Catálogo de Políticas do IAM para o Log Analytics
Aqui você pode encontrar todas as políticas necessárias para usar os vários recursos no Oracle Log Analytics.
Alguns dos pontos que você deve observar ao criar políticas do IAM para o Oracle Log Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulte o Documentação do Oracle Cloud Infrastructure.
-
Você pode criar uma política do IAM para cada tipo de recurso no Oracle Log Analytics usando um dos verbos Inspecionar, Ler, Usar ou Gerenciar, listados na ordem crescente de número de permissões que você pode fornecer. Consulte o Documentação do Oracle Cloud Infrastructure.
-
Para exibir as permissões exatas e as operações de API que você pode executar usando cada verbo para cada tipo de recurso, consulte Referência de Política do Log Analytics.
-
O serviço Oracle Log Analytics em sua tenancy requer uma política de IAM no nível da tenancy ou do nível root.
-
As políticas de acesso de usuário/grupo para o tipo de recurso agregado
loganalytics-features-familye qualquer um de seus recursos individuais devem ser criados na tenancy ou no nível root. -
As políticas de acesso de usuário/grupo para o tipo de recurso agregado
loganalytics-resources-familye qualquer um de seus recursos individuais podem ser definidas no nível do compartimento ou da tenancy, conforme necessário. -
Você pode usar os modelos prontamente disponíveis para criar uma política para um grupo de usuários ou grupo dinâmico para executar uma operação específica ou um conjunto de operações. Consulte Modelos de Política definidos pela Oracle para Casos de Uso Comuns.
Se você ativou o Oracle Log Analytics usando a interface de usuário de admissão que está disponível quando você navega para o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Log Analytics.
Tópicos:
Recursos do Log Analytics que Exigem Várias Instruções de Política para Ativá-las para Usuários
- Pré-requisitos de Políticas do IAM
que inclui Ativar Acesso do Log Analytics à Família de Recursos e Conceder Acesso a Grupos de Usuários
- Permitir que os Usuários Gerenciem a Personalização da Console do OCI na Tenancy
- Permitir que os Usuários Gerenciem Preferências de Grupo no Log Analytics
- Configurar Instâncias de Computação para Acessar o Log Analytics entre Tenancies
- Configurar Painel de Controle de Gerenciamento
- Permitir que Usuários Acessem Dados de Log de Amostra entre Tenancies
- Permitir que os Usuários Ativem e Usem LoganAI
- Permitir Coleta Contínua de Logs Usando Agentes de Gerenciamento
- Permitir que os Usuários Executem Operações de Criação, Obtenção e Lista de Upload sob Demanda
- Permitir que os Usuários Executem a Operação de Exclusão de Upload sob Demanda
- Permitir que os Usuários Carregem Logs de Eventos
- Permitir que usuários façam upload de logs OpenTelemetry
- Permitir Coleta de Logs do Serviço Object Storage
- Permitir Coleta de Logs entre Tenancies do Object Storage
- Permitir Coleta de Logs do Serviço OCI Logging
- Permitir Coleta de Logs entre Tenancies do Serviço OCI Logging
- Permitir Coleta de Logs do Serviço OCI Streaming
- Permitir que Usuários Executem Operações de Ponte do EM
- Permitir Descoberta Automática de Entidades e Coleta de Logs
- Permitir que Usuários Expurguem Dados de Log
- Permitir que os Usuários Executem Todas as Operações em Tarefas Programadas
- Permitir que os Usuários Executem Todas as Operações com Modelos de Regra de Detecção
- Permitir o Uso de Chaves Fornecidas pelo Cliente para Criptografar Logs
- Permitir Todas as Operações da Solução de Monitoramento do Kubernetes
Alguns dos Tipos de Recursos Individuais e Políticas do Serviço IAM para Usá-los
O Oracle Log Analytics tem dois tipos de recursos agregados loganalytics-features-family e loganalytics-resources-family. Cada um desses tipos de recursos agregados tem vários tipos de recursos individuais como parte deles. Se você criar uma política em aberto para o resource-type agregado, essa política fornecerá a permissão para executar as tarefas em todos os resource-types individuais sob essa política. O exemplo de políticas em aberto que abrangem todos os tipos de recursos do agregado correspondente:
allow group Log-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Log-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyEssas instruções de política são incluídas no fluxo de trabalho de admissão disponível no Oracle Log Analytics quando você o acessa pela primeira vez. No entanto, se quiser fornecer um controle de acesso mais granular aos tipos de recursos individuais, talvez você queira explorar as instruções de política de cada um dos tipos de recursos individuais.
A seguir estão alguns dos tipos de recursos individuais em loganalytics-features-family e loganalytics-resources-family:
| Tipo de Recurso Individual | Pertence ao Tipo de Recurso Agregado | Exemplo de Instruções de Política |
|---|---|---|
|
Tipo de Entidade (Tipo de Recurso: |
|
Permitir que os Usuários Executem Todas as Operações no Recurso do Tipo de Entidade |
|
Campo (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Campos |
|
Rótulo (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Labels |
|
Ciclo de Vida (Tipo de Recurso: |
|
Permitir que Usuários Exibam Detalhes do Namespace e Preferências do Tenant |
|
Pesquisa (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Pesquisas |
|
Parser (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Parsers |
|
Origem (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações nas Origens |
|
Armazenamento (Tipo de recurso: |
|
Permitir que os Usuários Exibam Informações de Armazenamento e Logs de Arquivamento |
|
Entidade (Tipo de recurso: |
|
|
|
Grupo de Logs (Tipo de Recurso: |
|
Permitir que os Usuários Executem Todas as Operações nos Grupos de Logs |
|
Regra de Tempo de Ingestão (Tipo de Recurso: |
|
Permitir que os Usuários Executem Operações da Regra de Alerta de Tempo de Ingestão |
Permitir que os Usuários Executem Todas as Operações no Recurso do Tipo de Entidade
resource-type individual: loganalytics-entity-type
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso Tipo de Entidade pode estar na tenancy |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-entity-type na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity-type:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os tipos de entidade |
Obter detalhes sobre um tipo de entidade |
Criar, excluir ou atualizar um tipo de entidade |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações em Campos
resource-type individual: loganalytics-field
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O campo pode estar na tenancy |
allow group <user_group> to USE loganalytics-field in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-field na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os campos |
Obter detalhes sobre um campo |
Criar, excluir ou atualizar um campo |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações em Labels
resource-type individual: loganalytics-label
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O label pode estar na tenancy |
allow group <user_group> to USE loganalytics-label in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-label na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-label:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar as etiquetas |
Obter detalhes sobre um label, incluindo as origens em que ele é usado |
Criar, excluir ou atualizar um label |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que Usuários Exibam Detalhes do Namespace e Preferências do Tenant
resource-type individual: loganalytics-lifecycle
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-lifecycle na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-lifecycle:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os namespaces |
Obter detalhes sobre um namespace e as preferências no tenant |
Usar tem o mesmo nível de permissões e operações de API que Ler. |
Offboard ou onboard um namespace, atualizar ou excluir preferências do tenant. |
Permitir que os Usuários Executem Todas as Operações em Parsers
resource-type individual: loganalytics-parser
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
Os parsers podem estar na tenancy |
allow group <user_group> to USE loganalytics-parser in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-parser na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-parser:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os analisadores e obter o resumo |
Obter detalhes sobre um parser, listar as funções do parser, testar um parser, extrair os caminhos do cabeçalho e os campos do conteúdo do log |
Criar, excluir ou atualizar um parser |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações nas Origens
resource-type individual: loganalytics-source
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
A origem pode estar na tenancy |
allow group <user_group> to USE loganalytics-source in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-source na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-source:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Liste as origens, saiba sobre tipos de origem, associações de entidades para cada origem, labels usados nas origens e funções de origem. |
Obtenha detalhes sobre uma origem, incluindo associações, definições de campo estendido (EFD), padrões. Validar parâmetros de associação e detalhes de EFD. |
Crie, exclua ou atualize origens ou associações e valide uma origem. |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Exibam Informações de Armazenamento e Logs de Arquivamento
resource-type individual: loganalytics-storage
Parte do resource-type agregado: loganalytics-features-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso de armazenamento pode estar na tenancy |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
O exemplo acima fornece a permissão MANAGE para loganalytics-storage na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-storage:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Não Aplicável |
Obtenha detalhes do armazenamento e seu uso. |
Com algumas permissões adicionais, você pode recuperar os dados arquivados e liberar os dados recuperados. Consulte a Referência de Política do Log Analytics. |
Ative e desative o arquivamento, atualize o armazenamento e obtenha o tamanho dos dados de expurgação. |
Permitir que os Usuários Executem Operações da Entidade
resource-type individual: loganalytics-entity
Parte do resource-type agregado: loganalytics-resources-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
A entidade pode estar em qualquer compartimento na tenancy |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
A entidade pode estar em um compartimento específico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Os exemplos acima fornecem a permissão USE para loganalytics-entity na tenancy ou em um compartimento específico.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar as entidades, listar suas associações com origens |
Obter detalhes sobre uma entidade |
Criar, excluir ou atualizar uma entidade, movê-la para outro compartimento, adicionar ou remover associação com uma origem |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações nos Grupos de Logs
resource-type individual: loganalytics-log-group
Parte do resource-type agregado: loganalytics-resources-family
Declaração de Política de Recursos se a Política Familiar Não estiver Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
Os grupos de logs podem estar em qualquer compartimento da tenancy |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Os grupos de logs estão em um compartimento específico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Os exemplos acima fornecem a permissão MANAGE para loganalytics-log-group na tenancy ou em um compartimento específico.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-log-group:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os grupos de logs e obter o resumo |
Obter detalhes de um grupo de logs. |
Criar e atualizar um grupo de logs, alterar seu compartimento |
Excluir um grupo de logs |