ログ・アナリティクスとそのリソースへのアクセスの有効化

ログ・アナリティクスからその機能ファミリへのアクセスの有効化

Oracle Logging Analyticsサービスが動作できるように、サービスレベルのIAMポリシーを作成する必要があります。標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、それに次のポリシー・ステートメントを追加します。

ポリシー・ステートメント	説明
`allow service loganalytics to READ loganalytics-features-family in tenancy`	Oracle Logging Analyticsサービスがテナンシ全体でファミリloganalytics-features-familyに対してREADアクセス権を許可します。

特定のタスクを実行するポリシーおよびログ・アナリティクスのポリシー要件の完全な参照については、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ログ・アナリティクス・リソースを配置するOCIコンパートメントの識別

コンパートメントを使用して、エンティティやログ・グループなどのOracle Logging Analyticsのリソースを作成します。コンパートメントへのアクセスを微調整して、ユーザー・アクセス制御を向上させます。

既存のコンパートメントを使用するか、Oracle Logging Analytics専用の新しいコンパートメントを作成できます。複数のコンパートメントを作成して、異なるユーザー・セットに製品またはログ・データの異なる部分へのアクセス権を付与できます。コンパートメントの動作方法の詳細なガイダンスは、Oracle Cloud Infrastructureドキュメントのコンパートメントの管理を参照してください。

Oracle Logging Analyticsのリソースはコンパートメントに存在する必要があります。次のいずれかのリソースを作成する場合、それらが存在するコンパートメントを選択する必要があります:

リソース	Oracle IAMポリシーを使用したアクセス制御
エンティティ	特定のエンティティのログ収集を有効または無効にできるユーザーを制御できます
ログ・グループ	ログを収集、エンリッチおよび索引付けした後で、ログを検索できるユーザーを制御できます。
パージ・ポリシー	パージ・ポリシー定義を停止または変更できるユーザーを制御できます。
オブジェクト・ストレージ収集ルール	収集ルールを停止または変更できるユーザーを制御できます。

特定のタスクを実行するポリシーおよびログ・アナリティクスのポリシー要件の完全な参照については、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

アクセス制御を実装するためのユーザー・グループの作成

1つ以上のユーザー・グループを作成し、Oracle Logging Analyticsの使用方法に応じて様々なレベルのアクセス権をユーザーに付与します。

トピック:

管理者グループのメンバーであるユーザーは、Oracle Logging Analyticsのすべての機能にフル・アクセスできます。

推奨されるユーザー・グループ

開始するには、次の例のようなユーザー・グループを作成することをお薦めします:

Logging-Analytics-Users: このグループに追加されたユーザーは、ログを問い合せたり、様々な構成を表示したりできます。ただし、ログ収集の有効化または無効化、構成の変更、またはログの削除はできません。
Logging-Analytics-Admins: このグループに追加されたユーザーは、Logging-Analytics-Users権限を持ち、さらにソース、パーサー、エンティティおよびログ・グループを作成または編集できます。これらのユーザーは、ログ収集を有効または無効にすることもできます。ただし、ログのパージはできません。
Logging-Analytics-SuperAdmins: このグループのユーザーはLogging-Analytics-Adminsの権限を持ち、さらにOracle Logging Analyticsからのオンボーディングやオフボーディング、ログのパージなどのライフサイクル・アクティビティを実行できます。

前述のグループは、例として示されており、このドキュメントでIAMポリシーを作成するために使用されます。ただし、各自のニーズに基づいてユーザー・グループを作成できます。

ログ・アナリティクスのリソース・タイプの集計

次の2つのファミリによって、各ユーザー・グループに個別の権限を割り当てなくても、一括してアクセス権を付与できます。ほとんどの場合、これらを使用して、Oracle Logging Analyticsポリシーの管理を簡素化できます。

特定のタスクを実行するポリシーおよびログ・アナリティクスのポリシー要件の完全な参照については、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

loganalytics-features-familyでは、ユーザーがアクセスできる機能と、コンソール、REST API、CLIまたはSDKを使用してユーザーが実行できるアクションを制御します。
loganalytics-features-familyとそれに含まれるリソースは、コンパートメント単位ではなくテナンシ・レベルでのみ設定できます。
loganalytics-resources-familyでは、エンティティ、ログ・グループ、パージ・ポリシー、オブジェクト・ストア収集ルールなどのリソースを作成、読取り、更新および削除するためにユーザーが保持するアクセス権を制御します。
このファミリとそれに含まれるリソースには、テナンシ全体または特定のコンパートメントに対するアクセス権を付与できます。

ユーザー・グループへのアクセス権の付与

標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、ユーザー・グループでのOracle Logging Analyticsの使用方法を定義します。

ノート

グループおよびポリシーを管理せずにOracle Logging Analyticsを迅速に試す場合、管理者グループのメンバーであるユーザーは、すべての機能へのフル・アクセス権を持ちます。

アクセス制御を実装するためのユーザー・グループの作成のグループ例に従ってポリシーを設定するには、Oracle Cloud Infrastructure IAMポリシー機能で次のポリシー・セットを適用します:

ポリシー	説明
Logging-Analytics-SuperAdminsユーザー・グループの場合:
`allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy`	グループLogging-Analytics-SuperAdminsがテナンシ全体でファミリloganalytics-features-familyに対してMANAGEアクセス権を持つことを許可します。このポリシーにより、オフボード、ログの削除、アーカイブの設定など、サービスのすべてのタスクを実行する権限が有効になります。
`allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy` OR `allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1`	グループLogging-Analytics-SuperAdminsがテナンシ全体または特定のコンパートメント内のファミリloganalytics-resources-familyに対してMANAGEアクセス権を持つことを許可します。このポリシーにより、ファミリloganalytics-resources-familyに属する任意のリソース・タイプに対してサービス内のタスクを実行する権限が有効になります。
`allow group Logging-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy`	グループLogging-Analytics-SuperAdminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。
`allow group Logging-Analytics-SuperAdmins to read compartments in tenancy`	グループLogging-Analytics-SuperAdminsが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。
Logging-Analytics-Adminsユーザー・グループの場合:
`allow group Logging-Analytics-Admins to use loganalytics-features-family in tenancy`	グループLogging-Analytics-Adminsがテナンシ全体でファミリloganalytics-features-familyに対してUSEアクセス権を持つことを許可します。
`allow group Logging-Analytics-Admins to use loganalytics-resources-family in tenancy` OR `allow group Logging-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1`	グループLogging-Analytics-Adminsがテナンシ全体または特定のコンパートメント内のファミリloganalytics-resources-familyに対してUSEアクセス権を持つことを許可します。このグループがファミリloganalytics-resources-familyのリソースを表示、作成、編集または削除できるようにします。
`allow group Logging-Analytics-Admins to manage management-dashboard-family in tenancy` OR `allow group Logging-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2`	グループLogging-Analytics-Adminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。
`allow group Logging-Analytics-Admins to read compartments in tenancy`	グループLogging-Analytics-Adminsが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。
Logging-Analytics-Usersユーザー・グループの場合:
`allow group Logging-Analytics-Users to read loganalytics-features-family in tenancy`	グループLogging-Analytics-Usersがテナンシ全体でファミリloganalytics-features-familyに対してREADアクセス権を持つことを許可します。
`allow group Logging-Analytics-Users to read loganalytics-resources-family in tenancy` OR `allow group Logging-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1`	グループLogging-Analytics-Usersがテナンシ全体でファミリloganalytics-resources-familyに対してREADアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。このグループがファミリloganalytics-resources-familyのリソースの詳細を表示することを許可します。ユーザーは、それらを作成、編集または削除できません。
`allow group Logging-Analytics-Users to use management-dashboard-family in tenancy` OR `allow group Logging-Analytics-Users to use management-dashboard-family in compartment myCompartment2`	グループLogging-Analytics-Usersがテナンシでリソースの管理ダッシュボード・ファミリに対してUSEアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。
`allow group Logging-Analytics-Users to read compartments in tenancy`	グループLogging-Analytics-Usersが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。

エンティティやログ・グループなどのリソースを編成するために作成するコンパートメントの数に、コンパートメント固有のポリシー・ステートメントを追加できます。これらのリソースは、まったく異なるコンパートメントに存在することもできます。異なるタイプのすべてのリソース・インスタンスが同じコンパートメント内に存在する必要はありません。ただし、使用するコンパートメントの数を最小限に抑えることができれば、管理が簡単になります。

リソース・ファミリを使用するかわりに、個々のリソース・レベルでポリシーを指定することもできます。例:

ポリシー	説明
`allow group DBA to use loganalytics-entity in compartment Databases`	DBAグループのユーザーは、Databasesコンパートメントのエンティティを作成、編集または削除したり、エンティティのログ収集を有効または無効にしたりできます。
`allow group DBA to use loganalytics-log-group in compartment Databases`	DBAグループのユーザーは、Databasesコンパートメントに格納されているログ・グループを作成、編集または削除したり、ログを問い合せたりできます。

特定のタスクを実行するポリシーおよびログ・アナリティクスのポリシー要件の完全な参照については、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ログ・アナリティクスの有効化

ユーザー・グループの作成、コンパートメントの作成、ユーザー・グループのアクセス・ポリシーの定義など、前提条件タスクを完了したら、Oracle Logging Analyticsにアクセスして使用可能にできます。

Oracle Logging Analyticsを有効にするには、管理者グループのメンバーである必要があります。

ナビゲーション・メニューを開き、「監視および管理」をクリックして、「ログ・アナリティクス」をクリックします。
このリージョンでサービスを初めて使用する場合は、オンボーディング・ページに進み、サービスの詳細やOracle Logging Analyticsサービスの使用を開始するオプションが表示されます。「ログ・アナリティクスの使用の開始」をクリックします。

「ログ・アナリティクスの有効化」ダイアログ・ボックスが表示されます。ここで、最小限必要なポリシーおよびログ・グループを作成します(まだ存在しない場合)。
「次」をクリックします。OCI監査ログ・コレクションが構成されます。

「サブコンパートメントに_Auditを含める」チェック・ボックスはデフォルトで有効になっています。必要に応じて無効化できます。プリファレンスに基づいて、ポリシーが作成され、適切なアクションが実行されます。

「次」をクリックします。
オンボーディングが完了したら、「ログ・エクスプローラに移動」をクリックします。

Oracle Logging Analyticsを確認できるようになりました。