Oracle Cloud Infrastructureドキュメント

一般的なユース・ケース用のOracle定義のポリシー・テンプレート

すぐに使用可能なテンプレートを使用して、ユーザー・グループまたは動的グループのポリシーを作成し、特定の操作または操作のコレクションを実行できます。

  1. コンソールの「アイデンティティとセキュリティ」で、「アイデンティティ」メニューの「ポリシー」をクリックし、「ポリシーの作成」をクリックします。「ポリシーの作成」ページが開きます。

  2. ポリシーの名前および説明を指定します。

  3. ポリシー・ビルダーで、「ポリシー・ユース・ケース」メニューから「ログ・アナリティクス」を選択します。「共通ポリシー・テンプレート」メニューから、次のいずれかのオプションを選択します:

    ユース・ケースに応じてアイデンティティ・ドメイン、グループまたは動的グループを選択し、権限の範囲を定義するコンパートメントを選択します。

    ポリシー・ビルダーでOracle定義テンプレートを使用してポリシーを作成する詳細なステップは、ポリシー・ビルダーを使用したポリシー・ステートメントの記述を参照してください。

    手動エディタを使用したポリシーのカスタマイズの例は、「ポリシーのカスタマイズ」を参照してください。

  4. 「作成」をクリックします。

オペレータがログの検索、エンリッチメント構成の表示、ダッシュボードの表示を実行できるようにします

ユーザー・グループによるログの問合せ、様々な構成の表示およびダッシュボードの表示を許可します。ポリシー・テンプレートには、ログ収集を有効または無効にしたり、構成を変更したり、ログを削除したり、ダッシュボードを管理したりする機能はありません。

テンプレートに含まれるポリシー・ステートメント:

Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to read management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy
  • {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

ログ・アナリティクス・ユーザーがログの検索、エンリッチメント構成の表示、およびダッシュボードの管理を実行できるようにします

ユーザー・グループによるログの問合せ、様々な構成の表示およびダッシュボードの管理を許可します。ポリシー・テンプレートには、ログ収集を有効または無効にしたり、構成を変更したり、ログを削除する機能はありません。

テンプレートに含まれるポリシー・ステートメント:

Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy
  • {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

ログ・分析管理者がログの検索、エンリッチメントの構成、ログの収集およびダッシュボードの管理を実行できるようにします

ユーザー・グループがソース、パーサー、エンティティ、ログ・グループを作成または編集し、ダッシュボードを管理できるようにします。また、ポリシー・ステートメントによって、ユーザー・グループはログ収集を有効または無効にできます。ただし、権限にはログを削除する機能が含まれていません。

テンプレートに含まれるポリシー・ステートメント:

Allow group {group name} to use loganalytics-features-family in tenancy
Allow group {group name} to use loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
  • {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

ログ・アナリティクス・スーパー管理者がログ・分析のすべての側面を制御し、ログをパージできるようにします

ユーザー・グループがログを問い合せたり、様々な構成を管理したり、ログ収集を有効または無効にしたり、ログを削除できるようにします。ユーザー・グループには、Oracle Logging Analyticsからのオフボーディングやオンボーディングなどのライフサイクル・アクティビティを実行する機能もあります。

テンプレートに含まれるポリシー・ステートメント:

Allow group {group name} to MANAGE loganalytics-features-family in tenancy
Allow group {group name} to MANAGE loganalytics-resources-family in {location}
Allow group {group name} to MANAGE management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
  • {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

パージ・ポリシーの動的グループが実行することを許可します

ログ・データのパージ処理を許可します。

テンプレートに含まれるポリシー・ステートメント:

Allow dynamic-group {group name} to read compartments in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
  • {group name}: アクセス権を付与する必要がある動的グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

管理エージェント動的グループを使用した継続的なログ収集を許可します

ユーザー・グループが管理エージェントを使用してログを継続的に収集できるようにします。

テンプレートに含まれるポリシー・ステートメント:

Allow dynamic-group {group name} to use METRICS in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in {location}
  • {group name}: アクセス権を付与する必要がある動的グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

検出ルールの動的グループが実行することを許可します

スケジュール済タスク検出ルールおよび取込み時検出ルールの実行を許可します。

テンプレートに含まれるポリシー・ステートメント:

Allow dynamic-group {group name} to use metrics in {location}
Allow dynamic-group {group name} to read management-saved-search in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
Allow dynamic-group {group name} to READ loganalytics-log-group in {location}
Allow dynamic-group {group name} to read compartments in tenancy
Allow service loganalytics to use metrics in {location}
  • {group name}: アクセス権を付与する必要がある動的グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。

オブジェクト・ストレージからのログ収集を許可します

ユーザー・グループがオブジェクト・ストレージからログを収集できるようにします。

テンプレートに含まれるポリシー・ステートメント:

Allow service loganalytics to read buckets in {location}
Allow service loganalytics to read objects in {location}
Allow service loganalytics to manage cloudevents-rules in {location}
Allow service loganalytics to inspect compartments in tenancy
Allow service loganalytics to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}
  • {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
  • {location}: 権限のスコープのコンパートメントを選択します。