Log Analytics 작업 영역에 대한 액세스 관리

Log Analytics 작업 영역에서 액세스할 수 있는 데이터를 결정하는 요소는 다음과 같습니다.

• 작업 영역 자체의 설정
• 작업 영역으로 데이터를 보내는 리소스에 대한 액세스 권한
• 작업 영역에 액세스하는 데 사용되는 메서드

이 문서에서는 Log Analytics 작업 영역의 데이터에 대한 액세스를 관리하는 방법을 설명합니다.

개요

액세스할 수 있는 데이터를 정의하는 요소가 다음 표에 설명되어 있습니다. 각 요소는 다음 섹션에 자세히 설명되어 있습니다.

요인	설명
액세스 모드	작업 영역에 액세스하는 데 사용되는 메서드 사용 가능한 데이터의 범위와 적용되는 액세스 제어 모드를 정의합니다.
액세스 제어 모드	권한이 작업 영역에서 적용되는지, 아니면 리소스 수준에서 적용되는지 여부를 정의하는 작업 영역에 대한 설정입니다.
RBAC(역할 기반 액세스 제어)	작업 영역 또는 작업 영역으로 데이터를 보내는 리소스에 대해 개별 사용자 또는 사용자 그룹에 적용되는 권한입니다. 액세스할 수 있는 데이터를 정의합니다.
테이블 수준 Azure RBAC	액세스할 수 있는 작업 영역에서 특정 데이터 형식을 정의하는 선택적 권한입니다. 모든 액세스 모드 또는 액세스 제어 모드에 적용할 수 있습니다.

액세스 모드

액세스 모드는 Log Analytics 작업 영역에 액세스하는 방법을 나타내며, 현재 세션 동안 액세스할 수 있는 데이터를 정의합니다. 이 모드는 Log Analytics에서 선택한 범위에 따라 결정됩니다.

액세스 모드에는 다음 두 가지가 있습니다.

• 작업 영역 컨텍스트: 권한이 있는 작업 영역에서 모든 로그를 볼 수 있습니다. 이 모드의 쿼리는 작업 영역에서 액세스할 수 있는 테이블의 모든 데이터로 범위가 지정됩니다. 이 액세스 모드는 Azure Portal의 Azure Monitor 메뉴에서 로그를 선택하는 경우와 같이 작업 영역을 범위로 사용하여 로그에 액세스할 때 사용됩니다.
• 리소스 컨텍스트: Azure Portal의 리소스 메뉴에서 로그를 선택하는 경우와 같이 특정 리소스, 리소스 그룹 또는 구독에 대한 작업 영역에 액세스하는 경우 액세스 권한이 있는 모든 테이블의 리소스에 대한 로그만 볼 수 있습니다. 이 모드의 쿼리 범위는 해당 리소스와 연결된 데이터로만 지정됩니다. 또한 이 모드는 세분화된 Azure RBAC를 사용하도록 설정합니다. 작업 영역은 Azure 리소스에서 내보낸 모든 로그 레코드가 이 리소스와 자동으로 연결되는 리소스 컨텍스트 로그 모델을 사용합니다.

레코드는 관련 리소스와 연결된 경우에만 리소스 컨텍스트 쿼리에서 사용할 수 있습니다. 이 연결을 확인하려면 쿼리를 실행하고 _ResourceId 열이 채워져 있는지 확인합니다.

다음 리소스에는 알려진 제한 사항이 있습니다.

• Azure 외부의 컴퓨터: 서버용 Azure Arc에서만 리소스 컨텍스트를 지원합니다.
• Application Insights: 작업 영역 기반 Application Insights 리소스를 사용하는 경우에만 리소스 컨텍스트를 지원합니다.
• Azure Service Fabric

액세스 모드 비교

다음 표에는 액세스 모드가 요약되어 있습니다.

문제	작업 영역-컨텍스트	리소스-컨텍스트
각 모델의 대상은 누구인가요?	중앙 관리. 데이터 수집을 구성해야 하는 관리자와 다양한 리소스에 액세스해야 하는 사용자입니다. 또한 현재 Azure 외부의 리소스에 대한 로그에 액세스해야 하는 사용자에게도 필요합니다.	애플리케이션 팀. 모니터링되는 Azure 리소스의 관리자입니다. 필터링하지 않고 리소스에 집중할 수 있습니다.
사용자가 로그를 보는 데 필요한 것은 무엇인가요?	작업 영역에 대한 권한. 작업 영역 권한을 사용하여 액세스 관리의 "작업 영역 권한"을 참조하세요.	리소스에 대한 읽기 액세스 권한. Azure 권한을 사용하여 액세스 관리의 "리소스 권한"을 참조하세요. 권한은 포함하는 리소스 그룹 또는 구독에서 상속하거나 리소스에 직접 할당될 수 있습니다. 리소스의 로그에 대한 권한이 자동으로 할당됩니다. 사용자는 작업 영역에 액세스할 필요가 없습니다.
권한의 범위는 어떻게 되나요?	작업 영역. 작업 영역에 대한 액세스 권한이 있는 사용자는 권한이 있는 테이블에서 작업 영역의 모든 로그를 쿼리할 수 있습니다. 테이블 수준 읽기 권한 설정을 참조하세요.	Azure 리소스. 사용자는 작업 영역에서 액세스할 수 있는 특정 리소스, 리소스 그룹 또는 구독에 대한 로그를 쿼리할 수 있지만, 다른 리소스에 대한 로그는 쿼리할 수 없습니다.
사용자가 로그에 액세스하려면 어떻게 해야 하나요?	Azure Monitor 메뉴에서 로그를 선택합니다. Log Analytics 작업 영역에서 로그를 선택합니다. Azure Monitor 통합 문서에서	Azure 리소스의 메뉴에서 로그를 선택합니다. 사용자는 해당 리소스의 데이터에 액세스할 수 있습니다. Azure Monitor 메뉴에서 로그를 선택합니다. 사용자는 액세스 권한이 있는 모든 리소스의 데이터에 액세스할 수 있습니다. 사용자가 작업 영역에 액세스할 수 있는 경우 Log Analytics 작업 영역에서 로그를 선택합니다. Azure Monitor 통합 문서에서

액세스 제어 모드

액세스 제어 모드는 작업 영역에 대한 권한을 결정하는 방법을 정의하는 각 작업 영역의 설정입니다.

• 작업 영역 사용 권한 필요. 이 제어 모드는 세분화된 Azure RBAC를 허용하지 않습니다. 작업 영역에 액세스하려면 작업 영역 또는 특정 테이블에 대한 권한을 부여 받아야 합니다.

  사용자가 작업 영역 컨텍스트 모드에서 작업 영역에 액세스하는 경우 액세스 권한이 부여된 테이블의 모든 데이터에 액세스할 수 있습니다. 사용자가 리소스 컨텍스트 모드에서 작업 영역에 액세스하는 경우 액세스 권한이 부여된 테이블의 해당 리소스에 대한 데이터에만 액세스할 수 있습니다.

  이 설정은 2019년 3월 이전에 만든 모든 작업 영역에 대한 기본 설정입니다.

• 리소스 또는 작업 영역 사용 권한 사용. 이 제어 모드에서는 보다 세분화된 Azure RBAC를 사용할 수 있습니다. 사용자는 Azure read 권한을 할당하여 볼 수 있는 리소스와 연결된 데이터에만 액세스할 수 있습니다.

  사용자가 작업 영역 컨텍스트 모드에서 작업 영역에 액세스하는 경우 작업 영역 권한이 적용됩니다. 사용자가 리소스 컨텍스트 모드에서 작업 영역에 액세스하는 경우 리소스 권한만 확인되고 작업 영역 권한은 무시됩니다. 작업 영역 권한에서 사용자를 제거하고 해당 리소스 권한을 인식할 수 있도록 허용하여 사용자에 대해 Azure RBAC를 사용하도록 설정합니다.

  이 설정은 2019년 3월 이후에 만든 모든 작업 영역에 대한 기본 설정입니다.

  참고 항목

  사용자에게 작업 영역에 대한 리소스 권한만 있는 경우 작업 영역 액세스 모드가 리소스 또는 작업 영역 권한 사용으로 설정되어 있다고 가정하여 리소스 컨텍스트 모드를 사용하여 작업 영역에만 액세스할 수 있습니다.

작업 영역에 대한 액세스 제어 모드 구성

Azure Portal

Log Analytics 작업 영역 메뉴의 작업 영역에 대한 개요 페이지에서 현재 작업 영역 액세스 제어 모드를 봅니다.

작업 영역의 속성 페이지에서 이 설정을 변경합니다. 작업 영역을 구성할 수 있는 권한이 없는 경우 설정을 변경할 수 없습니다.

PowerShell

다음 명령을 사용하여 구독의 모든 작업 영역에 대한 액세스 제어 모드를 확인합니다.

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

출력은 다음과 유사합니다.

DefaultWorkspace38917: True
DefaultWorkspace21532: False

False 값은 해당 작업 영역이 작업 영역 컨텍스트 액세스 모드로 구성되어 있음을 의미합니다. True 값은 해당 작업 영역이 리소스 컨텍스트 액세스 모드로 구성되어 있음을 의미합니다.

참고 항목

작업 영역이 부울 값 없이 반환되고 비어 있는 경우, 이 결과는 False 값의 결과와도 일치합니다.

다음 스크립트를 사용하여 특정 작업 영역에 대한 액세스 제어 모드를 리소스 컨텍스트 권한으로 설정합니다.

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

다음 스크립트를 사용하여 구독의 모든 작업 영역에 대한 액세스 제어 모드를 리소스 컨텍스트 권한으로 설정합니다.

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Azure Resource Manager 템플릿에서 액세스 모드를 구성하려면 작업 영역의 enableLogAccessUsingOnlyResourcePermissions 기능 플래그를 다음 값 중 하나로 설정합니다.

• false: 작업 영역을 작업 영역 컨텍스트 권한으로 설정합니다. 플래그가 설정되지 않은 경우 이 설정이 기본 설정입니다.
• true: 작업 영역을 리소스 컨텍스트 권한으로 설정합니다.

Azure RBAC

작업 영역에 대한 액세스는 Azure RBAC를 사용하여 관리됩니다. Azure 권한을 사용하여 Log Analytics 작업 영역에 대한 액세스를 허용하려면 Azure 역할을 할당하여 Azure 구독 리소스에 대한 액세스 관리에 있는 단계를 따릅니다.

작업 영역 권한

각 작업 영역에는 연결된 여러 계정이 있을 수 있습니다. 각 계정에는 여러 작업 영역에 대한 액세스가 있을 수 있습니다. 다음 표에서는 다양한 작업 영역 작업에 대한 Azure 권한을 나열합니다.

작업	필요한 Azure 권한	주의
가격 책정 계층 변경	Microsoft.OperationalInsights/workspaces/*/write
Azure Portal에서 작업 영역 만들기	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
작업 영역 기본 속성 보기 및 포털에서 작업 영역 창 입력	Microsoft.OperationalInsights/workspaces/read
인터페이스를 사용하여 로그 쿼리	Microsoft.OperationalInsights/workspaces/query/read
쿼리를 사용하여 모든 로그 형식 액세스	Microsoft.OperationalInsights/workspaces/query/*/read
특정 로그 테이블에 액세스 - 레거시 방법	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
이 작업 영역으로 로그를 보낼 수 있도록 작업 영역 키 읽기	Microsoft.OperationalInsights/workspaces/sharedKeys/action
모니터링 솔루션 추가 및 제거	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write 이러한 사용 권한은 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.
Backup 및 Site Recovery 솔루션 타일에서 데이터 보기	관리자/공동 관리자 클래식 배포 모델을 사용하여 배포된 리소스 액세스
검색 작업을 실행합니다.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
보관된 테이블에서 데이터를 복원합니다.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

기본 제공 역할

이러한 역할에 사용자를 할당하여 다양한 범위에서 액세스 권한 부여

• 구독: 구독에서 모든 작업 영역에 대한 액세스
• 리소스 그룹: 리소스 그룹에서 모든 작업 영역에 대한 액세스
• 리소스: 지정된 작업 영역에만 액세스

정확한 액세스 제어를 보장하려면 리소스 수준(작업 영역)에서 할당을 만듭니다. 사용자 지정 역할을 사용하여 필요한 특정 권한이 있는 역할을 만듭니다.

참고 항목

사용자 역할에 사용자를 추가 및 제거하려면 Microsoft.Authorization/*/Delete 및 Microsoft.Authorization/*/Write 권한이 있어야 합니다.

Log Analytics 독자

Log Analytics 읽기 권한자 역할의 멤버는 모든 Azure 리소스에 대한 Azure 진단의 구성을 비롯한 모든 모니터링 데이터 및 모니터링 설정을 볼 수 있습니다.

Log Analytics 읽기 권한자 역할의 멤버는 다음을 수행할 수 있습니다.

• 모든 모니터링 데이터 검색 및 보기
• 모든 Azure 리소스에 대한 Azure 진단 구성 보기를 포함해 모니터링 설정을 봅니다.

Log Analytics 독자 역할에는 다음 Azure 작업이 포함됩니다.

Type	Permission	설명
작업	*/read	모든 Azure 리소스 및 리소스 구성 보는 기능. 볼 수 있습니다. - 가상 머신 확장 상태 - 리소스에 대한 Azure 진단 구성 - 모든 리소스의 모든 속성 및 설정 작업 영역의 경우 작업 영역 설정을 읽고 데이터를 쿼리하기 위한 무제한의 모든 권한을 허용합니다. 이전 목록에서 더 세분화된 옵션을 참조하세요.
작업	Microsoft.Support/*	지원 사례를 열 수 있습니다.
동작 없음	Microsoft.OperationalInsights/workspaces/sharedKeys/read	데이터 컬렉션 API를 사용하고 에이전트를 설치하는 데 필요한 작업 영역 키 읽는 것 방지. 사용자가 작업 영역에 새 리소스를 추가하는 것을 방지합니다.

Log Analytics 참가자

Log Analytics 기여자 역할의 멤버는 다음을 수행할 수 있습니다.

• Log Analytics 읽기 권한자 역할에서 부여한 모든 모니터링 데이터를 읽습니다.
• 다음을 포함한 Azure 리소스의 모니터링 설정을 편집합니다.
  • VM에 VM 확장 추가.
  • 모든 Azure 리소스에 대한 Azure 진단 구성.
• 자동화 계정 만들기 및 구성. 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.
• 관리 솔루션 추가 및 제거. 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.
• 스토리지 계정 키 읽기
• Azure Storage에서 로그 수집을 구성합니다.
• 데이터 내보내기 규칙을 구성합니다.
• 검색 작업을 실행합니다.
• 보관된 로그를 복원합니다.

Warning

가상 머신을 완전히 제어하기 위해 가상 머신으로 가상 머신 확장을 추가할 수 있는 권한을 사용할 수 있습니다.

Log Analytics 기여자 역할에는 다음 Azure 작업이 포함됩니다.

Permission	설명
*/read	모든 Azure 리소스 및 리소스 구성 보는 기능. 볼 수 있습니다. - 가상 머신 확장 상태 - 리소스에 대한 Azure 진단 구성 - 모든 리소스의 모든 속성 및 설정 작업 영역의 경우 작업 영역 설정을 읽고 데이터를 쿼리하기 위한 무제한의 모든 권한을 허용합니다. 이전 목록에서 더 세분화된 옵션을 참조하세요.
Microsoft.Automation/automationAccounts/*	Runbook 추가 및 편집을 포함해 Azure Automation 계정을 만들고 구성할 수 있습니다.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Microsoft Monitoring Agent 확장 및 Linux 확장용 OMS Agent를 포함하여 가상 머신 확장을 추가, 업데이트 및 제거합니다.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	스토리지 계정 키를 봅니다. Azure Storage 계정에서 로그를 읽을 Log Analytics 구성이 필요합니다.
Microsoft.Insights/alertRules/*	경고 규칙을 추가, 업데이트 및 제거합니다.
Microsoft.Insights/diagnosticSettings/*	Azure 리소스에 대한 진단 설정을 추가, 업데이트 및 제거합니다.
Microsoft.OperationalInsights/*	Log Analytics 작업 영역에 대한 구성을 추가, 업데이트 및 제거합니다. 사용자가 작업 영역 고급 설정을 편집하려면 Microsoft.OperationalInsights/workspaces/write가 필요합니다.
Microsoft.OperationsManagement/*	관리 솔루션 추가 및 제거.
Microsoft.Resources/deployments/*	디렉터리를 만들고 삭제합니다. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요합니다.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	디렉터리를 만들고 삭제합니다. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요합니다.

리소스 권한

리소스 컨텍스트의 작업 영역에서 데이터를 읽거나 작업 영역으로 데이터를 보내려면 리소스에 대해 다음 권한이 필요합니다.

Permission	설명
Microsoft.Insights/logs/*/read	리소스에 대한 모든 로그 데이터를 볼 수 있습니다.
Microsoft.Insights/logs/<tableName>/read 예시: Microsoft.Insights/logs/Heartbeat/read	이 리소스의 특정 테이블을 보는 기능 - 레거시 방법
Microsoft.Insights/diagnosticSettings/write	이 리소스에 대한 로그를 설정할 수 있도록 진단 설정을 구성할 수 있습니다.

/read 사용 권한은 일반적으로 기본 제공 읽기 권한자 및 기여자 역할과 같은 */read or* 사용 권한을 포함하는 역할에서 부여됩니다. 특정 작업 또는 전용 기본 제공 역할을 포함하는 사용자 지정 역할에는 이 권한이 포함되지 않을 수 있습니다.

사용자 지정 역할 예제

Log Analytics 작업 영역에 기본 제공 역할을 사용하는 것 외에도 사용자 지정 역할을 만들어 보다 세부적인 권한을 할당할 수 있습니다. 다음은 몇 가지 일반적인 예제입니다.

예 1: 리소스에서 로그 데이터를 읽을 수 있는 권한을 사용자에게 부여합니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 사용자에게 리소스에 대한 */read 또는 Microsoft.Insights/logs/*/read 사용 권한을 부여합니다. 작업 영역에서 Log Analytics Reader 역할이 이미 할당되었다면 충분합니다.

예 2: 리소스에서 로그 데이터를 읽고 검색 작업을 실행할 수 있는 권한을 사용자에게 부여합니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 사용자에게 리소스에 대한 */read 또는 Microsoft.Insights/logs/*/read 사용 권한을 부여합니다. 작업 영역에서 Log Analytics Reader 역할이 이미 할당되었다면 충분합니다.
• 사용자에게 작업 영역에 대한 다음 권한을 부여합니다.
  • Microsoft.OperationalInsights/workspaces/tables/write: 검색 결과 테이블(_SRCH)을 만들 수 있어야 합니다.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: 검색 작업 실행을 허용하는 데 필요합니다.

예 3: 사용자에게 리소스에서 로그 데이터를 읽을 수 있는 권한을 부여하고 로그를 Log Analytics 작업 영역으로 보내도록 리소스를 구성합니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 작업 영역에 대하여 사용자에게 Microsoft.OperationalInsights/workspaces/read과 Microsoft.OperationalInsights/workspaces/sharedKeys/action 권한을 부여합니다. 이러한 권한이 있는 사용자는 작업 영역 수준 쿼리를 수행할 수 없습니다. 작업 영역을 열거하고 이를 진단 설정 또는 에이전트 구성의 대상으로만 사용할 수 있습니다.
• 리소스에 대하여 사용자에게 Microsoft.Insights/logs/*/read과 Microsoft.Insights/diagnosticSettings/write 권한을 부여합니다. 이미 해당 리소스에 대하여 Log Analytics 기여자 역할을 할당 받거나 Reader 역할을 할당 받거나 */read 권한이 부여되었다면 충분합니다.

예 4: 사용자에게 리소스에서 로그 데이터를 읽을 수 있는 권한을 부여하지만 Log Analytics 작업 영역으로 로그를 보내거나 보안 이벤트를 읽을 수는 없습니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 사용자에게 리소스에 대한 다음 권한을 부여합니다. Microsoft.Insights/logs/*/read
• 사용자가 SecurityEvent 형식을 읽을 수 없도록 차단하는 다음과 같은 NonAction을 추가합니다. Microsoft.Insights/logs/SecurityEvent/read NonAction은 읽기 권한(Microsoft.Insights/logs/*/read)을 제공하는 동작과 동일한 사용자 지정 역할에 있어야 합니다. 사용자가 이 리소스 또는 구독 또는 리소스 그룹에 할당된 다른 역할의 읽기 작업을 상속하는 경우 모든 로그 유형을 읽을 수 있습니다. 이 시나리오는 Reader 또는 기여자 등의 역할과 함께 존재하는 */read를 상속하는 경우에도 마찬가지입니다.

예 5: 리소스 및 모든 Microsoft Entra 로그인에서 로그 데이터를 읽을 수 있는 사용자 권한을 부여하고 Log Analytics 작업 영역에서 업데이트 관리 솔루션 로그 데이터를 읽을 수 있습니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 사용자에게 작업 영역에 대한 다음 권한을 부여합니다.
  • Microsoft.OperationalInsights/workspaces/read: 사용자가 작업 영역을 열거하고 Azure Portal 작업 영역 창을 열 때 필요
  • Microsoft.OperationalInsights/workspaces/query/read: 쿼리를 실행할 수 있는 모든 사용자에게 필요
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Microsoft Entra 로그인 로그를 읽을 수 있습니다.
  • Microsoft.OperationalInsights/workspaces/query/Update/read: 업데이트 관리 솔루션 로그를 읽을 수 있음
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: 업데이트 관리 솔루션 로그를 읽을 수 있음
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: 업데이트 관리 로그를 읽을 수 있음
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: 업데이트 관리 솔루션을 사용하는 데 필요
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: 업데이트 관리 솔루션을 사용하는 데 필요
• 사용자에게 리소스에 대한 다음 권한을 부여합니다. */read, Reader 역할에 할당된 또는 Microsoft.Insights/logs/*/read

예 6: 보관된 로그를 복원하지 못하도록 사용자를 제한합니다.

• 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
• 사용자를 Log Analytics 기여자 역할에 할당합니다.
• 다음 NonAction을 추가하여 사용자가 보관된 로그를 복원하지 못하도록 차단합니다. Microsoft.OperationalInsights/workspaces/restoreLogs/write

테이블 수준 읽기 권한 설정

테이블 수준 액세스 설정을 사용하면 특정 사용자 또는 그룹에 특정 테이블의 데이터에 대한 읽기 전용 권한을 부여할 수 있습니다. 테이블 수준 읽기 액세스 권한이 있는 사용자는 작업 영역과 리소스 컨텍스트 모두에서 지정된 테이블의 데이터를 읽을 수 있습니다.

참고 항목

여기에 설명된 메서드(현재 미리 보기 상태)를 사용하여 테이블 수준 액세스를 정의하는 것이 좋습니다. 또는 테이블 수준 읽기 액세스를 설정하는 레거시 방법을 사용할 수 있습니다. 단, 레거시 방법은 사용자 지정 로그 테이블과 관련된 몇 가지 제한 사항이 있습니다. 미리 보기 동안 여기에 설명된 권장 메서드는 Microsoft Sentinel 검색 규칙에 적용되지 않으므로 의도한 것보다 많은 테이블에 액세스할 수 있습니다. 두 메서드 중 하나를 사용하기 전에 테이블 수준 액세스 고려 사항 및 제한 사항을 참조하세요.

테이블 수준 읽기 액세스 권한을 부여하려면 사용자에게 다음 두 가지 역할을 할당해야 합니다.

• 작업 영역 수준 - 작업 영역 세부 정보를 읽고 작업 영역에서 쿼리를 실행할 수 있지만 테이블에서 데이터를 읽을 수 없는 제한된 권한을 제공하는 사용자 지정 역할.
• 테이블 수준 - 특정 테이블로 범위가 지정된 읽기 권한자 역할.

사용자 또는 그룹에 Log Analytics 작업 영역에 대한 제한된 권한을 부여하려면 다음을 수행합니다.

1. 작업 영역 수준에서 사용자 지정 역할 만들어 테이블의 데이터에 대한 읽기 권한은 제공하지 않고 사용자가 작업 영역 세부 정보를 읽고 작업 영역에서 쿼리를 실행할 수 있도록 합니다.

   1. 작업 영역으로 이동하여 액세스 제어(IAM)>역할을 선택합니다.

   2. 읽기 권한자 역할을 마우스 오른쪽 단추로 클릭하고 복제를 선택합니다.

      

      그러면 사용자 지정 역할 만들기 화면이 열립니다.

   3. 화면의 기본 사항 탭에서

      1. 사용자 지정 역할 이름 값을 입력하고 필요에 따라 설명을 제공합니다.
      2. 기준 권한을 처음부터 시작으로 설정합니다.

      

   4. JSON 탭 >편집을 선택합니다.

      1. "actions" 섹션에서 다음 작업을 추가합니다.

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" 섹션에서 다음을 추가합니다.

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. 화면 아래쪽에서 저장>검토 + 만들기를 선택한 다음, 다음 페이지에서 만들기를 선택합니다.

2. 관련 사용자에게 사용자 지정 역할을 할당합니다.

   1. 액세스 제어(AIM)>추가>역할 할당 추가를 선택합니다.

      

   2. 사용자가 만든 사용자 지정 역할을 선택하고 다음을 선택합니다.

      

      그러면 사용자 지정 역할 할당 추가 화면의 멤버 탭이 열립니다.

   3. + 멤버 선택을 클릭하여 멤버 선택 화면을 엽니다.

      

   4. 사용자를 검색하여 선택하고 선택을 클릭합니다.

   5. 검토 및 할당을 선택합니다.

이제 사용자는 작업 영역 세부 정보를 읽고 쿼리를 실행할 수 있지만 테이블에서 데이터를 읽을 수는 없습니다.

사용자에게 특정 테이블에 대한 읽기 권한을 부여하려면

1. Log Analytics 작업 영역 메뉴에서 테이블을 선택합니다.

2. 테이블 오른쪽에 있는 줄임표(...)를 선택하고 액세스 제어(IAM)를 선택합니다.

   

3. 액세스 제어(IAM) 화면에서 추가>역할 할당 추가를 선택합니다.

4. 읽기 권한자 역할을 선택하고 다음을 선택합니다.

5. + 멤버 선택을 클릭하여 멤버 선택 화면을 엽니다.

6. 사용자를 검색하여 선택하고 선택을 클릭합니다.

7. 검토 및 할당을 선택합니다.

이제 사용자는 이 특정 테이블에서 데이터를 읽을 수 있습니다. 필요에 따라 사용자에게 작업 영역의 다른 테이블에 대한 읽기 권한을 부여합니다.

테이블 수준 읽기 권한을 설정하는 레거시 방법

또한 테이블 수준 레거시 방법은 Azure 사용자 지정 역할을 사용하여 특정 사용자 또는 그룹에게 작업 영역의 특정 테이블에 대한 액세스 권한을 부여할 수 있도록 합니다. Azure 사용자 지정 역할은 사용자의 액세스 모드에 관계없이 작업 영역 컨텍스트 또는 리소스 컨텍스트 액세스 제어 모드가 있는 작업 영역에 적용됩니다.

특정 테이블에 대한 액세스를 정의하려면 사용자 지정 역할을 만듭니다.

• 역할 정의의 작업 섹션에서 사용자 권한을 설정합니다.
• Microsoft.OperationalInsights/workspaces/query/*를 사용하여 모든 테이블에 대한 액세스 권한을 부여합니다.
• 작업에서 와일드카드를 사용할 때 특정 테이블에 대한 액세스를 제외하려면 역할 정의의 NotActions 섹션에서 제외된 테이블을 나열합니다.

다음은 특정 테이블에 대한 액세스 권한을 부여하고 거부하는 사용자 지정 역할 작업의 예제입니다.

Heartbeat 및 AzureActivity 테이블에 대한 액세스 권한을 부여합니다.

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

SecurityBaseline 테이블에만 액세스 권한을 부여합니다.

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

SecurityAlert 테이블을 제외한 모든 테이블에 대한 액세스 권한을 부여합니다.

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

사용자 지정 테이블과 관련된 레거시 방법의 제한 사항

사용자 지정 테이블은 텍스트 로그 및 HTTP 데이터 수집기 API와 같은 데이터 원본에서 수집한 데이터를 저장합니다. 테이블 유형을 식별하려면 Log Analytics에서 테이블 정보를 확인합니다.

테이블 수준 액세스의 레거시 방법을 사용하면 테이블 수준에서 개별 사용자 지정 로그 테이블에 대한 액세스 권한을 부여할 수 없지만 모든 사용자 지정 로그 테이블에 대한 액세스 권한을 부여할 수 있습니다. 모든 사용자 지정 로그 테이블에 대한 액세스 권한이 있는 역할을 만들려면 다음 작업을 사용하여 사용자 지정 역할을 만듭니다.

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

테이블 수준 액세스 고려 사항 및 제한 사항

• Log Analytics UI에서 테이블 수준 사용자는 작업 영역에서 모든 테이블의 목록을 볼 수 있지만 액세스 권한이 있는 테이블에서만 데이터를 검색할 수 있습니다.
• ‘*/read’ 작업을 포함하는 표준 읽기 권한자 또는 기여자 역할은 테이블 수준 액세스 제어를 재정의하고 사용자에게 모든 로그 데이터에 대한 액세스 권한을 부여합니다.
• 테이블 수준 액세스 권한이 있지만 작업 영역 수준 권한이 없는 사용자는 API에서는 로그 데이터에 액세스할 수 있지만 Azure Portal에서는 액세스할 수 없습니다.
• 구독의 관리자와 소유자는 다른 권한 설정에 관계 없이 모든 데이터 형식에 액세스할 수 있습니다.
• 작업 영역 소유자는 테이블당 액세스 제어를 위해 다른 사용자와 같은 방식으로 처리됩니다.
• 할당 수를 줄이기 위해 개별 사용자 대신 보안 그룹에 역할을 할당합니다. 이 연습은 기존 그룹 관리 도구를 사용하여 액세스를 구성하고 확인하는 데도 도움이 됩니다.

다음 단계

• 데이터 센터 또는 다른 클라우드 환경의 컴퓨터에서 데이터를 수집하려면 Log Analytics 에이전트 개요를 참조하세요.
• Azure VM에서 데이터 수집을 구성하려면 Azure 가상 머신에 대한 데이터 수집을 참조하세요.