ログ・アナリティクスのIAMポリシー・カタログ
ここでは、Oracle Logging Analyticsの様々な機能およびリソースを使用するために必要なすべてのポリシーを確認できます。
Oracle Logging AnalyticsのIAMポリシーの作成時に注意する必要がある点の一部:
-
Learn about the IAM components like RESOURCE, USER, GROUP, DYNAMIC GROUP, NETWORK SOURCE, COMPARTMENT, TENANCY, POLICY, HOME REGION, and FEDERATION that are used in the IAM policy statements.Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
Oracle Logging Analyticsのリソース・タイプごとにIAMポリシーを作成するには、指定できる権限数の増加順にリストされた動詞「検査」、「読取り」、「使用」または「管理」のいずれかを使用します。Oracle Cloud Infrastructureドキュメンテーションを参照してください。
-
各リソース・タイプの各動詞を使用して実行できる正確な権限およびAPI操作を表示するには、ログ・アナリティクス・ポリシー・リファレンスを参照してください。
-
テナンシ内のOracle Logging Analyticsサービスには、テナンシまたはルート・レベルのサービス・レベルのIAMポリシーが必要です。
-
loganalytics-features-family集約リソース・タイプのユーザー/グループ・アクセス・ポリシーとその個々のリソースは、テナンシまたはルート・レベルで作成する必要があります。 -
loganalytics-resources-family集約リソース・タイプおよびその個々のリソースに対するユーザー/グループのアクセス・ポリシーは、必要に応じてコンパートメント・レベルまたはテナンシ・レベルで設定できます。 -
すぐに使用可能なテンプレートを使用して、ユーザー・グループまたは動的グループのポリシーを作成し、特定の操作または操作のコレクションを実行できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。
サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。
ユーザーのポリシーを有効にするために複数のポリシー・ステートメントを必要とするログ・アナリティクス機能
- 前提条件のIAMポリシー
これには、「ログ・分析からその機能ファミリへのアクセスの有効化」および「ユーザー・グループへのアクセス権の付与」が含まれます。
- テナンシでのOCIコンソール・パーソナライズの管理をユーザーに許可
- ログ・アナリティクスのグループ・プリファレンスの管理をユーザーに許可
- ログ・アナリティクス・クロス・テナンシにアクセスするためのコンピュート・インスタンスの設定
- 管理ダッシュボードの構成
- ユーザーによるテナンシのサンプル・ログ・データへのアクセスを許可
- 管理エージェントを使用した継続的なログ収集の許可
- ユーザーによるオンデマンド・アップロードの作成、取得およびリスト操作の実行を許可
- オンデマンド・アップロード削除操作の実行をユーザーに許可
- イベント・ログのアップロードに必要な権限
- オブジェクト・ストレージからのログ収集の許可
- オブジェクト・ストレージからのクロステナンシ・ログ収集の許可
- OCIロギング・サービスからのログの収集の許可
- OCIロギング・サービスからのクロステナンシ・ログ収集の許可
- OCIストリーミングサービスからのログ収集の許可
- ユーザーによるEMブリッジ操作の実行を許可
- エンティティおよびログ収集の自動検出の許可
- ユーザーによるログ・データのパージを許可
- スケジュール済タスクに対するすべての操作の実行をユーザーに許可
- 顧客提供のキーを使用したログの暗号化の許可
- すべてのKubernetesソリューション運用を許可
使用する個々のリソース・タイプおよびIAMポリシーの一部
Oracle Logging Analyticsには、loganalytics-features-familyおよびloganalytics-resources-familyという2つの集約リソース・タイプがあります。これらの各集約リソース・タイプには、その一部として複数の個別のリソース・タイプがあります。集約リソース・タイプの包括的ポリシーを作成すると、そのポリシーでは、そのポリシーの下にある個々のリソース・タイプすべてに対してタスクを実行する権限が提供されます。対応する集計のすべてのリソース・タイプをカバーする包括ポリシーの例:
allow group Logging-Analytics-SuperAdmins to USE loganalytics-features-family in tenancyallow group Logging-Analytics-SuperAdmins to USE loganalytics-resources-family in tenancyこれらのポリシー・ステートメントは、初めてアクセスしたときにOracle Logging Analyticsで使用可能なオンボーディング・ワークフローに含まれます。ただし、個々のリソース・タイプに対してより詳細なアクセス制御を提供する場合は、個々のリソース・タイプのポリシー・ステートメントを調べることができます。
次に、loganalytics-features-familyおよびloganalytics-resources-familyの個々のリソース・タイプの一部を示します:
| 個別リソース・タイプ | 集計対象リソース・タイプ | ポリシー・ステートメントの例 |
|---|---|---|
|
エンティティ・タイプ(リソース・タイプ: |
|
|
|
フィールド(リソース・タイプ: |
|
|
|
ラベル(リソース・タイプ: |
|
|
|
ライフサイクル(リソース・タイプ: |
|
|
|
参照(リソース・タイプ: |
|
|
|
パーサー(リソース・タイプ: |
|
|
|
ソース(リソース・タイプ: |
|
|
|
ストレージ(リソース・タイプ: |
|
|
|
エンティティ(リソース・タイプ: |
|
|
|
ログ・グループ(リソース・タイプ: |
|
|
|
時間ルールの収集(リソース・タイプ: |
|
エンティティ・タイプ・リソースに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-entity-type
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティ・タイプ・リソースはテナンシに存在できます |
allow group <user_group> to USE loganalytics-entity-type in tenancy |
前述の例は、テナンシ内のloganalytics-entity-typeに対するUSE権限を提供します。
loganalytics-entity-typeのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティ・タイプのリスト |
エンティティ・タイプの詳細の取得 |
エンティティ・タイプの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーによるフィールドに対するすべての操作の実行を許可
個々のリソース・タイプ: loganalytics-field
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
フィールドはテナンシ内に存在できます |
allow group <user_group> to USE loganalytics-field in tenancy |
前述の例は、テナンシ内のloganalytics-fieldに対するUSE権限を提供します。
loganalytics-entityのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
フィールドのリスト表示 |
フィールドの詳細の取得 |
フィールドの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにラベルに対するすべての操作の実行を許可
個々のリソース・タイプ: loganalytics-label
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ラベルはテナンシに含めることができます |
allow group <user_group> to USE loganalytics-label in tenancy |
前述の例は、テナンシ内のloganalytics-labelに対するUSE権限を提供します。
loganalytics-labelのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ラベルの一覧表示 |
使用されるソースを含むラベルに関する詳細を取得します |
ラベルの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにネームスペース詳細およびテナント・プリファレンスの表示を許可
個々のリソース・タイプ: loganalytics-lifecycle
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
|
allow group <user_group> to USE loganalytics-lifecycle in tenancy |
前述の例は、テナンシ内のloganalytics-lifecycleに対するUSE権限を提供します。
loganalytics-lifecycleのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ネームスペースのリスト |
ネームスペースの詳細およびテナント内のプリファレンスを取得します |
Useには、Readと同じレベルの権限およびAPI操作があります。 |
ネームスペースのオフボードまたはオンボード、テナント・プリファレンスの更新または削除を行います。 |
参照の登録をユーザーに許可
個々のリソース・タイプ: loganalytics-lookup
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
参照はテナンシに存在できます |
allow group <user_group> to USE loganalytics-lookup in tenancy |
前述の例は、テナンシ内のloganalytics-lookupに対するUSE権限を提供します。
loganalytics-lookupのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
NA |
参照の登録 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにパーサーに対するすべての操作の実行を許可
個々のリソース・タイプ: loganalytics-parser
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
パーサーはテナンシに配置できます |
allow group <user_group> to USE loganalytics-parser in tenancy |
前述の例は、テナンシ内のloganalytics-parserに対するUSE権限を提供します。
loganalytics-parserのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
パーサーをリストし、そのサマリーを取得します |
パーサーの詳細の取得、パーサー関数のリスト、パーサーのテスト、ヘッダーのパスおよびログ・コンテンツからのフィールドの抽出 |
パーサーの作成、削除または更新 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ソースに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-source
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ソースはテナンシに存在できます |
allow group <user_group> to USE loganalytics-source in tenancy |
前述の例は、テナンシ内のloganalytics-sourceに対するUSE権限を提供します。
loganalytics-sourceのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ソースのリスト、ソース・タイプ、各ソースのエンティティ・アソシエーション、ソースで使用されるラベルおよびソース関数について把握します。 |
関連、拡張フィールド定義(EFD)、パターンなど、ソースの詳細を取得します。アソシエーション・パラメータおよびEFD詳細を検証します。 |
ソースまたはアソシエーションを作成、削除または更新し、ソースを検証します。 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ユーザーにストレージ情報およびアーカイブ・ログの表示を許可
個々のリソース・タイプ: loganalytics-storage
集約リソース・タイプの一部: loganalytics-features-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ストレージ・リソースはテナンシ内に存在可能 |
allow group <user_group> to MANAGE loganalytics-storage in tenancy |
前述の例では、テナンシのloganalytics-storageに対するMANAGE権限が提供されています。
loganalytics-storageのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
NA |
ストレージとその使用方法の詳細を取得します。 |
追加の権限がある場合は、アーカイブされたデータをリコールし、リコールされたデータを解放できます。ログ・アナリティクス・ポリシー・リファレンスを参照してください。 |
アーカイブの有効化と無効化、ストレージの更新、パージ・データ・サイズの取得を行います。 |
ユーザーによるエンティティ操作の実行を許可
個々のリソース・タイプ: loganalytics-entity
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
エンティティはテナンシ内の任意のコンパートメントに配置できます |
allow group <user_group> to USE loganalytics-entity in tenancy |
|
エンティティは特定のコンパートメントに配置できます |
allow group <user_group> to USE loganalytics-entity in compartment id <compartment_OCID> |
前述の例では、テナンシまたは特定のコンパートメントのloganalytics-entityに対するUSE権限が提供されています。
loganalytics-entityのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
エンティティのリスト、ソースとのアソシエーションのリスト |
エンティティの詳細の取得 |
エンティティの作成、削除または更新、別のコンパートメントへのエンティティの移動、ソースとのアソシエーションの追加または削除 |
「管理」には、「使用」と同じレベルの権限およびAPI操作があります。 |
ログ・グループに対するすべての操作の実行をユーザーに許可
個々のリソース・タイプ: loganalytics-log-group
集約リソース・タイプの一部: loganalytics-resources-family
ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:
| ユース・ケース | IAMポリシー |
|---|---|
|
ログ・グループはテナンシ内の任意のコンパートメントに配置できます |
allow group <user_group> to MANAGE loganalytics-log-group in tenancy |
|
ログ・グループは特定のコンパートメント内にあります |
allow group <user_group> to MANAGE loganalytics-log-group in compartment id <compartment_OCID> |
前述の例では、テナンシまたは特定のコンパートメントのloganalytics-log-groupに対するMANAGE権限が提供されています。
loganalytics-log-groupのIAMポリシーを作成する際、各動詞で次の操作を実行できます:
Inspect |
Read |
Use |
Manage |
|---|---|---|---|
|
ログ・グループをリストし、サマリーを取得します |
ログ・グループの詳細を取得します。 |
ログ・グループの作成と更新、そのコンパートメントの変更 |
ログ・グループの削除 |