Catalogue de stratégies IAM pour Logging Analytics
Vous trouverez ici toutes les stratégies dont vous avez besoin pour utiliser les différentes fonctionnalités et ressources dans Oracle Logging Analytics.
Quelques points à prendre en compte lors de la création de stratégies IAM pour Oracle Logging Analytics :
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Reportez-vous à Documentation Oracle Cloud Infrastructure.
-
Vous pouvez créer une stratégie IAM pour chaque type de ressource dans Oracle Logging Analytics à l'aide de l'un des verbes Inspecter, Lire, Utiliser ou Gérer, répertoriés dans l'ordre croissant du nombre de droits d'accès que vous pouvez fournir. Reportez-vous à Documentation Oracle Cloud Infrastructure.
-
Afin d'afficher les droits d'accès exacts et les opérations d'API que vous pouvez effectuer à l'aide de chaque verbe pour chaque type de ressource, reportez-vous à Référence de stratégie Logging Analytics.
-
Le service Oracle Logging Analytics de votre location requiert une stratégie IAM de niveau de service au niveau de la location ou de l'utilisateur root.
-
Les stratégies d'accès utilisateur/groupe pour le type de ressource agrégé
loganalytics-features-familyet toutes ses ressources individuelles doivent être créées au niveau de la location ou de l'utilisateur root. -
Les stratégies d'accès utilisateur/groupe pour le type de ressource agrégé
loganalytics-resources-familyet toutes ses ressources individuelles peuvent être définies au niveau du compartiment ou de la location si nécessaire. -
Vous pouvez utiliser les modèles disponibles pour créer une stratégie permettant à un groupe d'utilisateurs ou à un groupe dynamique d'effectuer une opération spécifique ou un ensemble d'opérations. Reportez-vous à Modèles de stratégie définis par Oracle pour les cas d'utilisation courants.
Si vous avez activé Oracle Logging Analytics à l'aide de l'interface utilisateur d'intégration disponible lorsque vous accédez au service pour la première fois, certaines stratégies sont déjà créées. Reportez-vous à Stratégies créées lors de l'intégration de Logging Analytics.
Rubriques :
Fonctionnalités Logging Analytics nécessitant plusieurs instructions de stratégie pour les activer pour les utilisateurs
- Stratégies IAM prérequises
qui inclut les options Activer l'accès de Logging Analytics à sa famille de fonctionnalités et Octroyer l'accès aux groupes d'utilisateurs
- Autoriser les utilisateurs à gérer la personnalisation de la console OCI dans la location
- Autoriser les utilisateurs à gérer les préférences de groupe dans Logging Analytics
- Configuration d'instances de calcul pour accéder à la location croisée Logging Analytics
- Configuration du tableau de bord de gestion
- Autoriser les utilisateurs à accéder aux exemples de données de journal dans les locations
- Autorisation de la collecte continue de journaux à l'aide d'agents de gestion
- Autoriser les utilisateurs à effectuer des opérations de création, d'obtention et de liste de chargement à la demande
- Autoriser les utilisateurs à effectuer une opération de suppression de chargement à la demande
- Droits d'accès requis pour charger les journaux d'événements
- Autoriser la collecte de journaux à partir d'un stockage d'objet
- Autoriser la collecte de journaux inter-location à partir d'Object Storage
- Autoriser la collecte de journaux à partir du service OCI Logging
- Autoriser la collecte de journaux inter-location à partir du service OCI Logging
- Autoriser la collecte de journaux à partir du service OCI Streaming
- Autoriser les utilisateurs à effectuer des opérations de pont EM
- Autoriser la découverte automatique des entités et la collecte de journaux
- Autoriser les utilisateurs à purger les données de journal
- Autoriser les utilisateurs à effectuer toutes les opérations sur les tâches planifiées
- Autoriser les utilisateurs à effectuer toutes les opérations avec des modèles de règle de détection
- Autoriser l'utilisation de clés fournies par le client pour le cryptage des journaux
- Autoriser toutes les opérations de solution Kubernetes
Types de ressource individuels et stratégies IAM à utiliser
Oracle Logging Analytics comporte deux types agrégés de ressource : loganalytics-features-family et loganalytics-resources-family. Chacun de ces types agrégés de ressources comporte plusieurs types individuels de ressources. Si vous créez une stratégie globale pour le type agrégé de ressource, cette stratégie fournit l'autorisation d'effectuer les tâches sur tous les types individuels de ressource sous cette stratégie. Les exemples de politiques générales qui couvrent tous les types de ressource de l'agrégat correspondant :
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyCes instructions de stratégie sont incluses dans le flux de travail d'intégration disponible dans Oracle Logging Analytics lorsque vous y accédez pour la première fois. Toutefois, si vous souhaitez fournir un contrôle d'accès plus granulaire aux différents types de ressource, vous pouvez explorer les instructions de stratégie de chacun des types de ressource individuels.
Voici quelques-uns des types individuels de ressource dans loganalytics-features-family et loganalytics-resources-family :
| Type individuel de ressource | Appartient au type agrégé de ressource | Exemples d'instructions de stratégie |
|---|---|---|
|
Type d'entité (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur une ressource de type entité |
|
Champ (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs |
|
Libellé (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes |
|
Cycle de vie (type de ressource : |
|
|
|
Lookup (Type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les codes express |
|
Analyseur (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs |
|
Source (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources |
|
Stockage (type de ressource : |
|
Autorisation des utilisateurs à afficher les informations de stockage et les journaux d'archivage |
|
Entité (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations d'entité |
|
Groupe de journaux (type de ressource : |
|
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux |
|
Règle de temps d'inclusion (type de ressource : |
|
Autoriser les utilisateurs à effectuer des opérations de règle d'alerte de temps d'inclusion |
Autoriser les utilisateurs à effectuer toutes les opérations sur une ressource de type entité
Type de ressource individuel : loganalytics-entity-type
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource Type d'entité peut se trouver dans la location |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-entity-type dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity-type :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les types d'entité |
Obtenir des détails sur un type d'entité |
Créer, supprimer ou mettre à jour un type d'entité |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les champs
Type de ressource individuel : loganalytics-field
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Le champ peut se trouver dans la location |
allow group <user_group> to USE loganalytics-field in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-field dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les champs |
Obtenir les détails d'un champ |
Créer, supprimer ou mettre à jour un champ |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les étiquettes
Type de ressource individuel : loganalytics-label
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Le libellé peut se trouver dans la location |
allow group <user_group> to USE loganalytics-label in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-label dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-label :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Lister les libellés |
Obtenir des détails sur un libellé, y compris les sources dans lesquelles il est utilisé |
Créer, supprimer ou mettre à jour un libellé |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à afficher les détails de l'espace de noms et les préférences du locataire
Type de ressource individuel : loganalytics-lifecycle
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-lifecycle dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-lifecycle :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les espaces de noms |
Obtenir des détails sur un espace de noms et les préférences dans le locataire |
Utiliser dispose du même niveau de droits d'accès et d'opérations d'API que Lecture. |
Départ ou intégration d'un espace de noms, mise à jour ou suppression des préférences de locataire. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les analyseurs
Type de ressource individuel : loganalytics-parser
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Les analyseurs peuvent se trouver dans la location |
allow group <user_group> to USE loganalytics-parser in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-parser dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-parser :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les analyseurs et obtenir leur récapitulatif |
Obtenir des détails sur un analyseur, répertorier les fonctions de l'analyseur, tester un analyseur, extraire les chemins d'accès de l'en-tête et des champs du contenu du journal |
Créer, supprimer ou mettre à jour un analyseur |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les sources
Type de ressource individuel : loganalytics-source
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La source peut se trouver dans la location |
allow group <user_group> to USE loganalytics-source in tenancy |
L'exemple ci-dessus fournit le droit d'accès USE pour loganalytics-source dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-source :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les sources, connaître les types de source, les associations d'entités pour chaque source, les libellés utilisés dans les sources et les fonctions source. |
Obtenir des détails sur une source, y compris les associations, les définitions de champ étendu (EFD), les modèles. Validez les paramètres d'association et les détails EFD. |
Créer, supprimer ou mettre à jour des sources ou des associations, et valider une source. |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autorisation des utilisateurs à afficher les informations de stockage et les journaux d'archivage
Type de ressource individuel : loganalytics-storage
Partie du type agrégé de ressource : loganalytics-features-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
La ressource de stockage peut se trouver dans la location |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
L'exemple ci-dessus fournit le droit d'accès MANAGE pour loganalytics-storage dans la location.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-storage :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ND |
Obtenez des détails sur le stockage et son utilisation. |
Avec des autorisations supplémentaires, vous pouvez rappeler les données archivées et libérer les données rappelées. Reportez-vous à Référence de stratégie Logging Analytics. |
Activez et désactivez l'archivage, mettez à jour le stockage et obtenez la taille des données de purge. |
Autoriser les utilisateurs à effectuer des opérations d'entité
Type de ressource individuel : loganalytics-entity
Partie du type agrégé de ressource : loganalytics-resources-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
L'entité peut se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
L'entité peut se trouver dans un compartiment spécifique |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent le droit d'accès USE pour loganalytics-entity dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-entity :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Enumérer les entités et répertorier leurs associations avec les sources |
Obtenir les détails d'une entité |
Créer, supprimer ou mettre à jour une entité, la déplacer vers un autre compartiment, ajouter ou enlever une association avec une source |
Gérer dispose du même niveau de droits d'accès et d'opérations d'API que Utiliser. |
Autoriser les utilisateurs à effectuer toutes les opérations sur les groupes de journaux
Type de ressource individuel : loganalytics-log-group
Partie du type agrégé de ressource : loganalytics-resources-family
Instruction de stratégie de ressource si la stratégie de famille n'est pas définie :
| Cas d'emploi | Stratégies IAM |
|---|---|
|
Les groupes de journaux peuvent se trouver dans n'importe quel compartiment de la location |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Les groupes de journaux se trouvent dans un compartiment spécifique |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Les exemples ci-dessus fournissent le droit d'accès MANAGE pour loganalytics-log-group dans la location ou dans un compartiment spécifique.
Les opérations suivantes peuvent être effectuées avec chaque verbe lorsque vous créez une stratégie IAM pour loganalytics-log-group :
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Répertorier les groupes de journaux et obtenir le récapitulatif |
Obtention des détails d'un groupe de journaux. |
Créer et mettre à jour un groupe de journaux, modifier son compartiment |
Suppression d'un groupe de journaux |