Zarządzanie dostępem do obszarów roboczych usługi Log Analytics

Czynniki określające, do których danych można uzyskać dostęp w obszarze roboczym usługi Log Analytics, to:

• Ustawienia w samym obszarze roboczym.
• Uprawnienia dostępu do zasobów, które wysyłają dane do obszaru roboczego.
• Metoda używana do uzyskiwania dostępu do obszaru roboczego.

W tym artykule opisano sposób zarządzania dostępem do danych w obszarze roboczym usługi Log Analytics.

Omówienie

Czynniki definiujące dane, do których można uzyskać dostęp, zostały opisane w poniższej tabeli. Każdy czynnik jest bardziej szczegółowo opisany w kolejnych sekcjach.

Współczynnik	opis
Tryb dostępu	Metoda używana do uzyskiwania dostępu do obszaru roboczego. Definiuje zakres dostępnych danych i zastosowany tryb kontroli dostępu.
Tryb kontroli dostępu	Ustawienie w obszarze roboczym, który określa, czy uprawnienia są stosowane na poziomie obszaru roboczego, czy zasobu.
Azure role-based access control (RBAC) (Kontrola dostępu oparta na rolach na platformie Azure)	Uprawnienia stosowane do osób lub grup użytkowników dla obszaru roboczego lub zasobu wysyłającego dane do obszaru roboczego. Definiuje dane, do których masz dostęp.
Kontrola dostępu oparta na rolach platformy Azure na poziomie tabeli	Opcjonalne uprawnienia definiujące określone typy danych w obszarze roboczym, do którego masz dostęp. Można stosować do wszystkich trybów dostępu lub trybów kontroli dostępu.

Tryb dostępu

Tryb dostępu odnosi się do sposobu uzyskiwania dostępu do obszaru roboczego usługi Log Analytics i definiuje dane, do których można uzyskać dostęp podczas bieżącej sesji. Tryb jest określany zgodnie z zakresem wybranym w usłudze Log Analytics.

Istnieją dwa tryby dostępu:

• Kontekst obszaru roboczego: możesz wyświetlić wszystkie dzienniki w obszarze roboczym, dla którego masz uprawnienia. Zapytania w tym trybie są ograniczone do wszystkich danych w tabelach, do których masz dostęp w obszarze roboczym. Ten tryb dostępu jest używany, gdy dzienniki są dostępne w obszarze roboczym jako zakres, na przykład po wybraniu pozycji Dzienniki w menu usługi Azure Monitor w witrynie Azure Portal.
• Kontekst zasobu: gdy uzyskujesz dostęp do obszaru roboczego dla określonego zasobu, grupy zasobów lub subskrypcji, na przykład po wybraniu pozycji Dzienniki z menu zasobów w witrynie Azure Portal, możesz wyświetlić dzienniki tylko dla zasobów we wszystkich tabelach, do których masz dostęp. Zapytania w tym trybie są ograniczone tylko do danych skojarzonych z tym zasobem. Ten tryb umożliwia również szczegółową kontrolę dostępu opartą na rolach platformy Azure. Obszary robocze używają modelu dziennika kontekstu zasobów, w którym każdy rekord dziennika emitowany przez zasób platformy Azure jest automatycznie skojarzony z tym zasobem.

Rekordy są dostępne tylko w zapytaniach kontekstowych zasobów, jeśli są skojarzone z odpowiednim zasobem. Aby sprawdzić to skojarzenie, uruchom zapytanie i sprawdź, czy kolumna _ResourceId jest wypełniona.

Istnieją znane ograniczenia dotyczące następujących zasobów:

• Komputery spoza platformy Azure: kontekst zasobów jest obsługiwany tylko w usłudze Azure Arc dla serwerów.
• Szczegółowe informacje aplikacji: obsługiwane tylko w kontekście zasobów w przypadku korzystania z zasobu Szczegółowe informacje aplikacji opartej na obszarze roboczym.
• Azure Service Fabric

Porównanie trybów dostępu

Poniższa tabela zawiera podsumowanie trybów dostępu:

Problem	Kontekst obszaru roboczego	Kontekst zasobu
KtoTo jest przeznaczony dla każdego modelu?	Administracja centralna. Administracja istratory, którzy muszą skonfigurować zbieranie danych i użytkowników, którzy potrzebują dostępu do wielu różnych zasobów. Obecnie wymagane jest również dla użytkowników, którzy muszą uzyskiwać dostęp do dzienników dla zasobów spoza platformy Azure.	Zespoły aplikacji. Administracja istratory monitorowanych zasobów platformy Azure. Umożliwia im skupienie się na zasobie bez filtrowania.
Czego wymaga użytkownik do wyświetlania dzienników?	Uprawnienia do obszaru roboczego. Zobacz "Uprawnienia obszaru roboczego" w temacie Zarządzanie dostępem przy użyciu uprawnień obszaru roboczego.	Odczyt dostępu do zasobu. Zobacz "Uprawnienia zasobów" w temacie Zarządzanie dostępem przy użyciu uprawnień platformy Azure. Uprawnienia mogą być dziedziczone z grupy zasobów lub subskrypcji lub bezpośrednio przypisane do zasobu. Uprawnienia do dzienników dla zasobu zostaną automatycznie przypisane. Użytkownik nie wymaga dostępu do obszaru roboczego.
Jaki jest zakres uprawnień?	Obszaru roboczego. Użytkownicy z dostępem do obszaru roboczego mogą wykonywać zapytania dotyczące wszystkich dzienników w obszarze roboczym z tabel, do których mają uprawnienia. Zobacz Ustawianie dostępu do odczytu na poziomie tabeli.	Zasób platformy Azure. Użytkownicy mogą wykonywać zapytania dotyczące dzienników dla określonych zasobów, grup zasobów lub subskrypcji, do których mają dostęp w dowolnym obszarze roboczym, ale nie mogą wykonywać zapytań dotyczących dzienników dla innych zasobów.
Jak użytkownik może uzyskać dostęp do dzienników?	W menu usługi Azure Monitor wybierz pozycję Dzienniki. Wybierz pozycję Dzienniki z obszarów roboczych usługi Log Analytics. Ze skoroszytów usługi Azure Monitor.	Wybierz pozycję Dzienniki w menu dla zasobu platformy Azure. Użytkownicy będą mieli dostęp do danych dla tego zasobu. Wybierz pozycję Dzienniki w menu usługi Azure Monitor . Użytkownicy będą mieli dostęp do danych dla wszystkich zasobów, do których mają dostęp. Wybierz pozycję Dzienniki z obszarów roboczych usługi Log Analytics, jeśli użytkownicy mają dostęp do obszaru roboczego. Ze skoroszytów usługi Azure Monitor.

Tryb kontroli dostępu

Tryb kontroli dostępu to ustawienie w każdym obszarze roboczym, które definiuje sposób określania uprawnień dla obszaru roboczego.

• Wymagaj uprawnień obszaru roboczego. Ten tryb sterowania nie zezwala na szczegółową kontrolę dostępu opartą na rolach platformy Azure. Aby uzyskać dostęp do obszaru roboczego, użytkownik musi mieć uprawnienia do obszaru roboczego lub określonych tabel.

  Jeśli użytkownik uzyskuje dostęp do obszaru roboczego w trybie kontekstu obszaru roboczego, ma dostęp do wszystkich danych w dowolnej tabeli, do której udzielono im dostępu. Jeśli użytkownik uzyskuje dostęp do obszaru roboczego w trybie kontekstu zasobu, ma dostęp tylko do danych dla tego zasobu w dowolnej tabeli, do której udzielono im dostępu.

  To ustawienie jest ustawieniem domyślnym dla wszystkich obszarów roboczych utworzonych przed marcem 2019 r.

• Użyj uprawnień do zasobów lub obszaru roboczego. Ten tryb sterowania umożliwia szczegółową kontrolę dostępu opartą na rolach platformy Azure. Użytkownicy mogą mieć dostęp tylko do danych skojarzonych z zasobami, które mogą wyświetlać, przypisując uprawnienie platformy Azure read .

  Gdy użytkownik uzyskuje dostęp do obszaru roboczego w trybie kontekstu obszaru roboczego, mają zastosowanie uprawnienia obszaru roboczego. Gdy użytkownik uzyskuje dostęp do obszaru roboczego w trybie kontekstu zasobu, tylko uprawnienia zasobów są weryfikowane, a uprawnienia obszaru roboczego są ignorowane. Włącz kontrolę dostępu opartą na rolach platformy Azure dla użytkownika, usuwając je z uprawnień obszaru roboczego i zezwalając na rozpoznawanie uprawnień do zasobów.

  To ustawienie jest ustawieniem domyślnym dla wszystkich obszarów roboczych utworzonych po marcu 2019 r.

  Uwaga

  Jeśli użytkownik ma tylko uprawnienia do zasobu w obszarze roboczym, może uzyskać dostęp tylko do obszaru roboczego przy użyciu trybu kontekstu zasobów, zakładając, że tryb dostępu obszaru roboczego jest ustawiony na Użyj uprawnień zasobu lub obszaru roboczego.

Konfigurowanie trybu kontroli dostępu dla obszaru roboczego

Witryna Azure Portal

Wyświetl bieżący tryb kontroli dostępu obszaru roboczego na stronie Przegląd obszaru roboczego w menu obszaru roboczego usługi Log Analytics.

Zmień to ustawienie na stronie Właściwości obszaru roboczego. Jeśli nie masz uprawnień do konfigurowania obszaru roboczego, zmiana ustawienia jest wyłączona.

Program PowerShell

Użyj następującego polecenia, aby wyświetlić tryb kontroli dostępu dla wszystkich obszarów roboczych w subskrypcji:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Dane wyjściowe powinny wyglądać podobnie do następujących:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Wartość oznacza, False że obszar roboczy jest skonfigurowany z trybem dostępu kontekstu obszaru roboczego. Wartość oznacza, True że obszar roboczy jest skonfigurowany z trybem dostępu kontekstu zasobu.

Uwaga

Jeśli obszar roboczy jest zwracany bez wartości logicznej i jest pusty, wynik jest również zgodny z wynikami False wartości.

Użyj następującego skryptu, aby ustawić tryb kontroli dostępu dla określonego obszaru roboczego na uprawnienia kontekstu zasobu:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Użyj następującego skryptu, aby ustawić tryb kontroli dostępu dla wszystkich obszarów roboczych w subskrypcji na uprawnienia kontekstu zasobu:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Aby skonfigurować tryb dostępu w szablonie usługi Azure Resource Manager, ustaw flagę funkcji enableLogAccessUsingOnlyResourcePermissions w obszarze roboczym na jedną z następujących wartości:

• false: ustaw obszar roboczy na uprawnienia kontekstu obszaru roboczego. To ustawienie jest ustawieniem domyślnym, jeśli flaga nie jest ustawiona.
• true: Ustaw obszar roboczy na uprawnienia kontekstu zasobu.

Kontrola dostępu na podstawie ról platformy Azure

Dostęp do obszaru roboczego jest zarządzany przy użyciu kontroli dostępu opartej na rolach platformy Azure. Aby udzielić dostępu do obszaru roboczego usługi Log Analytics przy użyciu uprawnień platformy Azure, wykonaj kroki opisane w artykule Przypisywanie ról platformy Azure w celu zarządzania dostępem do zasobów subskrypcji platformy Azure.

Uprawnienia obszaru roboczego

Z każdym obszarem roboczym może być skojarzonych wiele kont. Każde konto może mieć dostęp do wielu obszarów roboczych. W poniższej tabeli wymieniono uprawnienia platformy Azure dla różnych akcji obszaru roboczego:

Akcja	Wymagane uprawnienia platformy Azure	Uwagi
Zmień warstwę cenową.	Microsoft.OperationalInsights/workspaces/*/write
Utwórz obszar roboczy w witrynie Azure Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Wyświetl podstawowe właściwości obszaru roboczego i wprowadź okienko obszaru roboczego w portalu.	Microsoft.OperationalInsights/workspaces/read
Wykonywanie zapytań dotyczących dzienników przy użyciu dowolnego interfejsu.	Microsoft.OperationalInsights/workspaces/query/read
Uzyskaj dostęp do wszystkich typów dzienników przy użyciu zapytań.	Microsoft.OperationalInsights/workspaces/query/*/read
Uzyskiwanie dostępu do określonej tabeli dzienników — starsza metoda	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Przeczytaj klucze obszaru roboczego, aby umożliwić wysyłanie dzienników do tego obszaru roboczego.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Dodawanie i usuwanie rozwiązań do monitorowania.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Te uprawnienia należy nadać na poziomie grupy zasobów lub subskrypcji.
Wyświetlanie danych na kafelkach rozwiązania Backup i Site Recovery .	Administracja istrator/współadministrator Uzyskuje dostęp do zasobów wdrożonych przy użyciu klasycznego modelu wdrażania.
Uruchom zadanie wyszukiwania.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Przywracanie danych z zarchiwizowanej tabeli.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Wbudowane role

Przypisz użytkowników do tych ról, aby przyznać im dostęp w różnych zakresach:

• Subskrypcja: dostęp do wszystkich obszarów roboczych w subskrypcji
• Grupa zasobów: dostęp do wszystkich obszarów roboczych w grupie zasobów
• Zasób: dostęp tylko do określonego obszaru roboczego

Utwórz przypisania na poziomie zasobu (obszar roboczy), aby zapewnić dokładną kontrolę dostępu. Za pomocą ról niestandardowych możesz utworzyć role z określonymi, wymaganymi uprawnieniami.

Uwaga

Aby dodać i usunąć użytkowników do roli użytkownika, musisz mieć Microsoft.Authorization/*/Delete uprawnienia i Microsoft.Authorization/*/Write .

Czytelnik usługi Log Analytics

Członkowie roli Czytelnik usługi Log Analytics mogą wyświetlać wszystkie ustawienia monitorowania i monitorowania, w tym konfigurację diagnostyki platformy Azure we wszystkich zasobach platformy Azure.

Członkowie roli Czytelnik usługi Log Analytics mogą wykonywać następujące czynności:

• Wyświetlanie i wyszukiwanie wszystkich danych monitorowania.
• Wyświetlanie ustawień monitorowania, w tym konfiguracji diagnostyki platformy Azure, dla wszystkich zasobów platformy Azure

Rola Czytelnik usługi Log Analytics obejmuje następujące akcje platformy Azure:

Type	Uprawnienie	opis
Akcja	*/read	Możliwość wyświetlania wszystkich zasobów i konfiguracji zasobów platformy Azure. Obejmuje wyświetlanie następujących elementów: — Stan rozszerzenia maszyny wirtualnej. — Konfiguracja diagnostyki platformy Azure dla zasobów. - Wszystkie właściwości i ustawienia wszystkich zasobów. W przypadku obszarów roboczych umożliwia pełne nieograniczone uprawnienia do odczytywania ustawień obszaru roboczego i wykonywania zapytań dotyczących danych. Zobacz więcej szczegółowych opcji na powyższej liście.
Akcja	Microsoft.Support/*	Możliwość otwierania spraw pomocy technicznej.
Inne	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Zapobiega odczytywaniu klucza obszaru roboczego wymaganego do korzystania z interfejsu API zbierania danych i instalowania agentów. Uniemożliwia to użytkownikowi dodawanie nowych zasobów do obszaru roboczego.

Współautor usługi Log Analytics

Członkowie roli Współautor usługi Log Analytics mogą wykonywać następujące czynności:

• Odczytywanie wszystkich danych monitorowania przyznanych przez rolę Czytelnik usługi Log Analytics.
• Edytuj ustawienia monitorowania dla zasobów platformy Azure, w tym:
  • Dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych.
  • Konfigurowanie diagnostyki platformy Azure dla wszystkich zasobów platformy Azure.
• Tworzenie i konfigurowanie kont usługi Automation. Uprawnienia muszą być przyznane na poziomie grupy zasobów lub subskrypcji.
• Dodawanie i usuwanie rozwiązań do zarządzania. Uprawnienia muszą być przyznane na poziomie grupy zasobów lub subskrypcji.
• Odczytywanie kluczy kont magazynu.
• Skonfiguruj kolekcję dzienników z usługi Azure Storage.
• Konfigurowanie reguł eksportu danych.
• Uruchom zadanie wyszukiwania.
• Przywracanie zarchiwizowanych dzienników.

Ostrzeżenie

Możesz użyć uprawnienia, aby dodać rozszerzenie maszyny wirtualnej do maszyny wirtualnej, aby uzyskać pełną kontrolę nad maszyną wirtualną.

Rola Współautor usługi Log Analytics obejmuje następujące akcje platformy Azure:

Uprawnienie	opis
*/read	Możliwość wyświetlania wszystkich zasobów i konfiguracji zasobów platformy Azure. Obejmuje wyświetlanie następujących elementów: — Stan rozszerzenia maszyny wirtualnej. — Konfiguracja diagnostyki platformy Azure dla zasobów. - Wszystkie właściwości i ustawienia wszystkich zasobów. W przypadku obszarów roboczych umożliwia pełne nieograniczone uprawnienia do odczytywania ustawień obszaru roboczego i wykonywania zapytań dotyczących danych. Zobacz więcej szczegółowych opcji na powyższej liście.
Microsoft.Automation/automationAccounts/*	Możliwość tworzenia i konfigurowania kont usługi Azure Automation, w tym dodawania i edytowania elementów Runbook.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Dodawanie, aktualizowanie i usuwanie rozszerzeń maszyn wirtualnych, w tym rozszerzenia microsoft Monitoring Agent i agenta pakietu OMS dla systemu Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Wyświetlanie klucza konta magazynu. Wymagane do skonfigurowania usługi Log Analytics do odczytywania dzienników z kont usługi Azure Storage.
Microsoft.Insights/alertRules/*	Dodawanie, aktualizowanie i usuwanie reguł alertów.
Microsoft.Insights/diagnosticSettings/*	Dodawanie, aktualizowanie i usuwanie ustawień diagnostycznych w zasobach platformy Azure.
Microsoft.OperationalInsights/*	Dodawanie, aktualizowanie i usuwanie konfiguracji dla obszarów roboczych usługi Log Analytics. Aby edytować ustawienia zaawansowane obszaru roboczego, użytkownik musi Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Dodawanie i usuwanie rozwiązań do zarządzania.
Microsoft.Resources/deployments/*	Tworzenie i usuwanie wdrożeń. Wymagane do dodawania i usuwania rozwiązań, obszarów roboczych i kont automatyzacji.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Tworzenie i usuwanie wdrożeń. Wymagane do dodawania i usuwania rozwiązań, obszarów roboczych i kont automatyzacji.

Uprawnienia do zasobów

Aby odczytywać dane z obszaru roboczego lub wysyłać je do obszaru roboczego w kontekście zasobu, potrzebne są następujące uprawnienia do zasobu:

Uprawnienie	opis
Microsoft.Insights/logs/*/read	Możliwość wyświetlania wszystkich danych dziennika dla zasobu
Microsoft.Insights/logs/<tableName>/read Przykład: Microsoft.Insights/logs/Heartbeat/read	Możliwość wyświetlania określonej tabeli dla tego zasobu — starsza metoda
Microsoft.Insights/diagnosticSettings/write	Możliwość skonfigurowania ustawienia diagnostyki w celu umożliwienia konfigurowania dzienników dla tego zasobu

Uprawnienie /read jest zwykle przyznawane z roli zawierającej */odczyt lub* uprawnienia, takie jak wbudowane role Czytelnik i Współautor . Role niestandardowe, które obejmują określone akcje lub dedykowane wbudowane role, mogą nie zawierać tego uprawnienia.

Przykłady ról niestandardowych

Oprócz używania wbudowanych ról dla obszaru roboczego usługi Log Analytics można utworzyć role niestandardowe, aby przypisać bardziej szczegółowe uprawnienia. Oto kilka typowych przykładów.

Przykład 1. Udzielanie użytkownikowi uprawnień do odczytywania danych dziennika z zasobów.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Przyznaj użytkownikom */read lub Microsoft.Insights/logs/*/read uprawnienia do swoich zasobów. Jeśli przypisano już rolę Czytelnik usługi Log Analytics w obszarze roboczym, wystarczy.

Przykład 2. Udzielanie użytkownikowi uprawnień do odczytywania danych dziennika z zasobów i uruchamiania zadania wyszukiwania.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Przyznaj użytkownikom */read lub Microsoft.Insights/logs/*/read uprawnienia do swoich zasobów. Jeśli przypisano już rolę Czytelnik usługi Log Analytics w obszarze roboczym, wystarczy.
• Udziel użytkownikom następujących uprawnień w obszarze roboczym:
  • Microsoft.OperationalInsights/workspaces/tables/write: Wymagane, aby móc utworzyć tabelę wyników wyszukiwania (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: wymagane do umożliwienia wykonywania operacji zadania wyszukiwania.

Przykład 3. Udzielanie użytkownikowi uprawnień do odczytywania danych dziennika z zasobów i konfigurowania zasobów w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Udziel użytkownikom następujących uprawnień w obszarze roboczym: Microsoft.OperationalInsights/workspaces/read i Microsoft.OperationalInsights/workspaces/sharedKeys/action. Przy użyciu tych uprawnień użytkownicy nie mogą wykonywać żadnych zapytań na poziomie obszaru roboczego. Mogą wyliczać tylko obszar roboczy i używać go jako miejsca docelowego dla ustawień diagnostycznych lub konfiguracji agenta.
• Udziel użytkownikom następujących uprawnień do swoich zasobów: Microsoft.Insights/logs/*/read i Microsoft.Insights/diagnosticSettings/write. Jeśli przypisano już rolę Współautor usługi Log Analytics, przypisano rolę Czytelnik lub udzielono */read uprawnień do tego zasobu, wystarczy.

Przykład 4. Udzielanie użytkownikowi uprawnień do odczytywania danych dziennika z zasobów, ale nie wysyłania dzienników do obszaru roboczego usługi Log Analytics lub odczytywania zdarzeń zabezpieczeń.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Udziel użytkownikom następujących uprawnień do swoich zasobów: Microsoft.Insights/logs/*/read.
• Dodaj następującą funkcję NonAction, aby uniemożliwić użytkownikom odczytywanie typu SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. NonAction ma taką samą rolę niestandardową jak akcja, która zapewnia uprawnienie do odczytu (Microsoft.Insights/logs/*/read). Jeśli użytkownik dziedziczy akcję odczytu z innej roli przypisanej do tego zasobu lub do subskrypcji lub grupy zasobów, może odczytać wszystkie typy dzienników. Ten scenariusz jest również spełniony, jeśli dziedziczą */read one, na przykład z rolą Czytelnik lub Współautor.

Przykład 5. Udzielanie użytkownikowi uprawnień do odczytywania danych dzienników ze swoich zasobów oraz wszystkich logów firmy Microsoft Entra i odczytywania danych dziennika rozwiązania Update Management w obszarze roboczym usługi Log Analytics.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Udziel użytkownikom następujących uprawnień w obszarze roboczym:
  • Microsoft.OperationalInsights/workspaces/read: wymagane, aby użytkownik mógł wyliczyć obszar roboczy i otworzyć okienko obszaru roboczego w witrynie Azure Portal
  • Microsoft.OperationalInsights/workspaces/query/read: wymagane dla każdego użytkownika, który może wykonywać zapytania
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Aby móc odczytywać dzienniki logowania firmy Microsoft
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Aby móc odczytywać dzienniki rozwiązania Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Aby móc odczytywać dzienniki rozwiązania Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Aby móc odczytywać dzienniki rozwiązania Update Management
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Wymagane do korzystania z rozwiązań Update Management
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Wymagane do korzystania z rozwiązań Update Management
• Przyznaj użytkownikom następujące uprawnienia do swoich zasobów: */read, przypisane do roli Czytelnik lub Microsoft.Insights/logs/*/read

Przykład 6. Ograniczanie użytkownikowi możliwości przywracania zarchiwizowanych dzienników.

• Skonfiguruj tryb kontroli dostępu do obszaru roboczego, aby używać uprawnień obszaru roboczego lub zasobu.
• Przypisz użytkownika do roli Współautor usługi Log Analytics.
• Dodaj następującą funkcję NonAction, aby uniemożliwić użytkownikom przywracanie zarchiwizowanych dzienników: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Ustawianie dostępu do odczytu na poziomie tabeli

Ustawienia dostępu na poziomie tabeli umożliwiają przyznawanie określonym użytkownikom lub grupom uprawnień tylko do odczytu do danych z określonych tabel. Użytkownicy z dostępem do odczytu na poziomie tabeli mogą odczytywać dane z określonych tabel zarówno w obszarze roboczym, jak i kontekście zasobu.

Uwaga

Zalecamy użycie opisanej tutaj metody, która jest obecnie dostępna w wersji zapoznawczej, aby zdefiniować dostęp na poziomie tabeli. Alternatywnie można użyć starszej metody ustawiania dostępu do odczytu na poziomie tabeli, która ma pewne ograniczenia związane z niestandardowymi tabelami dzienników. W wersji zapoznawczej zalecana metoda opisana w tym miejscu nie ma zastosowania do reguł wykrywania usługi Microsoft Sentinel, które mogą mieć dostęp do większej liczby tabel niż zamierzone. Przed użyciem jednej z metod zobacz Zagadnienia i ograniczenia dotyczące dostępu na poziomie tabeli.

Udzielanie dostępu do odczytu na poziomie tabeli obejmuje przypisanie użytkownikowi dwóch ról:

• Na poziomie obszaru roboczego — rola niestandardowa, która zapewnia ograniczone uprawnienia do odczytywania szczegółów obszaru roboczego i uruchamiania zapytania w obszarze roboczym, ale nie do odczytywania danych z żadnych tabel.
• Na poziomie tabeli — rola Czytelnik w zakresie określonej tabeli.

Aby udzielić użytkownikowi lub grupie ograniczonych uprawnień do obszaru roboczego usługi Log Analytics:

1. Utwórz rolę niestandardową na poziomie obszaru roboczego, aby umożliwić użytkownikom odczytywanie szczegółów obszaru roboczego i uruchamianie zapytania w obszarze roboczym bez zapewniania dostępu do odczytu do danych w dowolnej tabeli:

   1. Przejdź do obszaru roboczego i wybierz pozycję Kontrola dostępu (IAM)>Role.

   2. Kliknij prawym przyciskiem myszy rolę Czytelnik i wybierz polecenie Klonuj.

      

      Spowoduje to otwarcie ekranu Tworzenie roli niestandardowej.

   3. Na karcie Podstawy ekranu:

      1. Wprowadź wartość nazwy roli niestandardowej i opcjonalnie podaj opis.
      2. Ustaw uprawnienia wg planu bazowego, aby rozpocząć od podstaw.

      

   4. Wybierz kartę >JSON Edytuj:

      1. "actions" W sekcji dodaj następujące akcje:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" W sekcji dodaj:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Wybierz pozycję Zapisz>przegląd i utwórz w dolnej części ekranu, a następnie pozycję Utwórz na następnej stronie.

2. Przypisz rolę niestandardową do odpowiedniego użytkownika:

   1. Wybierz pozycję Kontrola dostępu (AIM)>Dodaj>przypisanie roli.

      

   2. Wybierz utworzoną rolę niestandardową, a następnie wybierz pozycję Dalej.

      

      Spowoduje to otwarcie karty Członkowie ekranu Dodawanie przypisania roli niestandardowej.

   3. Kliknij pozycję + Wybierz członków , aby otworzyć ekran Wybieranie członków .

      

   4. Wyszukaj i wybierz użytkownika, a następnie kliknij pozycję Wybierz.

   5. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać szczegóły obszaru roboczego i uruchamiać zapytanie, ale nie może odczytać danych z żadnych tabel.

Aby udzielić użytkownikowi dostępu do odczytu do określonej tabeli:

1. Z menu Obszarów roboczych usługi Log Analytics wybierz pozycję Tabele.

2. Wybierz wielokropek ( ... ) po prawej stronie tabeli i wybierz pozycję Kontrola dostępu (IAM).

   

3. Na ekranie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz pozycję Dodaj>przypisanie roli.

4. Wybierz rolę Czytelnik i wybierz przycisk Dalej.

5. Kliknij pozycję + Wybierz członków , aby otworzyć ekran Wybieranie członków .

6. Wyszukaj i wybierz użytkownika, a następnie kliknij pozycję Wybierz.

7. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać dane z tej konkretnej tabeli. Udziel użytkownikowi dostępu do odczytu do innych tabel w obszarze roboczym zgodnie z potrzebami.

Starsza metoda ustawiania dostępu do odczytu na poziomie tabeli

Starsza metoda na poziomie tabeli używa również ról niestandardowych platformy Azure, aby umożliwić przyznawanie określonym użytkownikom lub grupom dostępu do określonych tabel w obszarze roboczym. Role niestandardowe platformy Azure mają zastosowanie do obszarów roboczych z trybami kontroli dostępu w kontekście obszaru roboczego lub kontekstu zasobu niezależnie od trybu dostępu użytkownika.

Aby zdefiniować dostęp do określonej tabeli, utwórz rolę niestandardową:

• Ustaw uprawnienia użytkownika w sekcji Akcje definicji roli.
• Użyj polecenia Microsoft.OperationalInsights/workspaces/query/* , aby udzielić dostępu do wszystkich tabel.
• Aby wykluczyć dostęp do określonych tabel w przypadku używania symbolu wieloznakowego w obszarze Akcje, wyświetl listę tabel wykluczonych w sekcji NotActions definicji roli.

Poniżej przedstawiono przykłady niestandardowych akcji ról w celu udzielenia i odmowy dostępu do określonych tabel.

Udziel dostępu do tabel Heartbeat i AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Udziel dostępu tylko do tabeli SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Udziel dostępu do wszystkich tabel z wyjątkiem tabeli SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Ograniczenia starszej metody powiązanej z tabelami niestandardowymi

Tabele niestandardowe przechowują dane zbierane ze źródeł danych, takich jak dzienniki tekstowe i interfejs API modułu zbierającego dane HTTP. Aby zidentyfikować typ tabeli, wyświetl informacje o tabeli w usłudze Log Analytics.

Korzystając ze starszej metody dostępu na poziomie tabeli, nie można udzielić dostępu do poszczególnych niestandardowych tabel dzienników na poziomie tabeli, ale można udzielić dostępu do wszystkich niestandardowych tabel dzienników. Aby utworzyć rolę z dostępem do wszystkich niestandardowych tabel dzienników, utwórz rolę niestandardową przy użyciu następujących akcji:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Zagadnienia i ograniczenia dotyczące dostępu na poziomie tabeli

• W interfejsie użytkownika usługi Log Analytics użytkownicy z poziomem tabeli widzą listę wszystkich tabel w obszarze roboczym, ale mogą pobierać tylko dane z tabel, do których mają dostęp.
• Standardowe role Czytelnik lub Współautor, które obejmują akcję */odczyt , przesłaniają kontrolę dostępu na poziomie tabeli i zapewniają użytkownikom dostęp do wszystkich danych dziennika.
• Użytkownik z dostępem na poziomie tabeli, ale żadne uprawnienia na poziomie obszaru roboczego nie mogą uzyskiwać dostępu do danych dziennika z interfejsu API, ale nie z witryny Azure Portal.
• Administracja istratory i właściciele subskrypcji mają dostęp do wszystkich typów danych niezależnie od innych ustawień uprawnień.
• Właściciele obszarów roboczych są traktowani jak każdy inny użytkownik do kontroli dostępu do poszczególnych tabel.
• Przypisz role do grup zabezpieczeń zamiast poszczególnych użytkowników, aby zmniejszyć liczbę przypisań. Ta praktyka pomoże również użyć istniejących narzędzi do zarządzania grupami w celu skonfigurowania i zweryfikowania dostępu.

Następne kroki

• Zobacz Omówienie agenta usługi Log Analytics, aby zbierać dane z komputerów w centrum danych lub w innym środowisku chmury.
• Zobacz Zbieranie danych o maszynach wirtualnych platformy Azure w celu skonfigurowania zbierania danych z maszyn wirtualnych platformy Azure.