Administración del acceso a las áreas de trabajo de Log Analytics

Los factores que determinan los datos a los que puede acceder en un área de trabajo de Log Analytics son:

• Configuración de la propia área de trabajo.
• Los permisos de acceso a los recursos que envían datos al área de trabajo.
• Método utilizado para acceder al área de trabajo.

En este artículo se describe cómo administrar el acceso a los datos en un área de trabajo de Log Analytics.

Información general

Los factores que definen los datos a los que puede acceder se describen en la tabla siguiente. Cada factor se describe con más detalle en las secciones siguientes.

Factor	Descripción
Modo de acceso	Método utilizado para acceder al área de trabajo. Define el ámbito de los datos disponibles y el modo de control de acceso que se aplica.
Modo de control de acceso	Configuración en el área de trabajo que define si los permisos se aplican en el nivel de área de trabajo o recurso.
Control de acceso basado en rol (RBAC) de Azure	Permisos aplicados a usuarios individuales o grupos de usuarios para el área de trabajo o el recurso que envía datos al área de trabajo. Define los datos a los que tendrá acceso.
Permiso de Azure RBAC de nivel de tabla	Permisos opcionales que definen los tipos de datos específicos del área de trabajo a los que puede acceder. Se puede aplicar a todos los modos de acceso o a los modos de control de acceso.

Modo de acceso

El modo de acceso hace referencia a cómo accede a un área de trabajo de Log Analytics y define los datos a los que puede tener acceso durante la sesión actual. El modo se determina según el ámbito que seleccione en Log Analytics.

Hay dos modos de acceso:

• Contexto del área de trabajo: puede ver todos los registros del área de trabajo para los que tenga permiso. Las consultas en este modo se limitan a todos los datos de todas las tablas a las que tiene acceso en el área de trabajo. Este es el modo de acceso utilizado cuando se accede a los registros con el área de trabajo como ámbito, como cuando se selecciona Registros desde el menú Azure Monitor en Azure Portal.
• Contexto del recurso: al acceder al área de trabajo para un recurso, un grupo de recursos o una suscripción determinados (por ejemplo, cuando se selecciona Registros en un menú de recursos de Azure Portal), puede ver los registros solo de los recursos de todas las tablas a las que tiene acceso. Las consultas de este modo se limitan solo a los datos asociados a ese recurso. Este modo también permite Azure RBAC pormenorizado. Las áreas de trabajo usan un modelo de registro de contexto del recurso donde cada entrada del registro emitida por un recurso de Azure se asocia automáticamente a este recurso.

Los registros solo están disponibles en las consultas del contexto del recurso si están asociados al recurso pertinente. Para comprobar esta asociación, ejecute una consulta y compruebe que se haya rellenado la columna _ResourceId.

Existen limitaciones conocidas con los siguientes recursos:

• Equipos fuera de Azure: el contexto de recurso solo se admite con Azure Arc para servidores.
• Application Insights: solo se admite para el contexto de recurso cuando se usa un recurso de Application Insights basado en el área de trabajo.
• Azure Service Fabric

Comparación de los modos de acceso

En la tabla siguiente se resumen los modos de acceso:

Incidencia	Contexto del área de trabajo	Contexto del recurso
¿Para quién está pensado cada modelo?	Administración central. Los administradores que tienen que configurar colecciones de datos y los usuarios que necesitan acceder a una amplia variedad de recursos. También lo requieren actualmente los usuarios que necesitan acceder a registros de recursos fuera de Azure.	Equipos de la aplicación. Los administradores de los recursos de Azure que se están supervisando. Les permite centrarse en su recurso sin filtrar.
¿Qué requiere un usuario para ver los registros?	Permisos para el área de trabajo. Consulte "Permisos del área de trabajo" en Administración del acceso mediante permisos del área de trabajo.	Acceso de lectura al recurso. Consulte "Permisos de recurso" en Administración del acceso mediante permisos de Azure. Los permisos se pueden heredar del grupo de recursos o suscripción o asignar directamente al recurso. Se asignará automáticamente el permiso a los registros para el recurso. El usuario no requiere acceso al área de trabajo.
¿Qué es el ámbito de los permisos?	Área de trabajo. Los usuarios con acceso al área de trabajo pueden consultar todos los registros del área de trabajo desde las tablas para las que tengan permisos. Consulte Establecimiento del acceso de lectura de nivel de tabla.	Recurso de Azure. Un usuario puede consultar los registros de recursos, grupos de recursos o suscripciones específicos a los que tenga acceso en cualquier área de trabajo, pero no puede consultar los registros de otros recursos.
¿Cómo puede el usuario acceder a los registros?	Seleccione Registros en el menú Azure Monitor. Seleccione Registros desde las áreas de trabajo de Log Analytics. Desde los libros de Azure Monitor.	Seleccione Registros en el menú del recurso de Azure. Los usuarios tendrán acceso a los datos de ese recurso. Seleccione Registros en el menú Azure Monitor. Los usuarios tendrán acceso a los datos de todos los recursos a los que tengan acceso. Seleccione Registros de Áreas de trabajo de Log Analytics, si los usuarios tienen acceso al área de trabajo. Desde los libros de Azure Monitor.

Modo de control de acceso

El modo de control de acceso es una configuración de cada área de trabajo que define cómo se determinan los permisos para el área de trabajo.

• Requerir permisos de área de trabajo. Este modo de control no admite RBAC granular de Azure. Para acceder al área de trabajo, el usuario debe tener permisos concedidos en el área de trabajo o en tablas específicas.

  Si un usuario accede al área de trabajo en el modo de contexto del área de trabajo, tendrá acceso a todos los datos de todas las tablas a las que se le haya concedido acceso. Si un usuario accede al área de trabajo en el modo de contexto del recurso, tendrá acceso solo a los datos de ese recurso en todas las tablas a las que se le haya concedido acceso.

  Es la configuración predeterminada para todas las áreas de trabajo creadas antes de marzo de 2019.

• Usar permisos de recurso o de área de trabajo. este modo de control permite Azure RBAC granular. A los usuarios se les puede conceder acceso solo a los datos asociados a los recursos que pueden ver mediante la asignación del permiso read de Azure.

  Cuando un usuario accede al área de trabajo en modo contexto del área de trabajo, se aplican los permisos del área de trabajo. Cuando un usuario accede al área de trabajo en modo contexto del recurso, solo se comprueban los permisos de los recursos y se omiten los del área de trabajo. Para habilitar Azure RBAC para un usuario, quítelos de los permisos del área de trabajo y permita que sus permisos de recursos sean reconocidos.

  Es la configuración predeterminada para todas las áreas de trabajo creadas después de marzo de 2019.

  Nota

  Si un usuario solo tiene permisos de recurso en el área de trabajo, solo podrá acceder al área de trabajo mediante el modo de contexto de recurso, siempre que el modo de acceso al área de trabajo esté establecido en Usar permisos de recurso o de área de trabajo.

Configuración del modo de control de acceso para un área de trabajo

Azure Portal

Vea el modo de control de acceso del área de trabajo actual en la página Introducción del área de trabajo en el menú Área de trabajo de Log Analytics.

Cambie esta configuración en la página Propiedades del área de trabajo. Si no tiene permisos para configurar el área de trabajo, el cambio de la configuración está deshabilitado.

PowerShell

Use el comando siguiente a fin de ver el modo de control de acceso para todas las áreas de trabajo en la suscripción:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

La salida debe ser similar a la siguiente:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Un valor de False significa que el área de trabajo se configura con el modo de acceso contexto del área de trabajo. Un valor de True significa que el área de trabajo se configura con el modo de acceso contexto del recurso.

Nota

Si se devuelve un área de trabajo sin un valor booleano y está en blanco, este resultado también coincide con los resultados de un valor False.

Use el siguiente script para establecer el modo de control de acceso de un área de trabajo específica al permiso de contexto del recurso:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Use el siguiente script para establecer el modo de control de acceso en todas las áreas de trabajo de la suscripción al permiso de contexto del recurso:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Para configurar el modo de acceso en una plantilla de Azure Resource Manager, establezca la marca de característica enableLogAccessUsingOnlyResourcePermissions del área de trabajo en uno de los siguientes valores:

• false: establece el área de trabajo en los permisos de contexto del área de trabajo. Esta es la configuración predeterminada si no se ha establecido la marca.
• true: establece el área de trabajo en los permisos de contexto del recurso.

Azure RBAC

El acceso a un área de trabajo se administra mediante RBAC de Azure. Para conceder acceso al área de trabajo de Log Analytics mediante permisos de Azure, siga los pasos que se describen en Asignación de roles de Azure para administrar el acceso a los recursos de la suscripción de Azure.

Permisos de área de trabajo

Cada área de trabajo puede tener varias cuentas asociadas. Cada cuenta puede acceder a varias áreas de trabajo. En la tabla siguiente se enumeran los permisos de Azure para las diferentes acciones del área de trabajo:

Acción	Permisos de Azure necesarios	Notas
Cambiar el plan de tarifa.	Microsoft.OperationalInsights/workspaces/*/write
Creación de un área de trabajo en Azure Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Ver las propiedades básicas del área de trabajo y entrar al panel del área de trabajo en el portal.	Microsoft.OperationalInsights/workspaces/read
Consultar los registros con cualquier interfaz.	Microsoft.OperationalInsights/workspaces/query/read
Acceder a todos los tipos de registros mediante consultas.	Microsoft.OperationalInsights/workspaces/query/*/read
Acceso a una tabla de registro específica: método heredado	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Leer las claves del área de trabajo para permitir el envío de registros a esta área de trabajo.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Crear o actualizar una regla de resumen	Microsoft.Operationalinsights/workspaces/summarylogs/write
Agregar y quitar soluciones de supervisión.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Es necesario conceder estos permisos en el nivel de suscripción o grupo de recursos.
Ver datos en los iconos de las soluciones Backup y Site Recovery.	Administrador o coadministrador Accede a los recursos implementados mediante el modelo de implementación clásica.
Ejecución de un trabajo de búsqueda.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Restaure los datos a partir de la retención a largo plazo.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Roles integrados

Asigne usuarios a estos roles para concederles acceso en distintos ámbitos:

• Suscripción: acceso a todas las áreas de trabajo de la suscripción
• Grupo de recursos: acceso a todas las áreas de trabajo del grupo de recursos
• Recurso: acceso solo al área de trabajo especificada

Cree asignaciones en el nivel de recurso (área de trabajo) para asegurarse de que el control de acceso es preciso. Use roles personalizados para crear roles con los permisos específicos necesarios.

Nota:

Para agregar y quitar usuarios de un rol de usuario, debe tener los permisos Microsoft.Authorization/*/Delete y Microsoft.Authorization/*/Write.

Lector de Log Analytics

Los miembros del rol Lector de Log Analytics pueden ver todos los datos y la configuración de supervisión, incluida la configuración de Azure Diagnostics en todos los recursos de Azure.

Los miembros del rol Lector de Log Analytics pueden:

• Ver y buscar todos los datos de supervisión.
• Ver la configuración de supervisión, incluida la visualización de la configuración de Azure Diagnostics en todos los recursos de Azure.

El rol Lector de Log Analytics incluye las siguientes acciones de Azure:

Tipo	Permiso	Descripción
Acción	*/read	Capacidad para ver todos los recursos de Azure y la configuración de los recursos. Incluye la visualización de: - Estado de la extensión de máquina virtual. - Configuración de diagnósticos de Azure en los recursos. - Todas las propiedades y configuraciones de todos los recursos En el caso de las áreas de trabajo, permite permisos completos sin restricciones para leer la configuración del área de trabajo y consultar los datos. Consulte opciones más detalladas en la lista anterior.
Acción	Microsoft.Support/*	Capacidad de abrir casos de soporte técnico.
No acción	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Evita la lectura de la clave del área de trabajo necesaria para usar la API de recopilación de datos e instalar agentes. Esto impide que el usuario agregue nuevos recursos al área de trabajo.

Colaborador de Log Analytics

Los miembros del rol Colaborador de Log Analytics pueden:

• Leer todos los datos de supervisión concedidos por el rol de lector de Log Analytics.
• Editar la configuración de supervisión de los recursos de Azure, lo que incluye:
  • Agregar la extensión de máquina virtual a las máquinas virtuales.
  • Configurar los diagnósticos de Azure en todos los recursos de Azure.
• Crear y configurar cuentas de Automation. Los permisos se deben conceder en el nivel de suscripción o grupo de recursos.
• Agregar y eliminar soluciones de administración. Los permisos se deben conceder en el nivel de suscripción o grupo de recursos.
• Leer las claves de la cuenta de almacenamiento.
• Configurar la recopilación de registros de Azure Storage.
• Configure reglas de exportación de datos.
• Ejecute un trabajo de búsqueda.
• Restaure los datos a partir de la retención a largo plazo.

Advertencia

Puede usar el permiso a fin de agregar una extensión de máquina virtual a una máquina virtual para obtener el control total sobre una máquina virtual.

El rol Colaborador de Log Analytics incluye las siguientes acciones de Azure:

Permiso	Descripción
*/read	Capacidad para ver todos los recursos de Azure y la configuración de los recursos. Incluye la visualización de: - Estado de la extensión de máquina virtual. - Configuración de diagnósticos de Azure en los recursos. - Todas las propiedades y configuraciones de todos los recursos En el caso de las áreas de trabajo, permite permisos completos sin restricciones para leer la configuración del área de trabajo y consultar los datos. Consulte opciones más detalladas en la lista anterior.
Microsoft.Automation/automationAccounts/*	Capacidad para crear y configurar cuentas de Azure Automation, incluido agregar y editar runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Agregar, actualizar y eliminar extensiones de máquina virtual, incluida la extensión de Microsoft Monitoring Agent y el agente de OMS para la extensión de Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Ver la clave de la cuenta de almacenamiento. Necesaria para configurar Log Analytics para leer los registros de las cuentas de Azure Storage.
Microsoft.Insights/alertRules/*	Agregar, actualizar y eliminar reglas de alertas.
Microsoft.Insights/diagnosticSettings/*	Agregar, actualizar y eliminar la configuración de diagnósticos en los recursos de Azure.
Microsoft.OperationalInsights/*	Agregar, actualizar y eliminar la configuración de áreas de trabajo de Log Analytics. Para editar la configuración avanzada del área de trabajo, el usuario necesita Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Agregar y eliminar soluciones de administración.
Microsoft.Resources/deployments/*	Crear y eliminar implementaciones. Necesario para agregar y eliminar soluciones, áreas de trabajo y cuentas de Automation.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Crear y eliminar implementaciones. Necesario para agregar y eliminar soluciones, áreas de trabajo y cuentas de Automation.

Permisos de recurso

Para leer o enviar datos a un área de trabajo en el contexto de recursos, necesita estos permisos en el recurso:

Permiso	Descripción
Microsoft.Insights/logs/*/read	Capacidad para ver todos los datos de registro del recurso
Microsoft.Insights/logs/<tableName>/read Ejemplo: Microsoft.Insights/logs/Heartbeat/read	Capacidad de ver una tabla específica para este recurso: método heredado
Microsoft.Insights/diagnosticSettings/write	Capacidad para configurar diagnósticos a fin de permitir la configuración de los registros de este recurso

El permiso /read se suele conceder desde un rol que incluye los permisos */read o *, como los roles integrados Lector y Colaborador. Los roles personalizados que contienen acciones específicas o roles integrados dedicados no incluyen este permiso.

Roles personalizados de ejemplo

Además de usar los roles integrados para un área de trabajo de Log Analytics, puede crear roles personalizados para asignar permisos más pormenorizados. Estos son algunos ejemplos comunes.

Ejemplo 1: conceder a un usuario permiso para leer datos de registro de sus recursos.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Conceda a los usuarios los permisos */read o Microsoft.Insights/logs/*/read a sus recursos. Si ya se les ha asignado el rol Lector de Log Analytics en el área de trabajo, es suficiente.

Ejemplo 2: conceder a un usuario permiso para leer datos de registro de sus recursos y ejecutar un trabajo de búsqueda.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Conceda a los usuarios los permisos */read o Microsoft.Insights/logs/*/read a sus recursos. Si ya se les ha asignado el rol Lector de Log Analytics en el área de trabajo, es suficiente.
• Conceda a los usuarios los permisos siguientes en el área de trabajo:
  • Microsoft.OperationalInsights/workspaces/tables/write: Necesario para poder crear la tabla de resultados de búsqueda (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: necesario para permitir la ejecución de la operación de trabajo de búsqueda.

Ejemplo 3: conceder a un usuario permiso para leer datos de registro de sus recursos y configurar sus recursos para que envíen registros al área de trabajo de Log Analytics.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Conceda a los usuarios los permisos siguientes en el área de trabajo: Microsoft.OperationalInsights/workspaces/read y Microsoft.OperationalInsights/workspaces/sharedKeys/action. Con estos permisos, los usuarios no pueden realizar consultas en el nivel de área de trabajo. Solo pueden enumerar el área de trabajo y usarla como destino para la configuración de diagnóstico o del agente.
• Conceda a los usuarios los permisos siguientes a sus recursos: Microsoft.Insights/logs/*/read y Microsoft.Insights/diagnosticSettings/write. Si ya se les ha asignado el rol Colaborador de Log Analytics, el rol Lector o se les ha concedido permisos */read en este recurso, es suficiente.

Ejemplo 4: conceder a un usuario permiso para leer datos de registro de sus recursos, pero no para enviar registros al área de trabajo de Log Analytics o leer eventos de seguridad.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Conceda a los usuarios los permisos siguientes a sus recursos: Microsoft.Insights/logs/*/read.
• Agregue el atributo NonAction siguiente para impedir que los usuarios lean el tipo SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. El atributo NonAction debe estar en el mismo rol personalizado que la acción que proporciona el permiso de lectura (Microsoft.Insights/logs/*/read). Si el usuario hereda la acción de lectura de otro rol asignado a este recurso, a la suscripción o al grupo de recursos, podrá leer todos los tipos de registro. Esto también ocurre si hereda un permiso */read que ya existe, por ejemplo, con el rol Lector o Colaborador.

Ejemplo 5: Conceder a un usuario permiso para leer los datos de registro de sus recursos y todos los datos de registro de inicio de sesión de Microsoft Entra y leer los datos de registro de la solución Update Management en el área de trabajo Log Analytics.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Conceda a los usuarios los permisos siguientes en el área de trabajo:
  • Microsoft.OperationalInsights/workspaces/read: necesario para que el usuario pueda enumerar el área de trabajo y abrir el panel del área de trabajo en Azure Portal
  • Microsoft.OperationalInsights/workspaces/query/read: necesario para todos los usuarios que pueden ejecutar consultas
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: para poder leer los registros de inicio de sesión de Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read: para poder leer los registros de la solución Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: para poder leer los registros de la solución Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: para poder leer los registros de Update Management
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: necesario para poder usar las soluciones de Update Management
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: necesario para poder usar las soluciones de Update Management
• Conceder a los usuarios los permisos siguientes para sus recursos: */read, asignado al rol Lector, o Microsoft.Insights/logs/*/read

Ejemplo 6: Restringir que un usuario restaure los datos de la retención a largo plazo.

• Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
• Asigne al usuario el rol Colaborador de Log Analytics.
• Agregue la siguiente NonAction para impedir que los usuarios restauren los datos de la retención a largo plazo: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Establecimiento del acceso de lectura de nivel de tabla

Consulte Administración del acceso de lectura a nivel de tabla.

Pasos siguientes

• Consulte la información general sobre el agente de Log Analytics para recopilar datos de los equipos de su centro de datos u otro entorno de nube.
• Consulte Recopilación de datos de máquinas virtuales de Azure para configurar la recopilación de datos de máquinas virtuales de Azure.