Oracle Cloud Infrastructureドキュメント

Log AnalyticsのIAMポリシー・カタログ

ここでは、Oracle Log Analyticsの様々な機能およびリソースを使用するために必要なすべてのポリシーを確認できます。

Oracle Log AnalyticsのIAMポリシーの作成中に注意する必要がある点の一部を次に示します。

  • Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Oracle Cloud Infrastructureドキュメンテーションを参照してください。

  • 「検査」「読取り」「使用」または「管理」のいずれかを使用して、Oracle Log Analyticsのリソース・タイプごとにIAMポリシーを作成できます。このポリシーは、指定できる権限数の増加順にリストされます。Oracle Cloud Infrastructureドキュメンテーションを参照してください。

  • リソース・タイプごとに各動詞を使用して実行できる正確な権限およびAPI操作を表示するには、Log Analyticsポリシー・リファレンスを参照してください。

  • テナンシのOracle Log Analyticsサービスには、テナンシまたはルート・レベルのサービス・レベルのIAMポリシーが必要です。

  • loganalytics-features-family集計リソース・タイプのユーザー/グループ・アクセス・ポリシーおよびその個々のリソースは、テナンシまたはルート・レベルで作成する必要があります。

  • loganalytics-resources-family集計リソース・タイプのユーザー/グループ・アクセス・ポリシーおよびその個々のリソースは、必要に応じてコンパートメントまたはテナンシ・レベルで設定できます。

  • すぐに使用できるテンプレートを使用して、特定の操作または一連の操作を実行するユーザー・グループまたは動的グループのポリシーを作成できます。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

トピック:

ユーザーに対して複数のポリシー・ステートメントを有効にする必要があるLog Analytics機能

使用する個々のリソース・タイプおよびIAMポリシーの一部

Oracle Log Analyticsには、2つの集約リソース・タイプloganalytics-features-familyおよびloganalytics-resources-familyがあります。これらの集約リソース・タイプにはそれぞれ、その一部として複数の個別のリソース・タイプがあります。集約リソース・タイプの包括ポリシーを作成すると、そのポリシーによって、そのポリシーの下にある個々のリソース・タイプすべてに対してタスクを実行する権限が付与されます。対応する集計のすべてのリソース・タイプに対応する毛布ポリシーの例: 

allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancy
allow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancy

これらのポリシー・ステートメントは、Oracle Log Analyticsに初めてアクセスするときに使用できるオンボーディング・ワークフローに含まれています。ただし、個々のリソース・タイプに対してより詳細なアクセス制御を提供する場合は、個々のリソース・タイプのポリシー・ステートメントを調べることができます。

次に、loganalytics-features-familyおよびloganalytics-resources-familyの個々のリソース・タイプの一部を示します。

個別リソース・タイプ リソース・タイプの集計に所属 ポリシー・ステートメントの例

エンティティ・タイプ(リソース・タイプ: loganalytics-entity-type)

loganalytics-features-family

エンティティ・タイプ・リソースに対するすべての操作の実行をユーザーに許可

フィールド(リソース・タイプ: loganalytics-field)

loganalytics-features-family

ユーザーがフィールドのすべての操作を実行できるようにする

ラベル(リソース・タイプ: loganalytics-label)

loganalytics-features-family

ユーザーがラベルですべての操作を実行することを許可

ライフサイクル(リソース・タイプ: loganalytics-lifecycle)

loganalytics-features-family

ユーザーにネームスペースの詳細およびテナント・プリファレンスの表示を許可

参照(リソース・タイプ: loganalytics-lookup)

loganalytics-features-family

参照に対するすべての操作の実行をユーザーに許可

パーサー(リソース・タイプ: loganalytics-parser)

loganalytics-features-family

ユーザーがパーサーのすべての操作を実行することを許可

ソース(リソース・タイプ: loganalytics-source)

loganalytics-features-family

ユーザーによるソースに対するすべての操作の実行を許可

ストレージ(リソース・タイプ: loganalytics-storage)

loganalytics-features-family

ユーザーがストレージ情報およびアーカイブログを表示することを許可する

エンティティ(リソース・タイプ: loganalytics-entity)

loganalytics-resources-family

ユーザーによるエンティティ操作の実行を許可

ログ・グループ(リソース・タイプ: loganalytics-log-group)

loganalytics-resources-family

ログ・グループに対するすべての操作の実行をユーザーに許可

収集時間ルール(リソース・タイプ: loganalytics-ingesttime-rule)

loganalytics-resources-family

ユーザーによる時間アラート・ルール取込み操作の実行を許可

エンティティ・タイプ・リソースに対するすべての操作の実行をユーザーに許可

個々のリソース・タイプ: loganalytics-entity-type

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

エンティティ・タイプ・リソースをテナンシに配置できます

allow group <user_group> to USE loganalytics-entity-type in tenancy

前述の例は、テナンシ内のloganalytics-entity-typeに対するUSE権限を提供します。

loganalytics-entity-typeのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

エンティティ・タイプのリスト

エンティティ・タイプの詳細の取得

エンティティ・タイプの作成、削除または更新

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ユーザーがフィールドのすべての操作を実行できるようにする

個々のリソース・タイプ: loganalytics-field

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

フィールドはテナンシ内に存在できます

 allow group <user_group> to USE loganalytics-field in tenancy

前述の例は、テナンシ内のloganalytics-fieldに対するUSE権限を提供します。

loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

フィールドの一覧表示

フィールドに関する詳細の取得

フィールドの作成、削除または更新

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ユーザーがラベルですべての操作を実行することを許可

個々のリソース・タイプ: loganalytics-label

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

ラベルはテナンシ内に存在できます

 allow group <user_group> to USE loganalytics-label in tenancy

前述の例は、テナンシ内のloganalytics-labelに対するUSE権限を提供します。

loganalytics-labelのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

ラベルをリストしてください

使用されているソースを含むラベルの詳細を取得します

ラベルの作成、削除または更新

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ユーザーにネームスペースの詳細およびテナント・プリファレンスの表示を許可

個々のリソース・タイプ: loganalytics-lifecycle

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

loganalytics-lifecycleリソースをテナンシに配置できます

allow group <user_group> to USE loganalytics-lifecycle in tenancy

前述の例は、テナンシ内のloganalytics-lifecycleに対するUSE権限を提供します。

loganalytics-lifecycleのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

ネームスペースをリストします。

ネームスペースの詳細とテナント内のプリファレンスを取得します

「使用」には、「読取り」と同じレベルの権限およびAPI操作があります。

ネームスペースのオフボーディングまたはオンボーディング、テナント・プリファレンスの更新または削除を行います。

ユーザーがパーサーのすべての操作を実行することを許可

個々のリソース・タイプ: loganalytics-parser

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

パーサーはテナンシに配置できます

 allow group <user_group> to USE loganalytics-parser in tenancy

前述の例は、テナンシ内のloganalytics-parserに対するUSE権限を提供します。

loganalytics-parserのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

パーサーをリストし、サマリーを取得します。

パーサーの詳細を取得し、パーサー関数をリストし、パーサーをテストし、ヘッダーのパスおよびフィールドをログ・コンテンツから抽出します

パーサーの作成、削除または更新

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ユーザーによるソースに対するすべての操作の実行を許可

個々のリソース・タイプ: loganalytics-source

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

ソースはテナンシ内に存在できます

 allow group <user_group> to USE loganalytics-source in tenancy

前述の例は、テナンシ内のloganalytics-sourceに対するUSE権限を提供します。

loganalytics-sourceのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

ソースをリストし、ソース・タイプ、各ソースのエンティティ・アソシエーション、ソースで使用されるラベルおよびソース関数について把握します。

関連、拡張フィールド定義(EFD)、パターンなど、ソースの詳細を取得します。関連パラメータおよびEFD詳細を検証します。

ソースまたはアソシエーションを作成、削除または更新し、ソースを検証します。

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ユーザーがストレージ情報およびアーカイブログを表示することを許可する

個々のリソース・タイプ: loganalytics-storage

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

ストレージ・リソースはテナンシに存在できます

 allow group <user_group> to MANAGE loganalytics-storage in tenancy

前述の例は、テナンシ内のloganalytics-storageに対するMANAGE権限を提供します。

loganalytics-storageのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

NA

ストレージとその使用状況の詳細を取得します。

追加の権限によって、アーカイブされたデータをリコールし、リコールされたデータを解放できます。Log Analyticsポリシー・リファレンスを参照してください。

アーカイブの有効化と無効化、ストレージの更新、パージ・データ・サイズの取得を行います。

ユーザーによるエンティティ操作の実行を許可

個々のリソース・タイプ: loganalytics-entity

集約リソース・タイプの一部: loganalytics-resources-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

エンティティはテナンシの任意のコンパートメントに存在できます

 allow group <user_group> to USE loganalytics-entity in tenancy

エンティティは特定のコンパートメントに存在できます

 allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID>

前述の例は、テナンシまたは特定のコンパートメントのloganalytics-entityに対するUSE権限を提供します。

loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

エンティティをリストし、ソースとの関連付けをリストします

エンティティに関する詳細の取得

エンティティの作成、削除または更新、別のコンパートメントへの移動、ソースとのアソシエーションの追加または削除

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

ログ・グループに対するすべての操作の実行をユーザーに許可

個々のリソース・タイプ: loganalytics-log-group

集約リソース・タイプの一部: loganalytics-resources-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

ログ・グループはテナンシの任意のコンパートメントに存在できます

 allow group <user_group> to MANAGE loganalytics-log-group in tenancy

ログ・グループは特定のコンパートメントにあります

 allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID>

前述の例は、テナンシまたは特定のコンパートメントのloganalytics-log-groupに対するMANAGE権限を提供します。

loganalytics-log-groupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

ログ・グループをリストし、サマリーを取得します

ログ・グループの詳細を取得します。

ログ・グループの作成と更新、そのコンパートメントの変更

ログ・グループを削除します