Gestire l'accesso in lettura a livello di tabella in un'area di lavoro Log Analytics
Le impostazioni di accesso a livello di tabella consentono di concedere a utenti o gruppi specifici l'autorizzazione di sola lettura per i dati in una tabella. Gli utenti con accesso in lettura a livello di tabella possono leggere i dati dalla tabella specificata sia nell'area di lavoro che nel contesto delle risorse.
Questo articolo descrive due modi per gestire l'accesso in lettura a livello di tabella.
Nota
È consigliabile usare il primo metodo descritto qui, attualmente disponibile in anteprima. Durante l'anteprima, il metodo consigliato descritto qui non si applica alle regole di rilevamento di Microsoft Sentinel, che potrebbero avere accesso a più tabelle del previsto. In alternativa, è possibile usare il metodo legacy di impostazione dell'accesso in lettura a livello di tabella, con alcune limitazioni correlate alle tabelle di log personalizzate. Prima di usare uno dei metodi, vedere Considerazioni e limitazioni per l'accesso a livello di tabella.
Impostare l'accesso in lettura a livello di tabella (anteprima)
La concessione dell'accesso in lettura a livello di tabella comporta l'assegnazione di due ruoli utente:
- A livello di area di lavoro, un ruolo personalizzato che fornisce autorizzazioni limitate per leggere i dettagli dell'area di lavoro ed eseguire una query nell'area di lavoro, ma non per leggere i dati da alcuna tabella.
- A livello di tabella, un ruolo Lettore, con ambito per la tabella specifica.
Per concedere a un utente o a un gruppo autorizzazioni limitate per l'area di lavoro Log Analytics:
Creare un ruolo personalizzato a livello di area di lavoro per consentire agli utenti di leggere i dettagli dell'area di lavoro ed eseguire una query nell'area di lavoro, senza fornire l'accesso in lettura ai dati in alcuna tabella:
Passare all'area di lavoro e selezionare Controllo di accesso (IAM)>Ruoli.
Fare clic con il pulsante destro del mouse sul ruolo Lettore e selezionare Clona.
Verrà visualizzata la schermata Crea un ruolo personalizzato.
Nella scheda Informazioni di base della schermata:
- Immettere un Nome ruolo personalizzato e, facoltativamente, specificare una descrizione.
- Impostare le Autorizzazioni baseline su Avvia da zero.
Selezionare la scheda JSON > >Modifica:
Nella sezione
"actions"aggiungere queste azioni:"Microsoft.OperationalInsights/workspaces/read", "Microsoft.OperationalInsights/workspaces/query/read"Nella sezione
"not actions"aggiungere:"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
Selezionare Salva>Rivedi e crea nella parte inferiore della schermata e quindi Crea nella pagina successiva.
Assegnare il ruolo personalizzato all'utente pertinente:
Selezionare Controllo di accesso (AIM)>Aggiungi>Aggiungi assegnazione di ruolo.
Selezionare il ruolo personalizzato creato e selezionare Avanti.
Verrà visualizzata la scheda Membri della schermata Aggiungi assegnazione di ruolo personalizzata.
Fare clic su + Seleziona membri per aprire la schermata Seleziona membri.
Cercare e selezionare un utente e fare clic su Seleziona.
Selezionare Rivedi e assegna.
L'utente può ora leggere i dettagli dell'area di lavoro ed eseguire una query, ma non può leggere i dati da alcuna tabella.
Per concedere all'utente l'accesso in lettura a una tabella specifica:
Dal menu Aree di lavoro Log Analytics, selezionare Tabelle.
Selezionare i puntini di sospensione (...) a destra della tabella e selezionare Controllo di accesso (IAM).
Nella schermata Controllo di accesso (IAM) selezionare Aggiungi>Aggiungi assegnazione di ruolo.
Selezionare il ruolo Lettore e selezionare Avanti.
Fare clic su + Seleziona membri per aprire la schermata Seleziona membri.
Cercare e selezionare l'utente e fare clic su Seleziona.
Selezionare Rivedi e assegna.
L'utente può ora leggere i dati da questa tabella specifica. Concedere all'utente l'accesso in lettura ad altre tabelle nell'area di lavoro, in base alle esigenze.
Metodo legacy di impostazione dell'accesso in lettura a livello di tabella
Il metodo legacy a livello di tabella usa anche ruoli personalizzati di Azure per concedere a utenti o gruppi specifici l'accesso a tabelle specifiche nell'area di lavoro. I ruoli personalizzati di Azure si applicano alle aree di lavoro con modalità di controllo di accesso con contesto dell'area di lavoro o contesto delle risorse indipendentemente dalla modalità di accesso dell'utente.
Per definire l'accesso a una tabella specifica, creare un ruolo personalizzato:
- Impostare le autorizzazioni utente nella sezione Azioni della definizione del ruolo.
- Usare
Microsoft.OperationalInsights/workspaces/query/*per concedere l'accesso a tutte le tabelle. - Per escludere l'accesso a tabelle specifiche quando si utilizza un carattere jolly in Azioni, elencare le tabelle escluse nella sezione NotActions della definizione del ruolo.
Di seguito sono riportati esempi di azioni di ruolo personalizzate per concedere e negare l'accesso a tabelle specifiche.
Concedere l'accesso alle tabelle Heartbeat e AzureActivity:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
"Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
],
Concedere l'accesso solo alla tabella SecurityBaseline:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],
Concedere l'accesso a tutte le tabelle ad eccezione della tabella SecurityAlert:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],
Limitazioni del metodo legacy correlato alle tabelle personalizzate
Le tabelle personalizzate archiviano i dati raccolti da origini dati, ad esempio i log di testo e l'API dell'agente di raccolta dati HTTP. Per identificare il tipo di tabella, visualizzare le informazioni della tabella in Log Analytics.
Usando il metodo legacy di accesso a livello di tabella, non è possibile concedere l'accesso a singole tabelle di log personalizzate a livello di tabella, ma è possibile concedere l'accesso a tutte le tabelle di log personalizzate. Per creare un ruolo con accesso a tutte le tabelle di log personalizzate, creare un ruolo personalizzato usando le azioni seguenti:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],
Considerazioni e limitazioni per l'accesso a livello di tabella
- Nell'interfaccia utente di Log Analytics gli utenti con livello di tabella possono visualizzare l'elenco di tutte le tabelle nell'area di lavoro, ma possono recuperare solo i dati dalle tabelle a cui hanno accesso.
- I ruoli lettore o collaboratore standard, che includono l'azione di */read, sostituiscono il controllo di accesso a livello di tabella e consentono agli utenti di accedere a tutti i dati di log.
- Un utente con accesso a livello di tabella, ma nessuna autorizzazione a livello di area di lavoro può accedere ai dati di log dall'API, ma non dal portale di Azure.
- Gli amministratori e i proprietari della sottoscrizione hanno accesso a tutti i tipi di dati indipendentemente da qualsiasi altra impostazione di autorizzazione.
- I proprietari dell'area di lavoro vengono considerati come qualsiasi altro utente per il controllo di accesso per tabella.
- Assegnare ruoli ai gruppi di sicurezza anziché ai singoli utenti per ridurre il numero di assegnazioni. Questa procedura consente anche di usare gli strumenti di gestione dei gruppi esistenti per configurare e verificare l'accesso.
Passaggi successivi
- Altre informazioni sulla gestione dell'accesso alle aree di lavoro Log Analytics.