Configurer l’accès à des espaces de travail Log Analytics

  • 7 minutes

Les données d’un espace de travail Log Analytics auxquelles vous pouvez accéder sont déterminées par une combinaison des facteurs suivants :

  • Les paramètres de l’espace de travail lui-même.
  • L’accès aux ressources qui envoient des données à l’espace de travail.
  • La méthode utilisée pour accéder à l’espace de travail.

Mode d’accès

Le mode d’accès fait référence à la façon dont vous accédez à un espace de travail Log Analytics et définit les données auxquelles vous pouvez accéder pendant la session actuelle. Le mode est déterminé en fonction de l’étendue que vous sélectionnez dans Log Analytics.

Il existe deux modes d’accès

  • Contexte d’espace de travail : vous pouvez visualiser tous les journaux dans l’espace de travail pour lequel vous disposez d’autorisations. Dans ce mode, l’étendue des requêtes englobe toutes les données de toutes les tables auxquelles vous avez accès dans l’espace de travail. Ce mode d’accès est utilisé quand vous accédez aux journaux alors que l’étendue définie est l’espace de travail, par exemple quand vous sélectionnez Journaux sur le menu Azure Monitor dans le portail Azure. Ce mode est approprié pour les administrateurs qui ont besoin de configurer la collecte de données et les utilisateurs qui ont besoin d’accéder à un large éventail de ressources. Lorsque le contexte de l’espace de travail est utilisé, l’accès est géré via le contrôle d’accès en fonction du rôle (RBAC) Azure.

  • Contexte de ressource : lorsque vous accédez à l’espace de travail pour une ressource, un groupe de ressources ou un abonnement spécifique, par exemple, lorsque vous sélectionnez Journaux à partir d’un menu de ressources dans le portail Azure, vous pouvez voir les journaux pour les ressources dans toutes les tables auxquelles vous avez accès uniquement. Dans ce mode, l’étendue des requêtes englobe uniquement les données associées à cette ressource. Ce mode autorise également le contrôle d’accès en fonction du rôle Azure (Azure RBAC) granulaire. Les espaces de travail utilisent un modèle de journal ressource-contexte où chaque enregistrement de journal émis par une ressource Azure est automatiquement associé à cette ressource. Ce mode convient aux administrateurs des ressources Azure sous surveillance. Il leur permet de se concentrer sur leur ressource sans filtrer. Les enregistrements sont disponibles dans les requêtes ressource-contexte seulement s’ils sont associés à la ressource appropriée.

Vous pouvez afficher le mode de contrôle d’accès à l’espace de travail actuel dans la page Vue d’ensemble de l’espace de travail, dans le menu Espace de travail Log Analytics.

Capture d’écran de la page de présentation d’un espace de travail Log Analytics avec le paramètre mode Access Control mis en surbrillance.

Vous pouvez changer le mode de contrôle d’accès utilisé en sélectionnant la page Propriétés de l’espace de travail Log Analytics, en sélectionnant Utiliser les autorisations de ressource ou d’espace de travail, puis en sélectionnant l’autorisation appropriée.

Capture d’écran de la page de propriétés d’un espace de travail Log Analytics avec le paramètre mode Access Control mis en surbrillance.

Rôles RBAC Log Analytics

Il existe deux rôles RBAC liés à Log Analytics intégrés. Ces règles sont les suivantes :

  • Lecteur Log Analytics
  • Contributeur Log Analytics

Lecteur Log Analytics

Vous pouvez attribuer le rôle Lecteur Log Analytics à une étendue particulière pour configurer l’accès à un espace de travail Log Analytics. Les membres du rôle Lecteur Log Analytics peuvent afficher la totalité des données et paramètres de supervision, notamment la configuration des diagnostics Azure sur toutes les ressources Azure.

Les membres du rôle Lecteur Log Analytics peuvent effectuer les opérations suivantes :

  • Visualiser toutes les données de monitoring et y effectuer des recherches.
  • Visualisation des paramètres d’analyse, notamment la configuration des diagnostics Azure sur toutes les ressources Azure

Contributeur Log Analytics

Les membres du rôle Contributeur Log Analytics peuvent effectuer les opérations suivantes :

  • Lecture de toutes les données de supervision autorisées par le rôle Lecteur Log Analytics.
  • Modifier les paramètres de monitoring pour les ressources Azure, notamment :
    • Ajout d’extension de machine virtuelle à des machines virtuelles.
    • Configuration des diagnostics Azure sur toutes les ressources Azure.
  • Création et configuration des comptes Automation. L’autorisation doit être accordée au niveau du groupe de ressources ou de l’abonnement.
  • Ajout et suppression de solutions de gestion. L’autorisation doit être accordée au niveau du groupe de ressources ou de l’abonnement.
  • Lire les clés du compte de stockage.
  • Configurer la collecte de journaux depuis Stockage Azure.
  • Configurez les règles d’exportation de données.
  • Exécuter une tâche de recherche.
  • Restaurer les journaux archivés.

Étendues RBAC Log Analytics

Vous pouvez configurer l’accès aux rôles Log Analytics dans les étendues suivantes :

  • Abonnement : accès à tous les espaces de travail de l’abonnement
  • Groupe de ressources : accès à tous les espaces de travail du groupe de ressources
  • Ressource : accès seulement à l’espace de travail spécifié

Par exemple, si vous attribuez le rôle Lecteur Log Analytics au niveau du groupe de ressources, l’utilisateur affecté au rôle aura un accès de niveau Lecteur Log Analytics à tous les espaces de travail Log Analytics de ce groupe de ressources spécifique.

Pour configurer les autorisations RBAC Azure au niveau de l’étendue de l’espace de travail, suivez ces étapes :

  1. Accédez à l’espace de travail Log Analytics dans le portail Azure.
  2. Sélectionnez Contrôle d’accès (IAM).
  3. Ajouter une attribution de rôle.
  4. Sélectionnez Lecteur Log Analytics ou Contributeur Log Analytics et cliquez sur Suivant.
  5. Ajoutez le principal de sécurité auquel vous souhaitez attribuer le rôle, puis cliquez sur Suivant.
  6. Cliquez sur Enregistrer.