Log AnalyticsのIAMポリシー・カタログ
ここでは、Oracle Log Analyticsの様々な機能およびリソースを使用するために必要なすべてのポリシーを確認できます。
Oracle Log AnalyticsのIAMポリシーの作成中に注意する必要がある点の一部を次に示します。
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements.Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
「検査」、「読取り」、「使用」または「管理」のいずれかを使用して、Oracle Log Analyticsのリソース・タイプごとにIAMポリシーを作成できます。このポリシーは、指定できる権限数の増加順にリストされます。Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
リソース・タイプごとに各動詞を使用して実行できる正確な権限およびAPI操作を表示するには、Log Analyticsポリシー・リファレンスを参照してください。
-
テナンシのOracle Log Analyticsサービスには、テナンシまたはルート・レベルのサービス・レベルのIAMポリシーが必要です。
-
loganalytics-features-family集計リソース・タイプのユーザー/グループ・アクセス・ポリシーおよびその個々のリソースは、テナンシまたはルート・レベルで作成する必要があります。 -
loganalytics-resources-family集計リソース・タイプのユーザー/グループ・アクセス・ポリシーおよびその個々のリソースは、必要に応じてコンパートメントまたはテナンシ・レベルで設定できます。 -
すぐに使用できるテンプレートを使用して、特定の操作または一連の操作を実行するユーザー・グループまたは動的グループのポリシーを作成できます。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。
サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。
ユーザーに対して複数のポリシー・ステートメントを有効にする必要があるLog Analytics機能
- 前提条件のIAMポリシー
「Log Analyticsからその機能ファミリへのアクセスの有効化」および「ユーザー・グループへのアクセス権の付与」を含む
- テナンシでのOCIコンソールのパーソナライズの管理をユーザーに許可
- Log Analyticsでのグループ・プリファレンスの管理をユーザーに許可
- コンピュート・インスタンスをまたがってLog Analyticsクロス・テナンシにアクセスするための設定
- 管理ダッシュボードの構成
- ユーザーがテナンシ間でサンプル・ログ・データにアクセスすることを許可
- 管理エージェントを使用した継続的なログ収集の許可
- ユーザーによるオンデマンド・アップロード作成、取得およびリスト操作の実行を許可
- ユーザーにオンデマンド・アップロード削除操作の実行を許可
- イベント・ログのアップロードに必要な権限
- オブジェクト・ストレージからのログの収集を許可します
- オブジェクト・ストレージからのクロステナンシ・ログ収集の許可
- OCIロギング・サービスからのログの収集の許可
- OCIロギング・サービスからのクロステナンシ・ログ収集の許可
- OCIストリーミング・サービスからのログの収集の許可
- EMブリッジ操作の実行をユーザーに許可
- エンティティの自動検出およびログ収集の許可
- ユーザーにログ・データのパージを許可
- ユーザーがスケジュール済タスクのすべての操作を実行することを許可
- 検出ルール・テンプレートを使用したすべての操作の実行をユーザーに許可
- 顧客指定のキーを使用したログの暗号化の許可
- すべてのKubernetesモニタリング・ソリューション操作を許可
使用する個々のリソース・タイプおよびIAMポリシーの一部
Oracle Log Analyticsには、2つの集約リソース・タイプloganalytics-features-familyおよびloganalytics-resources-familyがあります。これらの集約リソース・タイプにはそれぞれ、その一部として複数の個別のリソース・タイプがあります。集約リソース・タイプの包括ポリシーを作成すると、そのポリシーによって、そのポリシーの下にある個々のリソース・タイプすべてに対してタスクを実行する権限が付与されます。対応する集計のすべてのリソース・タイプに対応する毛布ポリシーの例:
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyこれらのポリシー・ステートメントは、Oracle Log Analyticsに初めてアクセスするときに使用できるオンボーディング・ワークフローに含まれています。ただし、個々のリソース・タイプに対してより詳細なアクセス制御を提供する場合は、個々のリソース・タイプのポリシー・ステートメントを調べることができます。
次に、loganalytics-features-familyおよびloganalytics-resources-familyの個々のリソース・タイプの一部を示します。
| 個別リソース・タイプ | リソース・タイプの集計に所属 | ポリシー・ステートメントの例 |
|---|---|---|
|
エンティティ・タイプ(リソース・タイプ: |
|
|
|
フィールド(リソース・タイプ: |
|
|
|
ラベル(リソース・タイプ: |
|
|
|
ライフサイクル(リソース・タイプ: |
|
|
|
参照(リソース・タイプ: |
|
|
|
パーサー(リソース・タイプ: |
|
|
|
ソース(リソース・タイプ: |
|
|
|
ストレージ(リソース・タイプ: |
|
|
|
エンティティ(リソース・タイプ: |
|
|
|
ログ・グループ(リソース・タイプ: |
|
|
|
収集時間ルール(リソース・タイプ: |
|
エンティティ・タイプ・リソースに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-entity-type
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティ・タイプ・リソースをテナンシに配置できます |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
前述の例は、テナンシ内のloganalytics-entity-typeに対するUSE権限を提供します。
loganalytics-entity-typeのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティ・タイプのリスト |
エンティティ・タイプの詳細の取得 |
エンティティ・タイプの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーがフィールドのすべての操作を実行できるようにする
個々のリソース・タイプ: loganalytics-field
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
フィールドはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-field in tenancy |
前述の例は、テナンシ内のloganalytics-fieldに対するUSE権限を提供します。
loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
フィールドの一覧表示 |
フィールドに関する詳細の取得 |
フィールドの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーがラベルですべての操作を実行することを許可
個々のリソース・タイプ: loganalytics-label
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ラベルはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-label in tenancy |
前述の例は、テナンシ内のloganalytics-labelに対するUSE権限を提供します。
loganalytics-labelのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ラベルをリストしてください |
使用されているソースを含むラベルの詳細を取得します |
ラベルの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにネームスペースの詳細およびテナント・プリファレンスの表示を許可
個々のリソース・タイプ: loganalytics-lifecycle
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
|
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
前述の例は、テナンシ内のloganalytics-lifecycleに対するUSE権限を提供します。
loganalytics-lifecycleのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ネームスペースをリストします。 |
ネームスペースの詳細とテナント内のプリファレンスを取得します |
「使用」には、「読取り」と同じレベルの権限およびAPI操作があります。 |
ネームスペースのオフボーディングまたはオンボーディング、テナント・プリファレンスの更新または削除を行います。 |
ユーザーがパーサーのすべての操作を実行することを許可
個々のリソース・タイプ: loganalytics-parser
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
パーサーはテナンシに配置できます |
allow group <user_group> to USE loganalytics-parser in tenancy |
前述の例は、テナンシ内のloganalytics-parserに対するUSE権限を提供します。
loganalytics-parserのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
パーサーをリストし、サマリーを取得します。 |
パーサーの詳細を取得し、パーサー関数をリストし、パーサーをテストし、ヘッダーのパスおよびフィールドをログ・コンテンツから抽出します |
パーサーの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーによるソースに対するすべての操作の実行を許可
個々のリソース・タイプ: loganalytics-source
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ソースはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-source in tenancy |
前述の例は、テナンシ内のloganalytics-sourceに対するUSE権限を提供します。
loganalytics-sourceのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ソースをリストし、ソース・タイプ、各ソースのエンティティ・アソシエーション、ソースで使用されるラベルおよびソース関数について把握します。 |
関連、拡張フィールド定義(EFD)、パターンなど、ソースの詳細を取得します。関連パラメータおよびEFD詳細を検証します。 |
ソースまたはアソシエーションを作成、削除または更新し、ソースを検証します。 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーがストレージ情報およびアーカイブログを表示することを許可する
個々のリソース・タイプ: loganalytics-storage
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ストレージ・リソースはテナンシに存在できます |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
前述の例は、テナンシ内のloganalytics-storageに対するMANAGE権限を提供します。
loganalytics-storageのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
ストレージとその使用状況の詳細を取得します。 |
追加の権限によって、アーカイブされたデータをリコールし、リコールされたデータを解放できます。Log Analyticsポリシー・リファレンスを参照してください。 |
アーカイブの有効化と無効化、ストレージの更新、パージ・データ・サイズの取得を行います。 |
ユーザーによるエンティティ操作の実行を許可
個々のリソース・タイプ: loganalytics-entity
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティはテナンシの任意のコンパートメントに存在できます |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
エンティティは特定のコンパートメントに存在できます |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
前述の例は、テナンシまたは特定のコンパートメントのloganalytics-entityに対するUSE権限を提供します。
loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティをリストし、ソースとの関連付けをリストします |
エンティティに関する詳細の取得 |
エンティティの作成、削除または更新、別のコンパートメントへの移動、ソースとのアソシエーションの追加または削除 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ログ・グループに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-log-group
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ログ・グループはテナンシの任意のコンパートメントに存在できます |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
ログ・グループは特定のコンパートメントにあります |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
前述の例は、テナンシまたは特定のコンパートメントのloganalytics-log-groupに対するMANAGE権限を提供します。
loganalytics-log-groupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ログ・グループをリストし、サマリーを取得します |
ログ・グループの詳細を取得します。 |
ログ・グループの作成と更新、そのコンパートメントの変更 |
ログ・グループを削除します |