一般的なユース・ケース用のOracle定義のポリシー・テンプレート
すぐに使用可能なテンプレートを使用して、ユーザー・グループまたは動的グループのポリシーを作成し、特定の操作または操作のコレクションを実行できます。
-
コンソールの「アイデンティティとセキュリティ」で、「アイデンティティ」メニューの「ポリシー」をクリックし、「ポリシーの作成」をクリックします。「ポリシーの作成」ページが表示されます。
-
ポリシーの名前および説明を指定します。
-
ポリシー・ビルダーで、「ポリシー・ユース・ケース」メニューから「ログ・アナリティクス」を選択します。「共通ポリシー・テンプレート」メニューから、次のいずれかのオプションを選択します:
- オペレータがログの検索、エンリッチメント構成の表示、およびダッシュボードの表示を実行できるようにします
- ログ・アナリティクス・ユーザーがログの検索、エンリッチメント構成の表示、およびダッシュボードの管理を実行できるようにします
- ログ・アナリティクス管理者がログの検索、エンリッチメントの構成、ログの収集およびダッシュボードの管理を実行できるようにします
- ログ・アナリティクス・スーパー管理者がログ・アナリティクスのすべての側面を制御し、ログをパージできるようにします
- パージ・ポリシーの動的グループが実行することを許可します
- 管理エージェント動的グループを使用した継続的なログ収集を許可します
- 検出ルールの動的グループが実行することを許可します
- オブジェクト・ストレージからのログ収集を許可します
ユース・ケースに応じてアイデンティティ・ドメイン、グループまたは動的グループを選択し、権限の範囲を定義するコンパートメントを選択します。
ポリシー・ビルダーでOracle定義テンプレートを使用してポリシーを作成する詳細なステップは、ポリシー・ビルダーを使用したポリシー・ステートメントの記述を参照してください。
手動エディタを使用したポリシーのカスタマイズの例は、「ポリシーのカスタマイズ」を参照してください。
-
「作成」をクリックします。
オペレータがログの検索、エンリッチメント構成の表示、およびダッシュボードの表示を実行できるようにします
ユーザー・グループによるログの問合せ、様々な構成の表示およびダッシュボードの表示を許可します。ポリシー・テンプレートには、ログ収集を有効または無効にしたり、構成を変更したり、ログを削除したり、ダッシュボードを管理したりする機能はありません。
テンプレートに含まれるポリシー・ステートメント:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to read management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy
- {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
ログ・アナリティクス・ユーザーがログの検索、エンリッチメント構成の表示、およびダッシュボードの管理を実行できるようにします
ユーザー・グループによるログの問合せ、様々な構成の表示およびダッシュボードの管理を許可します。ポリシー・テンプレートには、ログ収集を有効または無効にしたり、構成を変更したり、ログを削除する機能はありません。
テンプレートに含まれるポリシー・ステートメント:
Allow group {group name} to read loganalytics-features-family in tenancy
Allow group {group name} to read loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow service loganalytics to read loganalytics-features-family in tenancy
- {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
ログ・アナリティクス管理者がログの検索、エンリッチメントの構成、ログの収集およびダッシュボードの管理を実行できるようにします
ユーザー・グループがソース、パーサー、エンティティ、ログ・グループを作成または編集し、ダッシュボードを管理できるようにします。また、ポリシー・ステートメントによって、ユーザー・グループはログ収集を有効または無効にできます。ただし、権限にはログを削除する機能が含まれていません。
テンプレートに含まれるポリシー・ステートメント:
Allow group {group name} to use loganalytics-features-family in tenancy
Allow group {group name} to use loganalytics-resources-family in {location}
Allow group {group name} to manage management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
- {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
ログ・アナリティクス・スーパー管理者がログ・アナリティクスのすべての側面を制御し、ログをパージできるようにします
ユーザー・グループがログを問い合せたり、様々な構成を管理したり、ログ収集を有効または無効にしたり、ログを削除できるようにします。ユーザー・グループには、Oracle Logging Analyticsからのオフボーディングやオンボーディングなどのライフサイクル・アクティビティを実行する機能もあります。
テンプレートに含まれるポリシー・ステートメント:
Allow group {group name} to MANAGE loganalytics-features-family in tenancy
Allow group {group name} to MANAGE loganalytics-resources-family in {location}
Allow group {group name} to MANAGE management-dashboard-family in {location}
Allow group {group name} to read compartments in tenancy
Allow group {group name} TO MANAGE management-agents in {location}
Allow group {group name} to MANAGE management-agent-install-keys in {location}
Allow group {group name} TO READ METRICS in {location}
Allow group {group name} TO READ USERS in tenancy
Allow group {group name} to {BUCKET_UPDATE, BUCKET_READ} in {location}
Allow service loganalytics to READ loganalytics-features-family in tenancy
- {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
パージ・ポリシーの動的グループが実行することを許可します
ログ・データのパージ処理を許可します。
テンプレートに含まれるポリシー・ステートメント:
Allow dynamic-group {group name} to read compartments in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
- {group name}: アクセス権を付与する必要がある動的グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
管理エージェント動的グループを使用した継続的なログ収集を許可します
ユーザー・グループが管理エージェントを使用してログを継続的に収集できるようにします。
テンプレートに含まれるポリシー・ステートメント:
Allow dynamic-group {group name} to use METRICS in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in {location}
- {group name}: アクセス権を付与する必要がある動的グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
検出ルールの動的グループが実行することを許可します
スケジュール済タスク検出ルールおよび取込み時検出ルールの実行を許可します。
テンプレートに含まれるポリシー・ステートメント:
Allow dynamic-group {group name} to use metrics in {location}
Allow dynamic-group {group name} to read management-saved-search in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERY_VIEW} in {location}
Allow dynamic-group {group name} to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in {location}
Allow dynamic-group {group name} to READ loganalytics-log-group in {location}
Allow dynamic-group {group name} to read compartments in tenancy
Allow service loganalytics to use metrics in {location}
- {group name}: アクセス権を付与する必要がある動的グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。
オブジェクト・ストレージからのログ収集を許可します
ユーザー・グループがオブジェクト・ストレージからログを収集できるようにします。
テンプレートに含まれるポリシー・ステートメント:
Allow service loganalytics to read buckets in {location}
Allow service loganalytics to read objects in {location}
Allow service loganalytics to manage cloudevents-rules in {location}
Allow service loganalytics to inspect compartments in tenancy
Allow service loganalytics to use tag-namespaces in tenancy where all {target.tag-namespace.name = /oracle-tags/}
- {group name}: アクセス権を付与する必要があるユーザー・グループを選択します。
- {location}: 権限のスコープのコンパートメントを選択します。