Catalogo criteri IAM per Log Analytics
Qui puoi trovare tutti i criteri necessari per utilizzare le varie funzioni e risorse di Oracle Log Analytics.
Alcuni dei punti da notare durante la creazione dei criteri IAM per Oracle Log Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulta la Documentazione di Oracle Cloud Infrastructure.
-
È possibile creare un criterio IAM per ogni tipo di risorsa in Oracle Log Analytics utilizzando uno dei verbi Ispeziona, Leggi, Usa o Gestisci, elencati nell'ordine crescente del numero di autorizzazioni che è possibile fornire. Consulta la Documentazione di Oracle Cloud Infrastructure.
-
Per visualizzare le autorizzazioni esatte e le operazioni API che è possibile eseguire utilizzando ciascun verbo per ogni tipo di risorsa, vedere Log Analytics Policy Reference.
-
Il servizio Oracle Log Analytics nella tenancy richiede un criterio IAM a livello di servizio a livello di tenancy o di root.
-
I criteri di accesso utente/gruppo per il tipo di risorsa aggregata
loganalytics-features-familye qualsiasi risorsa singola devono essere creati a livello di tenancy o root. -
I criteri di accesso utente/gruppo per il tipo di risorsa aggregata
loganalytics-resources-familye qualsiasi risorsa singola possono essere impostati a livello di compartimento o tenancy in base alle esigenze. -
È possibile utilizzare i modelli disponibili per creare un criterio per un gruppo di utenti o un gruppo dinamico per eseguire un'operazione specifica o una raccolta di operazioni. Vedere Modelli di criteri definiti da Oracle per i casi d'uso comuni.
Se Oracle Log Analytics è stato abilitato utilizzando l'interfaccia utente di inserimento disponibile quando si passa al servizio per la prima volta, alcuni criteri vengono già creati. Vedere Criteri creati durante l'inserimento di Log Analytics.
Argomenti:
Funzioni di Log Analytics che richiedono più istruzioni dei criteri per abilitarle per gli utenti
- Criteri IAM dei prerequisiti
che include Abilita accesso da Log Analytics alla relativa famiglia di funzioni e Concedi accesso ai gruppi di utenti
- Consenti agli utenti di gestire la personalizzazione della console OCI nella tenancy
- Consenti agli utenti di gestire le preferenze di gruppo in Log Analytics
- Impostare le istanze di computazione per accedere a Log Analytics tra tenancy
- Configurare un dashboard di gestione
- Consenti agli utenti di accedere ai dati di log di esempio in tutte le tenancy
- Consenti agli utenti di abilitare e utilizzare LoganAI
- Consenti raccolta continua dei log mediante i Management Agent
- Consenti agli utenti di eseguire operazioni di creazione, recupero ed elenco caricamento su richiesta
- Consenti agli utenti di eseguire l'operazione di eliminazione del caricamento su richiesta
- Consenti agli utenti di caricare i log eventi
- Consenti agli utenti di caricare i log OpenTelemetry
- Consenti raccolta log da storage degli oggetti
- Consenti raccolta log cross-tenancy dallo storage degli oggetti
- Consenti raccolta di log dal servizio di log OCI
- Consenti raccolta log cross-tenancy dal servizio di log OCI
- Consenti raccolta di log dal servizio di streaming OCI
- Consenti agli utenti di eseguire operazioni bridge EM
- Consenti individuazione automatica di entità e raccolta log
- Consenti agli utenti di rimuovere i dati di log
- Consenti agli utenti di eseguire tutte le operazioni sui task pianificati
- Consenti a utenti di eseguire tutte le operazioni con modelli di regole di rilevamento
- Consenti l'uso di chiavi fornite dal cliente per la cifratura dei log
- Consenti tutte le operazioni della soluzione di monitoraggio Kubernetes
Alcuni tipi di risorse singole e criteri IAM da utilizzare
Oracle Log Analytics dispone di due tipi di risorsa aggregati loganalytics-features-family e loganalytics-resources-family. Ognuno di questi tipi di risorse aggregate ha diversi tipi di risorse individuali come parte di essi. Se si crea un criterio aperto per il tipo di risorsa aggregato, tale criterio fornisce l'autorizzazione per eseguire i task su tutti i singoli tipi di risorsa in tale criterio. I criteri aperti di esempio che coprono tutti i tipi di risorsa dell'aggregato corrispondente:
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyQueste istruzioni dei criteri vengono incluse nel flusso di lavoro di inserimento disponibile in Oracle Log Analytics quando si accede per la prima volta. Tuttavia, se si desidera fornire un controllo dell'accesso più granulare ai singoli tipi di risorsa, è possibile esplorare le istruzioni dei criteri di ciascuno dei singoli tipi di risorsa.
Di seguito sono riportati alcuni dei singoli tipi di risorsa in loganalytics-features-family e loganalytics-resources-family.
| Tipo di risorsa individuale | Appartiene al tipo di risorsa aggregato | Istruzioni criteri di esempio |
|---|---|---|
|
Tipo di entità (tipo di risorsa: |
|
Consenti a utenti di eseguire tutte le operazioni su risorsa tipo entità |
|
Campo (tipo-risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui campi |
|
Etichetta (tipo-risorsa: |
|
Consenti a utenti di eseguire tutte le operazioni sulle etichette |
|
Ciclo di vita (tipo di risorsa: |
|
Consenti agli utenti di visualizzare i dettagli dello spazio di nomi e le preferenze del tenant |
|
Lookup (Tipo-risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni nelle ricerche |
|
Parser (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui parser |
|
Origine (tipo-risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sulle origini |
|
Storage (tipo di risorsa: |
|
Consenti agli utenti di visualizzare le informazioni di storage e i log di archivio |
|
Entità (tipo-risorsa: |
|
|
|
Gruppo di log (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui gruppi di log |
|
Regola ora inclusione (tipo di risorsa: |
|
Consenti agli utenti di eseguire le operazioni della regola di avviso ora di inclusione |
Consenti a utenti di eseguire tutte le operazioni su risorsa tipo entità
Tipo di risorsa individuale: loganalytics-entity-type
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa Tipo di entità può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-entity-type nella tenancy.
Quando si crea un criterio IAM per loganalytics-entity-type, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i tipi entità |
Ottieni dettagli su un tipo di entità |
Creare, eliminare o aggiornare un tipo di entità |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sui campi
Tipo di risorsa individuale: loganalytics-field
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
Il campo può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-field in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-field nella tenancy.
Quando si crea un criterio IAM per loganalytics-entity, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i campi |
Ottiene i dettagli di un campo |
Creare, eliminare o aggiornare un campo |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti a utenti di eseguire tutte le operazioni sulle etichette
Tipo di risorsa individuale: loganalytics-label
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'etichetta può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-label in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-label nella tenancy.
Quando si crea un criterio IAM per loganalytics-label, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca le etichette |
Ottieni dettagli su un'etichetta che include le origini in cui viene utilizzata |
Creare, eliminare o aggiornare un'etichetta |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di visualizzare i dettagli dello spazio di nomi e le preferenze del tenant
Tipo di risorsa individuale: loganalytics-lifecycle
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-lifecycle nella tenancy.
Quando si crea un criterio IAM per loganalytics-lifecycle, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca gli spazi di nomi |
Ottenere i dettagli su uno spazio di nomi e le preferenze nel tenant |
Uso ha lo stesso livello di autorizzazioni e operazioni API di Lettura. |
Escludi o inserisci uno spazio di nomi, aggiorna o elimina le preferenze del tenant. |
Consenti agli utenti di eseguire tutte le operazioni sui parser
Tipo di risorsa individuale: loganalytics-parser
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
I parser possono trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-parser in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-parser nella tenancy.
Quando si crea un criterio IAM per loganalytics-parser, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i parser e ottieni il loro riepilogo |
Ottenere i dettagli su un parser, elencare le funzioni del parser, eseguire il test di un parser, estrarre i percorsi dell'intestazione e i campi dal contenuto del log |
Creare, eliminare o aggiornare un parser |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sulle origini
Tipo di risorsa individuale: loganalytics-source
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'origine può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-source in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-source nella tenancy.
Quando si crea un criterio IAM per loganalytics-source, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elencare le origini, conoscere i tipi di origine, le associazioni di entità per ogni origine, le etichette utilizzate nelle origini e le funzioni di origine. |
Ottieni dettagli su un'origine, tra cui associazioni, definizioni di campi estesi (EFD), pattern. Convalidare i parametri di associazione e i dettagli EFD. |
Creare, eliminare o aggiornare origini o associazioni e convalidare un'origine. |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di visualizzare le informazioni di storage e i log di archivio
Tipo di risorsa individuale: loganalytics-storage
Parte del tipo di risorsa aggregato: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa di storage può trovarsi nella tenancy |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
L'esempio precedente fornisce l'autorizzazione MANAGE per loganalytics-storage nella tenancy.
Quando si crea un criterio IAM per loganalytics-storage, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
N/D |
Ottenere i dettagli dello storage e del relativo utilizzo. |
Con alcune autorizzazioni aggiuntive, è possibile richiamare i dati archiviati e rilasciare i dati richiamati. Fare riferimento al manuale Log Analytics Policy Reference. |
Abilitare e disabilitare l'archiviazione, aggiornare lo storage e ottenere la dimensione dei dati di rimozione. |
Consenti agli utenti di eseguire operazioni entità
Tipo di risorsa individuale: loganalytics-entity
Parte del tipo di risorsa aggregato: loganalytics-resources-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'entità può trovarsi in qualsiasi compartimento della tenancy |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
L'entità può trovarsi in un compartimento specifico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Gli esempi precedenti forniscono l'autorizzazione USE per loganalytics-entity nella tenancy o in un compartimento specifico.
Quando si crea un criterio IAM per loganalytics-entity, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca le entità, elenca le associazioni con le origini |
Ottiene i dettagli di un'entità |
Creare, eliminare o aggiornare un'entità, spostarla in un compartimento diverso, aggiungere o rimuovere l'associazione a un'origine |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sui gruppi di log
Tipo di risorsa individuale: loganalytics-log-group
Parte del tipo di risorsa aggregato: loganalytics-resources-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
I gruppi di log possono trovarsi in qualsiasi compartimento della tenancy |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
I gruppi di log si trovano in un compartimento specifico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Gli esempi precedenti forniscono l'autorizzazione MANAGE per loganalytics-log-group nella tenancy o in un compartimento specifico.
Quando si crea un criterio IAM per loganalytics-log-group, è possibile eseguire le operazioni riportate di seguito con ciascun verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i gruppi di log e ottieni il riepilogo |
Recupera i dettagli di un gruppo di log. |
Creare e aggiornare un gruppo di log, modificarne il compartimento |
Elimina un gruppo di log |