Oracle Log Analyticsおよびそのリソースへのアクセスを有効にし、ユーザー・グループへのアクセス権を付与するために、次のポリシー・ステートメントを使用してIAMポリシーを作成します。

必要なポリシー・ステートメントには3つのタイプがあります。

• サービス・ポリシー: 製品を使用可能にするためのポリシー・ステートメントです。

  allow service loganalytics to READ loganalytics-features-family in tenancy

• ユーザー・ポリシー: これらのポリシー・ステートメントは、ユーザー・アクセスを制御するためのものです。ポリシーが定義されているグループにユーザーを追加します。「Log-Analytics-Users」、「Log-Analytics-Admins」および「Log-Analytics-SuperAdmins」の3つのグループを持つことをお薦めしますが、ポリシーを定義するグループがすでにある可能性もあります。推奨グループおよびそれらへのアクセス権の付与の詳細は、アクセス制御を実装するためのユーザー・グループの作成およびユーザー・グループへのアクセス権の付与を参照してください。

  次のポリシー・ステートメントは、テナンシ全体のリソースloganalytics-features-familyおよびcompartmentsのユーザー・グループLog-Analytics-Adminsへのアクセスを提供します:

  allow group Log-Analytics-Admins to use loganalytics-features-family in tenancy
  allow group Log-Analytics-Admins to read compartments in tenancy

  次のポリシー・ステートメントは、リソースmanagement-dashboard-familyおよびloganalytics-resources-familyのユーザー・グループLog-Analytics-Adminsへのアクセスを提供します。

  • テナンシ全体のアクセス:

    allow group Log-Analytics-Admins to use loganalytics-resources-family in tenancy
    allow group Log-Analytics-Admins to manage management-dashboard-family in tenancy

  • 特定のコンパートメントへのアクセス:

    allow group Log-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1
    allow group Log-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

• リソース・ポリシー: これらのポリシー・ステートメントは、スケジュールされたタスク、EMブリッジ、管理エージェントを使用したログ収集などのバックグラウンド・プロセスに必要です。これらのポリシーでは、動的グループを使用してリソースのセットを定義し、ポリシー・ステートメントを記述して動的グループへのアクセス権を付与できます。ユーザーに対して複数のポリシー・ステートメントを有効にする必要があるLog Analytics機能を参照してください。集約リソースloganalytics-features-familyおよびloganalytics-resources-familyの個々のリソース・タイプとそのポリシーの詳細は、「使用する個々のリソース・タイプおよびIAMポリシーの一部」を参照してください。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。