次のポリシー・ステートメントを使用してIAMポリシーを作成し、Oracle Logging Analyticsとそのリソースへのアクセスを有効にし、ユーザー・グループへのアクセス権を付与します。

必要なポリシー・ステートメントには、次の3つのタイプがあります。

• サービス・ポリシー: 製品を使用可能にするポリシー・ステートメントです。

  allow service loganalytics to READ loganalytics-features-family in tenancy

• ユーザー・ポリシー: これらのポリシー・ステートメントは、ユーザー・アクセスを制御するためのものです。ポリシーが定義されているグループにユーザーを追加します。Logging-Analytics-Users、Logging-Analytics-AdminsおよびLogging-Analytics-SuperAdminsの3つのグループを持つことをお薦めしますが、ポリシーを定義するグループがすでにある可能性もあります。推奨グループの詳細およびそれらのグループへのアクセス権の付与については、アクセス制御を実装するためのユーザー・グループの作成およびユーザー・グループへのアクセス権の付与を参照してください。

  次のポリシー・ステートメントは、テナンシ全体のリソースloganalytics-features-familyおよびcompartmentsのユーザー・グループLogging-Analytics-Adminsへのアクセスを提供します:

  allow group Logging-Analytics-Admins to use loganalytics-features-family in tenancy
  allow group Logging-Analytics-Admins to read compartments in tenancy

  次のポリシー・ステートメントは、リソースmanagement-dashboard-familyおよびloganalytics-resources-familyのユーザー・グループLogging-Analytics-Adminsへのアクセスを提供します。

  • テナンシ全体でのアクセス:

    allow group Logging-Analytics-Admins to use loganalytics-resources-family in tenancy
    allow group Logging-Analytics-Admins to manage management-dashboard-family in tenancy

  • 特定のコンパートメントへのアクセス:

    allow group Logging-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1
    allow group Logging-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

• リソース・ポリシー: これらのポリシー・ステートメントは、スケジュールされたタスク、EMブリッジ、管理エージェントを使用したログ収集などのバックグラウンド・プロセスに必要です。これらのポリシーでは、動的グループを使用してリソースのセットを定義でき、ポリシー・ステートメントは動的グループへのアクセス権を付与するために記述できます。複数のポリシー・ステートメントを必要とするログ・アナリティクス機能によるユーザーの有効化を参照してください。集約リソースloganalytics-features-familyおよびloganalytics-resources-familyの下にある個々のリソース・タイプとそのポリシーの詳細は、それらを使用するための個々のリソース・タイプおよびIAMポリシーの一部を参照してください。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。