Log Analytics ワークスペースへのアクセスを構成する
アクセスできる Log Analytics ワークスペース内のデータは、次の要因の組み合わせによって決まります。
- ワークスペース自体の設定。
- ワークスペースにデータを送信するリソースへのアクセス。
- ワークスペースへのアクセスに使用するメソッド。
アクセス モード
"アクセス モード" は、ユーザーが Log Analytics ワークスペースにアクセスする方法を意味し、現在のセッションでユーザーがアクセスできるデータを定義します。 モードは、Log Analytics で選択する範囲によって決まります。
2 つのアクセス モードがあります
ワークスペースコンテキスト: ご自身がアクセス許可を持つワークスペース内のすべてのログを表示できます。 このモードのクエリの範囲は、ワークスペース内でアクセス権を持つすべてのデータです。 このアクセス モードが使用されるのは、Azure portal の [Azure Monitor] メニューで [ログ] を選択する場合など、ワークスペースを範囲としてログにアクセスするときです。 このモードは、データ収集を構成する必要がある管理者と、さまざまなリソースにアクセスする必要があるユーザーに適しています。 ワークスペース コンテキストを使うと、アクセスは Azure ロールベースのアクセス制御 (RBAC) によって管理されます。
リソース コンテキスト:Azure portal のリソース メニューで [ログ] を選択する場合など、特定のリソース、リソース グループまたはサブスクリプションに関してワークスペースにアクセスするときは、ご自身がアクセス許可を持っているすべてのテーブル内のそのリソースのログのみを表示できます。 このモードのクエリの範囲は、そのリソースに関連するデータのみです。 このモードでは、きめ細かい Azure RBAC も有効になります。 ワークスペースでは、Azure リソースによって出力されたすべてのログ レコードがこのリソースに自動的に関連付けられるリソースコンテキスト ログ モデルが使用されます。 このモードは、監視されている Azure リソースの管理者に適しています。 これを使うと、フィルター処理を行わずにリソースに集中できます。 リソースコンテキスト クエリでレコードを使用できるのは、関連するリソースにレコードが関連付けられている場合のみです。
現在のワークスペース アクセス制御モードは、[Log Analytics ワークスペース] メニューのワークスペースの [概要] ページで確認できます。
使用するアクセス制御モードを切り替えるには、Log Analytics ワークスペースの [プロパティ] ページを選び、[リソースまたはワークスペースのアクセス許可を使用] を選んでから、適切なアクセス許可を選びます。
Log Analytics の RBAC ロール
Log Analytics 関連の組み込み RBAC ロールが 2 つあります。 以下にそれらを示します。
- Log Analytics 閲覧者
- Log Analytics 共同作成者
Log Analytics 閲覧者
特定のスコープで Log Analytics 閲覧者ロールを割り当てて、Log Analytics ワークスペースへのアクセスを構成できます。 "Log Analytics 閲覧者" ロールのメンバーは、すべての監視データと、すべての Azure リソース上の Azure Diagnostics 構成を含む監視設定の表示を行うことができます。
"Log Analytics 閲覧者" ロールのメンバーは、以下の操作を行うことができます。
- すべての監視データを表示および検索します。
- 監視設定を表示する。これには、すべての Azure リソースに対する Azure Diagnostics の構成の表示などが含まれます。
Log Analytics 共同作成者
"Log Analytics 共同作成者" ロールのメンバーは、以下の操作を行うことができます。
- "Log Analytics 閲覧者ロール" に許可されたすべての監視データを読み取る。
- 次のような、Azure リソースの監視設定を編集します。
- VM への VM 拡張機能の追加。
- すべての Azure リソースに対する Azure Diagnostics の構成。
- Automation アカウントを作成および構成する。 アクセス許可は、リソース グループまたはサブスクリプション レベルで付与する必要があります。
- 管理ソリューションを追加および削除する。 アクセス許可は、リソース グループまたはサブスクリプション レベルで付与する必要があります。
- ストレージ アカウント キーを読み取ります。
- Azure Storage からのログの収集を構成します。
- データ エクスポート規則を構成します。
- 検索ジョブを実行します。
- アーカイブされているログを復元します。
Log Analytics の RBAC スコープ
Log Analytics のロールのアクセスは、次のスコープで構成できます。
- サブスクリプション: サブスクリプション内のすべてのワークスペースへのアクセス
- リソース グループ: リソース グループ内のすべてのワークスペースへのアクセス
- リソース: 指定されたワークスペースのみへのアクセス
たとえば、Log Analytics 閲覧者ロールをリソース グループ レベルで割り当てた場合、そのロールを割り当てられたユーザーは、その特定のリソース グループ内のすべての Log Analytics ワークスペースに Log Analytics 閲覧者レベルでアクセスできます。
ワークスペース スコープで Azure RBAC アクセス許可を構成するには、次の手順のようにします。
- Azure portal で Log Analytics ワークスペースに移動します。
- [アクセス制御 (IAM)] を選択します。
- ロールの割り当てを追加する。
- [Log Analytics 閲覧者] または [Log Analytics 共同作成者] 選んで、[次へ] をクリックします。
- ロールを割り当てるセキュリティ プリンシパルを追加して、[次へ] をクリックします。
- [保存] をクリックします。