Catalogo dei criteri IAM per Logging Analytics
Qui è possibile trovare tutti i criteri necessari per l'utilizzo delle varie funzioni e risorse in Oracle Logging Analytics.
Alcuni dei punti da notare durante la creazione dei criteri IAM per Oracle Logging Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulta la documentazione di Oracle Cloud Infrastructure.
-
È possibile creare un criterio IAM per ogni tipo di risorsa in Oracle Logging Analytics utilizzando uno dei verbi Ispeziona, Leggi, Usa o Gestisci, elencati nell'ordine crescente di numero di autorizzazioni che è possibile fornire. Consulta la documentazione di Oracle Cloud Infrastructure.
-
Per visualizzare le autorizzazioni esatte e le operazioni API che è possibile eseguire utilizzando ogni verbo per ogni tipo di risorsa, vedere Riferimento ai criteri di Log Analytics.
-
Il servizio Oracle Logging Analytics nella tenancy richiede un criterio IAM a livello di servizio a livello di tenancy o di root.
-
I criteri di accesso utente/gruppo per il tipo di risorsa aggregata
loganalytics-features-familye le singole risorse devono essere creati a livello di tenancy o di root. -
I criteri di accesso utente/gruppo per il tipo di risorsa aggregata
loganalytics-resources-familye le singole risorse possono essere impostati a livello di compartimento o tenancy in base alle esigenze. -
È possibile utilizzare i modelli prontamente disponibili per creare un criterio per un gruppo di utenti o un gruppo dinamico per eseguire un'operazione specifica o una raccolta di operazioni. Vedere Modelli di criteri definiti da Oracle per casi d'uso comuni.
Se Oracle Logging Analytics è stato abilitato utilizzando l'interfaccia utente della formazione iniziale, disponibile quando si accede al servizio per la prima volta, alcuni criteri sono già stati creati. Vedere Criteri creati durante l'inserimento di Logging Analytics.
argomenti:
Funzioni di Logging Analytics che richiedono più istruzioni dei criteri per abilitarle per gli utenti
- Criteri IAM prerequisiti
che include Abilita accesso da Logging Analytics alla famiglia di funzioni e Concedi accesso a gruppi di utenti
- Consenti agli utenti di gestire la personalizzazione di OCI Console nella tenancy
- Consenti agli utenti di gestire le preferenze di gruppo in Logging Analytics
- Impostare le istanze di computazione per accedere alla tenancy incrociata di Logging Analytics
- Configurare un dashboard di gestione
- Consenti agli utenti di accedere ai dati di log di esempio tra tenancy
- Consenti raccolta di log continui mediante Management Agent
- Consenti agli utenti di eseguire operazioni di creazione, recupero ed elenco caricamento su richiesta
- Consenti agli utenti di eseguire l'operazione di eliminazione del caricamento su richiesta
- Autorizzazioni necessarie per caricare i log eventi
- Consenti raccolta log dallo storage degli oggetti
- Consenti raccolta log cross-tenancy da storage degli oggetti
- Consenti raccolta di log dal servizio di log OCI
- Consenti raccolta log cross-tenancy dal servizio di log OCI
- Consenti raccolta di log dal servizio di streaming OCI
- Consenti agli utenti di eseguire operazioni bridge EM
- Consenti individuazione automatica di entità e raccolta log
- Consenti agli utenti di rimuovere i dati di log
- Consenti agli utenti di eseguire tutte le operazioni sui task pianificati
- Consenti a utenti di eseguire tutte le operazioni con modelli di regole di rilevamento
- Consenti l'uso di chiavi fornite dal cliente per la cifratura dei log
- Consenti tutte le operazioni della soluzione Kubernetes
Alcuni dei singoli tipi di risorse e dei criteri IAM da utilizzare
Oracle Logging Analytics dispone di due tipi di risorsa aggregati loganalytics-features-family e loganalytics-resources-family. Ciascuno di questi tipi di risorse aggregate ha diversi tipi di risorse individuali come parte di essi. Se si crea un criterio aperto per il tipo di risorsa aggregato, tale criterio consente di eseguire i task su tutti i singoli tipi di risorsa in tale criterio. I criteri aperti di esempio che coprono tutti i tipi di risorsa dell'aggregato corrispondente:
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyQueste istruzioni criteri vengono incluse nel flusso di lavoro di inserimento disponibile in Oracle Logging Analytics quando si accede per la prima volta. Tuttavia, se si desidera fornire un controllo dell'accesso più granulare ai singoli tipi di risorsa, è possibile esplorare le istruzioni dei criteri di ciascuno dei singoli tipi di risorsa.
Di seguito sono riportati alcuni dei singoli tipi di risorsa in loganalytics-features-family e loganalytics-resources-family.
| Tipo di risorsa individuale | Appartiene al tipo di risorsa di aggregazione | Istruzioni criteri di esempio |
|---|---|---|
|
Tipo di entità (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sulla risorsa di tipo entità |
|
Campo (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui campi |
|
Etichetta (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sulle etichette |
|
Ciclo di vita (tipo di risorsa: |
|
Consenti agli utenti di visualizzare i dettagli dello spazio di nomi e le preferenze del tenant |
|
Ricerca (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni nelle ricerche |
|
Parser (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui parser |
|
Origine (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sulle origini |
|
Memorizzazione (tipo di risorsa: |
|
Consenti agli utenti di visualizzare le informazioni sullo storage e i log di archivio |
|
Entità (tipo di risorsa: |
|
|
|
Gruppo di log (tipo di risorsa: |
|
Consenti agli utenti di eseguire tutte le operazioni sui gruppi di log |
|
Regola tempo di inclusione (tipo di risorsa: |
|
Consenti agli utenti di eseguire operazioni regola di avviso tempo di inclusione |
Consenti agli utenti di eseguire tutte le operazioni sulla risorsa di tipo entità
Tipo di risorsa individuale: loganalytics-entity-type
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa Tipo di entità può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-entity-type nella tenancy.
Quando si crea un criterio IAM per loganalytics-entity-type, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i tipi di entità |
Recupera i dettagli di un tipo di entità |
Creare, eliminare o aggiornare un tipo di entità |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sui campi
Tipo di risorsa individuale: loganalytics-field
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
Il campo può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-field in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-field nella tenancy.
Quando si crea un criterio IAM per loganalytics-entity, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca i campi |
Recupera i dettagli di un campo |
Creare, eliminare o aggiornare un campo |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sulle etichette
Tipo di risorsa individuale: loganalytics-label
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'etichetta può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-label in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-label nella tenancy.
Quando si crea un criterio IAM per loganalytics-label, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca le etichette |
Ottenere i dettagli di un'etichetta che include le origini in cui viene utilizzata |
Creare, eliminare o aggiornare un'etichetta |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di visualizzare i dettagli dello spazio di nomi e le preferenze del tenant
Tipo di risorsa individuale: loganalytics-lifecycle
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-lifecycle nella tenancy.
Quando si crea un criterio IAM per loganalytics-lifecycle, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Visualizzare gli spazi di nomi |
Ottieni dettagli su uno spazio di nomi e sulle preferenze nel tenant |
L'opzione Usa ha lo stesso livello di autorizzazioni e operazioni API di Lettura. |
Elimina o inserisci uno spazio di nomi, aggiorna o elimina le preferenze del tenant. |
Consenti agli utenti di eseguire tutte le operazioni sui parser
Tipo di risorsa individuale: loganalytics-parser
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
I parser possono trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-parser in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-parser nella tenancy.
Quando si crea un criterio IAM per loganalytics-parser, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elencare i parser e ottenere il riepilogo |
Ottenere dettagli su un parser, elencare le funzioni del parser, eseguire il test di un parser, estrarre i percorsi dell'intestazione e dei campi dal contenuto del log |
Creare, eliminare o aggiornare un parser |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sulle origini
Tipo di risorsa individuale: loganalytics-source
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'origine può trovarsi nella tenancy |
allow group <user_group> to USE loganalytics-source in tenancy |
L'esempio precedente fornisce l'autorizzazione USE per loganalytics-source nella tenancy.
Quando si crea un criterio IAM per loganalytics-source, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elencare le origini, conoscere i tipi di origine, le associazioni di entità per ogni origine, le etichette utilizzate nelle origini e le funzioni di origine. |
Ottieni dettagli su un'origine, tra cui associazioni, definizioni di campi estesi (EFD), pattern. Convalida i parametri di associazione e i dettagli EFD. |
Creare, eliminare o aggiornare origini o associazioni e convalidare un'origine. |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di visualizzare le informazioni sullo storage e i log di archivio
Tipo di risorsa individuale: loganalytics-storage
Parte del tipo di risorsa aggregata: loganalytics-features-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
La risorsa di storage può trovarsi nella tenancy |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
L'esempio riportato sopra fornisce l'autorizzazione MANAGE per loganalytics-storage nella tenancy.
Quando si crea un criterio IAM per loganalytics-storage, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
Ottieni i dettagli dello storage e del suo utilizzo. |
Con alcune autorizzazioni aggiuntive, è possibile richiamare i dati archiviati e rilasciare i dati richiamati. Fare riferimento al manuale Logging Analytics Policy Reference. |
Abilitare e disabilitare l'archiviazione, aggiornare lo storage e ottenere la dimensione dei dati di rimozione. |
Consenti agli utenti di eseguire operazioni entità
Tipo di risorsa individuale: loganalytics-entity
Parte del tipo di risorsa aggregata: loganalytics-resources-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
L'entità può trovarsi in qualsiasi compartimento della tenancy |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
L'entità può trovarsi in un compartimento specifico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Gli esempi riportati sopra forniscono l'autorizzazione USE per loganalytics-entity nella tenancy o in un compartimento specifico.
Quando si crea un criterio IAM per loganalytics-entity, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elenca le entità, elenca le loro associazioni con le origini |
Recupera i dettagli di un'entità |
Creare, eliminare o aggiornare un'entità, spostarla in un altro compartimento, aggiungere o rimuovere l'associazione a un'origine |
Gestisci ha lo stesso livello di autorizzazioni e operazioni API di Usa. |
Consenti agli utenti di eseguire tutte le operazioni sui gruppi di log
Tipo di risorsa individuale: loganalytics-log-group
Parte del tipo di risorsa aggregata: loganalytics-resources-family
Dichiarazione dei criteri delle risorse se i criteri familiari non sono definiti:
| Caso d'uso | Criteri IAM |
|---|---|
|
I gruppi di log possono trovarsi in qualsiasi compartimento della tenancy |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
I gruppi di log si trovano in un compartimento specifico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Gli esempi riportati sopra forniscono l'autorizzazione MANAGE per loganalytics-log-group nella tenancy o in un compartimento specifico.
Quando si crea un criterio IAM per loganalytics-log-group, è possibile eseguire le operazioni riportate di seguito con ogni verbo.
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Elencare i gruppi di log e ottenere il riepilogo |
Ottenere i dettagli di un gruppo di log. |
Creare e aggiornare un gruppo di log, modificarne il compartimento |
Elimina un gruppo di log |