Catálogo de Políticas de IAM para o Serviço Logging Analytics
Aqui você pode encontrar todas as políticas necessárias para usar os vários recursos e recursos no Oracle Logging Analytics.
Alguns dos pontos que você deve observar ao criar políticas do serviço IAM para o Oracle Logging Analytics:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements. Consulte Documentação do Oracle Cloud Infrastructure.
-
Você pode criar uma política do serviço IAM para cada tipo de recurso no Oracle Logging Analytics usando um dos verbos Inspecionar, Ler, Usar ou Gerenciar, listados na ordem crescente do número de permissões que pode fornecer. Consulte Documentação do Oracle Cloud Infrastructure.
-
Para exibir as permissões exatas e as operações de API que você pode executar usando cada verbo para cada tipo de recurso, consulte Referência de Política do Logging Analytics.
-
O serviço Oracle Logging Analytics em sua tenancy requer uma política de IAM no nível do serviço na tenancy ou no nível root.
-
Políticas de acesso de Usuário/Grupo para o tipo de recurso agregado
loganalytics-features-familye qualquer um de seus recursos individuais devem ser criados no nível da tenancy ou raiz. -
As políticas de acesso de usuário/grupo para o tipo de recurso agregado
loganalytics-resources-familye qualquer um de seus recursos individuais podem ser definidos no nível do compartimento ou da tenancy, conforme necessário. -
Você pode usar os modelos prontamente disponíveis para criar uma política para um grupo de usuários ou grupo dinâmico para executar uma operação específica ou uma coleção de operações. Consulte Modelos de Política definidos pela Oracle para Casos de Uso Comuns.
Se você tiver ativado o Oracle Logging Analytics usando a interface de usuário de integração que está disponível quando você navega até o serviço pela primeira vez, algumas políticas já serão criadas. Consulte Políticas Criadas Durante a Integração do Logging Analytics.
Tópicos:
Recursos do Logging Analytics que Exigem Várias Instruções de Política para Ativá-las para Usuários
- Pré-requisitos de Políticas do IAM
que inclui Ativar Acesso do Logging Analytics à Família de Recursos e Conceder Acesso a Grupos de Usuários
- Permitir que os Usuários Gerenciem a Personalização da Console do OCI na Tenancy
- Permitir que Usuários Gerenciem Preferências de Grupo no Logging Analytics
- Configurar Instâncias de Computação para Acessar a Tenancy Cruzada do Logging Analytics
- Configurar Painel de Controle de Gerenciamento
- Permitir que os Usuários Acessem Dados de Log de Amostra entre Tenancies
- Permitir Coleta Continuada de Logs Usando Management Agents
- Permitir que os Usuários Executem Operações de Criação, Obtenção e Lista de Upload sob Demanda
- Permitir que os Usuários Executem a Operação de Exclusão de Upload sob Demanda
- Permissões Necessárias para Fazer Upload de Logs de Eventos
- Permitir a Coleta de Logs do Serviço Object Storage
- Permitir Coleta de Logs entre Tenancies do Object Storage
- Permitir Coleta de Logs do Serviço OCI Logging
- Permitir Coleta de Logs entre Tenancies do Serviço OCI Logging
- Permitir Coleta de Logs do Serviço OCI Streaming
- Permitir que os Usuários Executem Operações de Ponte do EM
- Permitir a Descoberta Automática de Entidades e a Coleta de Logs
- Permitir que Usuários Expurguem Dados de Log
- Permitir que os Usuários Executem Todas as Operações em Tarefas Programadas
- Permitir que os Usuários Executem Todas as Operações com Modelos de Regra de Detecção
- Permitir o Uso de Chaves Fornecidas pelo Cliente para Criptografar Logs
- Permitir Todas as Operações da Solução Kubernetes
Alguns dos Tipos de Recursos Individuais e Políticas do IAM para Usá-los
O Oracle Logging Analytics tem dois tipos de recursos agregados loganalytics-features-family e loganalytics-resources-family. Cada um desses tipos de recursos agregados tem vários tipos de recursos individuais como parte deles. Se você criar uma política em aberto para o tipo de recurso agregado, essa política fornecerá a permissão para executar as tarefas em todos os tipos de recursos individuais sob essa política. O exemplo de políticas em aberto que abrangem todos os tipos de recursos do agregado correspondente:
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyEssas instruções de política são incluídas no fluxo de trabalho de integração disponível no Oracle Logging Analytics quando você o acessa pela primeira vez. No entanto, se você quiser fornecer um controle de acesso mais granular aos tipos de recursos individuais, talvez queira explorar as instruções de política de cada um dos tipos de recursos individuais.
Veja a seguir alguns dos tipos de recursos individuais em loganalytics-features-family e loganalytics-resources-family:
| Tipo de Recurso Individual | Pertence ao Tipo de Recurso Agregado | Exemplo de Instruções de Política |
|---|---|---|
|
Tipo de Entidade (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações no Recurso do Tipo de Entidade |
|
Campo (Tipo de recurso: |
|
Permitir que os usuários executem todas as operações em campos |
|
Label (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações nos Labels |
|
Ciclo de Vida (Tipo de recurso: |
|
Permitir que os Usuários Exibam Detalhes do Namespace e Preferências do Tenant |
|
Pesquisa (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Pesquisas |
|
Parser (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações em Parsers |
|
Origem (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações nas Origens |
|
Armazenamento (Tipo de recurso: |
|
Permitir que os Usuários Exibam Informações de Armazenamento e Logs de Arquivamento |
|
Entidade (Tipo de recurso: |
|
|
|
Grupo de Logs (Tipo de recurso: |
|
Permitir que os Usuários Executem Todas as Operações nos Grupos de Logs |
|
Regra de Tempo de Ingestão (Tipo de recurso: |
|
Permitir que os Usuários Executem Operações da Regra de Alerta de Tempo de Ingestão |
Permitir que os Usuários Executem Todas as Operações no Recurso do Tipo de Entidade
Tipo de recurso individual: loganalytics-entity-type
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso Tipo de Entidade pode estar na tenancy |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-entity-type na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity-type:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os tipos de entidade |
Obter detalhes sobre um tipo de entidade |
Criar, excluir ou atualizar um tipo de entidade |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os usuários executem todas as operações em campos
Tipo de recurso individual: loganalytics-field
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O campo pode estar na tenancy |
allow group <user_group> to USE loganalytics-field in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-field na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os campos |
Obter detalhes sobre um campo |
Criar, excluir ou atualizar um campo |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações nos Labels
Tipo de recurso individual: loganalytics-label
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O label pode estar na tenancy |
allow group <user_group> to USE loganalytics-label in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-label na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-label:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os labels |
Obter detalhes sobre um label, incluindo as origens em que ele é usado |
Criar, excluir ou atualizar um label |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Exibam Detalhes do Namespace e Preferências do Tenant
Tipo de recurso individual: loganalytics-lifecycle
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso |
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-lifecycle na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-lifecycle:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os namespaces |
Obter detalhes sobre um namespace e as preferências no tenant |
Usar tem o mesmo nível de permissões e operações de API que Ler. |
Offboard ou onboard um namespace, atualize ou exclua preferências de tenant. |
Permitir que os Usuários Executem Todas as Operações em Parsers
Tipo de recurso individual: loganalytics-parser
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
Os parsers podem estar na tenancy |
allow group <user_group> to USE loganalytics-parser in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-parser na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-parser:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os analisadores e obter seu resumo |
Obter detalhes sobre um parser, listar as funções do parser, testar um parser, extrair os caminhos do cabeçalho e os campos do conteúdo de log |
Criar, excluir ou atualizar um parser |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações nas Origens
Tipo de recurso individual: loganalytics-source
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
A origem pode estar na tenancy |
allow group <user_group> to USE loganalytics-source in tenancy |
O exemplo acima fornece a permissão USE para loganalytics-source na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-source:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Liste as origens, conheça os tipos de origem, associações de entidades para cada origem, labels usados nas origens e funções de origem. |
Obtenha detalhes sobre uma origem, incluindo associações, definições de campo estendido (EFD), padrões. Validar parâmetros de associação e detalhes de EFD. |
Crie, exclua ou atualize origens ou associações e valide uma origem. |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Exibam Informações de Armazenamento e Logs de Arquivamento
Tipo de recurso individual: loganalytics-storage
Parte do resource-type agregado: loganalytics-features-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
O recurso de armazenamento pode estar na tenancy |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
O exemplo acima fornece a permissão MANAGE para loganalytics-storage na tenancy.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-storage:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
N/A |
Obtenha detalhes do armazenamento e seu uso. |
Com algumas permissões adicionais, você pode recuperar os dados arquivados e liberar os dados recuperados. Consulte a Referência de Política do Logging Analytics. |
Ative e desative o arquivamento, atualize o armazenamento e obtenha o tamanho dos dados de expurgação. |
Permitir que os Usuários Executem Operações da Entidade
Tipo de recurso individual: loganalytics-entity
Parte do resource-type agregado: loganalytics-resources-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
A entidade pode estar em qualquer compartimento na tenancy |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
A entidade pode estar em um compartimento específico |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
Os exemplos acima fornecem a permissão USE para loganalytics-entity na tenancy ou em um compartimento específico.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-entity:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar as entidades, listar suas associações com origens |
Obter detalhes sobre uma entidade |
Crie, exclua ou atualize uma entidade, mova-a para outro compartimento, adicione ou remova a associação com uma origem |
Gerenciar tem o mesmo nível de permissões e operações de API que Usar. |
Permitir que os Usuários Executem Todas as Operações nos Grupos de Logs
Tipo de recurso individual: loganalytics-log-group
Parte do resource-type agregado: loganalytics-resources-family
Instrução da Política de Recursos se a Política de Família Não for Definida:
| Caso de Uso | Políticas de IAM |
|---|---|
|
Os grupos de logs podem estar em qualquer compartimento na tenancy |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
Os grupos de logs estão em um compartimento específico |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
Os exemplos acima fornecem a permissão MANAGE para loganalytics-log-group na tenancy ou em um compartimento específico.
As seguintes operações podem ser executadas com cada verbo quando você cria uma política do serviço IAM para loganalytics-log-group:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
Listar os grupos de logs e obter o resumo |
Obter detalhes de um grupo de logs. |
Criar e atualizar um grupo de logs, alterar seu compartimento |
Excluir um grupo de logs |