ログ・アナリティクスのIAMポリシー・カタログ
ここでは、Oracle Logging Analyticsの様々な機能およびリソースを使用するために必要なすべてのポリシーを確認できます。
Oracle Logging AnalyticsのIAMポリシーの作成時に注意する必要がある点の一部:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements.Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
Oracle Logging Analyticsのリソース・タイプごとにIAMポリシーを作成するには、指定できる権限数の増加順にリストされた動詞「検査」、「読取り」、「使用」または「管理」のいずれかを使用します。Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
各リソース・タイプについて各動詞を使用して実行できる正確な権限およびAPI操作を表示するには、ログ・アナリティクス・ポリシー・リファレンスを参照してください。
-
テナンシ内のOracle Logging Analyticsサービスには、テナンシまたはルート・レベルのサービス・レベルのIAMポリシーが必要です。
-
loganalytics-features-family集計リソース・タイプおよびその個々のリソースのユーザー/グループ・アクセス・ポリシーは、テナンシまたはルート・レベルで作成する必要があります。 -
loganalytics-resources-family集計リソース・タイプおよびその個々のリソースのユーザー/グループ・アクセス・ポリシーは、必要に応じてコンパートメントまたはテナンシ・レベルで設定できます。 -
すぐに使用可能なテンプレートを使用して、ユーザー・グループまたは動的グループのポリシーを作成し、特定の操作または操作のコレクションを実行できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。
サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。
ユーザーに対して複数のポリシー・ステートメントを有効にする必要があるログ・アナリティクス機能
- 前提条件のIAMポリシー
これには、「ログ・分析からその機能ファミリへのアクセスの有効化」および「ユーザー・グループへのアクセス権の付与」が含まれます。
- テナンシでのOCIコンソール・パーソナライズの管理をユーザーに許可
- ログ・アナリティクスのグループ・プリファレンスの管理をユーザーに許可
- ログ・アナリティクス・クロス・テナンシにアクセスするためのコンピュート・インスタンスの設定
- 管理ダッシュボードの構成
- ユーザーがテナンシ間でサンプル・ログ・データにアクセスすることを許可
- 管理エージェントを使用した継続的なログ収集の許可
- ユーザーによるオンデマンド・アップロード作成、取得およびリスト操作の実行を許可
- オンデマンド・アップロード削除操作の実行をユーザーに許可
- イベント・ログのアップロードに必要な権限
- オブジェクト・ストレージからのログ収集を許可します
- オブジェクト・ストレージからのクロス・テナンシ・ログ収集を許可
- OCIロギング・サービスからのログの収集の許可
- OCIロギング・サービスからのクロステナンシ・ログ収集の許可
- OCIストリーミング・サービスからのログの収集の許可
- EMブリッジ操作の実行をユーザーに許可
- エンティティの自動検出およびログ収集の許可
- ユーザーにログ・データのパージを許可
- スケジュール済タスクに対するすべての操作の実行をユーザーに許可
- ログを暗号化するための顧客指定キーの使用の許可
- すべてのKubernetesソリューション操作を許可
使用する個々のリソース・タイプおよびIAMポリシーの一部
Oracle Logging Analyticsには、loganalytics-features-familyおよびloganalytics-resources-familyという2つの集約リソース・タイプがあります。これらの各集約リソース・タイプには、その一部として複数の個別のリソース・タイプがあります。集約リソース・タイプの包括的ポリシーを作成すると、そのポリシーでは、そのポリシーの下にある個々のリソース・タイプすべてに対してタスクを実行する権限が提供されます。対応する集計のすべてのリソース・タイプをカバーする包括ポリシーの例:
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyこれらのポリシー・ステートメントは、初めてアクセスしたときにOracle Logging Analyticsで使用可能なオンボーディング・ワークフローに含まれます。ただし、個々のリソース・タイプに対してより詳細なアクセス制御を提供する場合は、個々のリソース・タイプのポリシー・ステートメントを調べることができます。
次に、loganalytics-features-familyおよびloganalytics-resources-familyの個々のリソース・タイプの一部を示します。
| 個々のリソース・タイプ | 集約リソース・タイプに属します | ポリシー文の例 |
|---|---|---|
|
エンティティ・タイプ(リソース・タイプ: |
|
|
|
フィールド(リソース・タイプ: |
|
|
|
ラベル(リソース・タイプ: |
|
|
|
ライフサイクル(リソース・タイプ: |
|
|
|
参照(リソース・タイプ: |
|
|
|
パーサー(リソース・タイプ: |
|
|
|
ソース(リソース・タイプ: |
|
|
|
ストレージ(リソース・タイプ: |
|
|
|
エンティティ(リソース・タイプ: |
|
|
|
ログ・グループ(リソース・タイプ: |
|
|
|
時間ルールの取得(リソース・タイプ: |
|
エンティティ・タイプ・リソースに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-entity-type
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティ・タイプ・リソースはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
前述の例では、テナンシ内のloganalytics-entity-typeに対するUSE権限を提供します。
loganalytics-entity-typeのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティ・タイプのリスト |
エンティティ・タイプに関する詳細の取得 |
エンティティ・タイプの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
フィールドのすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-field
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
フィールドはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-field in tenancy |
前述の例では、テナンシ内のloganalytics-fieldに対するUSE権限を提供します。
loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
フィールドをリストします |
フィールドに関する詳細の取得 |
フィールドの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ラベルに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-label
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ラベルはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-label in tenancy |
前述の例では、テナンシ内のloganalytics-labelに対するUSE権限を提供します。
loganalytics-labelのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ラベルのリスト表示 |
ラベルが使用されているソースを含むラベルの詳細を取得します |
ラベルの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにネームスペース詳細およびテナント・プリファレンスの表示を許可
個々のリソース・タイプ: loganalytics-lifecycle
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
|
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
前述の例では、テナンシ内のloganalytics-lifecycleに対するUSE権限を提供します。
loganalytics-lifecycleのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ネームスペースの表示 |
ネームスペースおよびテナント内のプリファレンスに関する詳細を取得します |
「使用」には、「読取り」と同じレベルの権限およびAPI操作があります。 |
ネームスペースのオフボードまたはオンボード、テナント・プリファレンスの更新または削除を行います。 |
ユーザーに参照の登録を許可
個々のリソース・タイプ: loganalytics-lookup
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
参照はテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-lookup in tenancy |
前述の例では、テナンシ内のloganalytics-lookupに対するUSE権限を提供します。
loganalytics-lookupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
NA |
ルックアップの登録 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
パーサーに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-parser
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
パーサーはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-parser in tenancy |
前述の例では、テナンシ内のloganalytics-parserに対するUSE権限を提供します。
loganalytics-parserのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
パーサーをリストし、サマリーを取得します。 |
パーサーに関する詳細の取得、パーサー関数のリスト、パーサーのテスト、ヘッダーのパスおよびフィールドのログ・コンテンツからの抽出 |
パーサーの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ソースに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-source
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ソースはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-source in tenancy |
前述の例では、テナンシ内のloganalytics-sourceに対するUSE権限を提供します。
loganalytics-sourceのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ソース、ソース・タイプ、各ソースのエンティティ・アソシエーション、ソースで使用されるラベルおよびソース関数をリストします。 |
関連付け、拡張フィールド定義(EFD)、パターンなど、ソースの詳細を取得します。関連パラメータおよびEFD詳細を検証します。 |
ソースまたはアソシエーションを作成、削除または更新し、ソースを検証します。 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ストレージ情報およびアーカイブログの表示をユーザーに許可する
個々のリソース・タイプ: loganalytics-storage
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ストレージ・リソースはテナンシ内に存在できます |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
前述の例では、テナンシ内のloganalytics-storageに対するMANAGE権限を示します。
loganalytics-storageのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
ストレージとその使用方法の詳細を取得します。 |
追加の権限を使用すると、アーカイブされたデータをリコールして、リコールされたデータを解放できます。ログ・アナリティクス・ポリシー・リファレンスを参照してください。 |
アーカイブを有効または無効にし、ストレージを更新して、パージ・データ・サイズを取得します。 |
エンティティ操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-entity
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティは、テナンシ内の任意のコンパートメントに存在できます |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
エンティティは特定のコンパートメントに存在できます |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
前述の例では、テナンシまたは特定のコンパートメント内のloganalytics-entityに対するUSE権限を示します。
loganalytics-entityのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティをリストし、ソースとの関連付けをリストします |
エンティティに関する詳細の取得 |
エンティティの作成、削除または更新、別のコンパートメントへの移動、ソースとのアソシエーションの追加または削除 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ログ・グループに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-log-group
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ログ・グループは、テナンシ内の任意のコンパートメントに配置できます |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
ログ・グループは特定のコンパートメントにあります |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
前述の例では、テナンシまたは特定のコンパートメント内のloganalytics-log-groupに対するMANAGE権限を示します。
loganalytics-log-groupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ログ・グループをリストし、サマリーを取得します |
ログ・グループの詳細を取得します。 |
ログ・グループを作成および更新し、そのコンパートメントを変更します |
ログ・グループの削除 |