, il est recommandé de créer des groupes d'utilisateurs semblables aux exemples suivants :
- Logging-Analytics-Users : les utilisateurs que vous ajoutez à ce groupe peuvent interroger les journaux et visualiser diverses configurations. Toutefois, ils ne peuvent pas activer ou désactiver la collecte de journal, modifier les configurations ou supprimer des journaux.
- Logging-Analytics-Admins : les utilisateurs que vous ajoutez à ce groupe disposent des privilèges Logging-Analytics-Users, et peuvent créer ou modifier des sources, des analyseurs, des entités et des groupes de journaux. Ces utilisateurs peuvent également activer ou désactiver la collecte de journal. Ils ne peuvent toutefois pas purger les journaux.
- Logging-Analytics-SuperAdmins : les utilisateurs de ce groupe disposent des privilèges Logging-Analytics-Admins, et peuvent effectuer des activités de cycle de vie telles que l'intégration et le débarquement dans Oracle Logging Analytics, et la purge des journaux.
Les groupes ci-dessus sont présentés à titre d'exemples et sont utilisés pour créer des stratégies IAM dans cette documentation. Vous pouvez créer les groupes d'utilisateurs qui répondent à vos besoins.
Types agrégés de ressource dans Logging Analytics
Les deux familles suivantes permettent d'accorder un accès en masse sans avoir à affecter des droits d'accès individuels à chaque groupe d'utilisateurs. Dans la plupart des cas, vous pouvez les utiliser pour simplifier la gestion de vos stratégies Oracle Logging Analytics.
- loganalytics-features-family : permet de contrôler les fonctionnalités auxquelles un utilisateur a accès, ainsi que les actions qu'il peut effectuer à l'aide de la console, de l'API REST, de l'interface de ligne de commande ou du kit SDK.
La famille loganalytics-features-family et les ressources qu'elle contient peuvent être définies uniquement au niveau de la location, et non par compartiment.
- loganalytics-resources-family : permet de contrôler l'accès dont dispose l'utilisateur pour créer, lire, mettre à jour et supprimer des ressources telles que les entités, les groupes de journaux, les stratégies de purge et les règles de collecte de banque d'objets.
Cette famille et les ressources qu'elle contient peuvent disposer d'un accès à l'ensemble de la location ou à un compartiment spécifique.
Pour obtenir des stratégies permettant d'effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Logging Analytics, reportez-vous à Catalogue de stratégies IAM pour Logging Analytics.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Octroi de l'accès à des groupes d'utilisateurs
Créez des stratégies à l'aide des stratégies IAM Oracle Cloud Infrastructure standard pour définir la façon dont vos groupes d'utilisateurs peuvent utiliser Oracle Logging Analytics.
Si vous voulez tester rapidement Oracle Logging Analytics sans gérer les groupes et les stratégies, un utilisateur membre du groupe Administrateurs dispose d'un accès complet à toutes les fonctionnalités. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.
Pour configurer la stratégie en fonction des exemples de groupe présentés dans Création de groupes d'utilisateurs pour implémenter le contrôle d'accès, appliquez les ensembles de stratégies suivants.
Pour le groupe d'utilisateurs Logging-Analytics-SuperAdmins :
| Stratégie | Description |
|---|---|
|
|
Accordez au groupe Logging-Analytics-SuperAdmins les droits d'accès MANAGE de la famille loganalytics-features-family dans la location. Cette stratégie octroie des droits permettant d'effectuer toutes les tâches dans le service, y compris le débarquement, la suppression de journaux, la configuration de l'archivage, etc. |
|
Ou
|
Autorisez le groupe Logging-Analytics-SuperAdmins à disposer des droits d'accès MANAGE de la famille loganalytics-resources-family dans la location ou dans un compartiment spécifique. Cette stratégie autorise l'exécution de toute tâche dans le service sur tout type de ressource appartenant à la famille loganalytics-resources-family. |
|
|
Accordez au groupe Logging-Analytics-SuperAdmins tous les droits d'accès pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer de la location à des compartiments spécifiques. |
|
|
Autorisez le groupe Logging-Analytics-SuperAdmins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ce champ est obligatoire pour l'utilisation de l'explorateur de journaux. |
Pour le groupe d'utilisateurs Logging-Analytics-Admins :
| Stratégie | Description |
|---|---|
|
|
Accordez au groupe Logging-Analytics-Admins les droits d'accès USE de la famille loganalytics-features-family dans la location. |
|
Ou
|
Autorisez le groupe Logging-Analytics-Admins à disposer des droits d'accès USE de la famille loganalytics-resources-family dans la location ou dans un compartiment spécifique. Autorisez ce groupe à visualiser, créer, modifier ou supprimer les ressources de la famille loganalytics-resources-family. |
|
Ou
|
Accordez au groupe Logging-Analytics-Admins tous les droits d'accès pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer de la location à des compartiments spécifiques. |
|
|
Autorisez le groupe Logging-Analytics-Admins à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ce champ est obligatoire pour l'utilisation de l'explorateur de journaux. |
Pour le groupe d'utilisateurs Logging-Analytics-Users :
| Stratégie | Description |
|---|---|
|
|
Accordez au groupe Logging-Analytics-Users les droits d'accès READ de la famille loganalytics-features-family dans la location. |
|
Ou
|
Accordez au groupe Logging-Analytics-Users les droits d'accès READ de la famille loganalytics-resources-family dans la location. Vous pouvez passer de la location à des compartiments spécifiques. Autorisez ce groupe à visualiser les détails des ressources de la famille loganalytics-resources-family. L'utilisateur ne peut ni en créer, ni en modifier, ni en supprimer. |
|
Ou
|
Accordez au groupe Logging-Analytics-Users les droits d'accès USE pour la famille de ressources du tableau de bord de gestion dans la location. Vous pouvez passer de la location à des compartiments spécifiques. |
|
|
Autorisez le groupe Logging-Analytics-Users à obtenir la liste des compartiments disponibles pour les groupes de journaux auxquels le groupe peut avoir accès. Ce champ est obligatoire pour l'utilisation de l'explorateur de journaux. |
Vous pouvez ajouter des instructions de stratégie propres aux compartiments pour un nombre illimité de compartiments créés afin d'organiser les ressources telles que les entités et les groupes de journaux. Ces ressources peuvent également se trouver dans différents compartiments. Il n'est pas nécessaire que toutes les instances de ressource de divers types figurent dans le même compartiment. Toutefois, la gestion peut être simplifiée si vous avez la possibilité de réduire le nombre de compartiments utilisés.
Au lieu de passer par la famille de ressources, vous pouvez également spécifier une stratégie au niveau des ressources individuelles. Par exemple :
| Stratégie | Description |
|---|---|
|
|
Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des entités, et activer ou désactiver la collecte de journal pour les entités du compartiment Databases. |
|
|
Les utilisateurs du groupe DBA peuvent créer, modifier ou supprimer des groupes de journaux, et interroger les journaux stockés dans le compartiment Databases. |
Certaines des instructions de stratégie ci-dessus sont incluses dans les modèles de stratégie facilement disponibles définis par Oracle. Vous pouvez envisager d'utiliser le modèle pour votre cas d'emploi. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.
Pour obtenir des stratégies permettant d'effectuer des tâches spécifiques et une référence complète des exigences de stratégie dans Logging Analytics, reportez-vous à Catalogue de stratégies IAM pour Logging Analytics.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Activation de Logging Analytics
Une fois les tâches préalables effectuées, telles que la création de groupes d'utilisateurs, la création de compartiments et la définition de stratégies d'accès pour les groupes d'utilisateurs, vous pouvez accéder à Oracle Logging Analytics et l'activer pour utilisation.
Pour activer Oracle Logging Analytics, vous devez être membre du groupe Administrateurs. Reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur.
-
Ouvrez le menu de navigation et cliquez sur Observation et gestion, puis sur Logging Analytics.
-
Si vous utilisez le service pour la première fois dans cette région, vous accédez à une page d'intégration qui fournit des détails de haut niveau sur le service et permet de commencer à utiliser le service Oracle Logging Analytics. Cliquez sur Commencer à utiliser Logging Analytics.
La boîte de dialogue Activer Logging Analytics apparaît. Les stratégies et le groupe de journaux minimaux requis y sont créés s'ils n'existent pas déjà.
-
Cliquez sur Suivant. La collection de journaux d'audit OCI est configurée.
La case à cocher Inclure _Audit dans les sous-compartiments est activée par défaut. Vous pouvez le désactiver, si nécessaire. Selon vos préférences, les stratégies sont créées et les actions appropriées sont exécutées.
Cliquez sur Suivant.
-
Une fois l'intégration terminée, cliquez sur Accéder à l'explorateur de journaux.
Vous pouvez maintenant explorer Oracle Logging Analytics.
Pour afficher la liste des stratégies créées dans le processus ci-dessus, reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.