Udostępnij za pośrednictwem

Zarządzanie dostępem na poziomie tabeli w obszarze roboczym usługi Log Analytics

Istnieją trzy sposoby zarządzania dostępem na poziomie tabeli w obszarze roboczym usługi Log Analytics przy użyciu kontroli dostępu opartej na rolach (RBAC). Ten artykuł odnosi się do wszystkich metod, chociaż zaleca się tylko drobiazgową kontrolę dostępu opartą na rolach (RBAC).

Granularna kontrola dostępu oparta na rolach umożliwia dokładne dostrojenie dostępu na poziomie tabeli lub wiersza. Użytkownicy z dostępem na poziomie tabeli mogą odczytywać dane i wykonywać zapytania z określonych tabel zarówno w obszarze roboczym, jak i kontekście zasobu. Aby uzyskać więcej informacji, zobacz Granularne RBAC.

Konfiguracja szczegółowego RBAC dla dostępu na poziomie tabeli

Konfiguracja dostępu na poziomie tabeli przy użyciu granularnego RBAC jest mniej złożona niż wcześniejsze metody i oferuje elastyczność w implementowaniu warunków na poziomie wiersza. Te kroki koncentrują się tylko na konfigurowaniu dostępu na poziomie tabeli. Aby uzyskać więcej informacji, zobacz Granularne RBAC.

Skonfigurowanie szczegółowej kontroli dostępu opartej na rolach na poziomie tabeli wymaga wykonania następujących kroków:

  1. Wybierz wbudowaną rolę Czytelnik danych usługi Log Analytics lub utwórz rolę niestandardową
  2. Utwórz warunek dla przypisanej roli (permisywną lub restrykcyjną)

Utwórz granularną rolę niestandardową RBAC

Płaszczyzna sterowania "akcja danych" odróżnia szczegółowy RBAC od wcześniejszych metod konfigurowania dostępu na poziomie tabeli, a jest ona już skonfigurowana w wbudowanej roli Czytelnik danych Log Analytics. Jeśli nie wybierzesz wbudowanej roli, wykonaj następujące kroki, aby utworzyć rolę niestandardową. Aby uzyskać więcej informacji, zobacz Tworzenie szczegółowego przypisania roli RBAC.

Oto kod JSON przykładowej roli niestandardowej:

{    "properties": {
        "roleName": "Log Analytics Standard Table Access",
        "description": "This custom role provides general access to all non-restricted tables.",
        "assignableScopes": [
            "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso-US-la-workspace"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.OperationalInsights/workspaces/read",
                    "Microsoft.OperationalInsights/workspaces/query/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.OperationalInsights/workspaces/tables/data/read"
                ],
                "notDataActions": []
            }
        ]
    }
}

Przypisz rolę do użytkownika lub grupy. Aby uzyskać więcej informacji, zobacz Przypisywanie szczegółowych ról RBAC.

  1. W obszarze roboczym usługi Log Analytics wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
  2. Wybierz Dodaj przypisanie roli.
  3. Wybierz utworzoną przykładową rolę niestandardową Log Analytics Standard Table Access , a następnie wybierz pozycję Dalej.
  4. Wybierz użytkownika lub grupę, do której chcesz przypisać rolę, a następnie wybierz pozycję Dalej. W tym przykładzie przypisano rolę do zespołu sieciowej grupy zabezpieczeń.
  5. Wybierz pozycję Warunki>Dodaj warunek>Dodaj akcję.
  6. Wybierz akcję >Wybierz.

Warunek zezwalający

W tym przykładzie tworzony jest warunek permisji z użyciem strategii Dostęp do wszystkich danych, z wyjątkiem tych, które nie są dozwolone. Dostęp jest ograniczony do tabel SigninLogs i SecurityEvent, ale do wszystkich innych tabel dostęp jest dozwolony. Aby zapoznać się z przykładem ograniczającego warunku, zobacz Granularne przypadki użycia RBAC.

  1. W sekcji Budowanie wyrażenia wybierz Dodaj wyrażenie
  2. Wybierz pozycję Zasób z listy rozwijanej Źródło atrybutu .
  3. Wybierz pozycję Nazwa tabeli z listy rozwijanej Atrybut .
  4. Wybierz opcję ForAnyOfAllValues:StringNotEquals z listy rozwijanej Operator .
  5. Wpisz SigninLogs i SecurityEvent w polach Wartość .

Oto jak wygląda warunek dostępu na poziomie tabeli po jego ukończeniu.

Zrzut ekranu przedstawiający szczegółowy warunek dostępu na poziomie tabeli RBAC.

W przypadku pojedynczego przypisania roli dostęp na poziomie tabeli jest konfigurowany oddzielając tabele z ograniczeniami od tabel standardowych. Aby uzyskać więcej informacji, zobacz zagadnienia dotyczące szczegółowej kontroli dostępu opartej na rolach i rozwiązywanie problemów ze szczegółową kontrolą dostępu opartej na rolach.

Konfigurowanie dostępu na poziomie tabeli (metoda podwójnej roli)

Najlepszym rozwiązaniem jest użycie szczegółowej metody RBAC zamiast tej metody. W tej sekcji przedstawiono kroki konfigurowania metody podwójnej roli.

Ta metoda kontroli dostępu na poziomie tabeli używa również ról niestandardowych platformy Azure do udzielania użytkownikom lub grupom dostępu do określonych tabel w obszarze roboczym, ale wymaga przypisania dwóch ról dla każdego użytkownika lub grupy.

Scope Opis roli
Obszar roboczy Rola niestandardowa, która zapewnia ograniczone uprawnienia do odczytywania szczegółów obszaru roboczego i uruchamiania zapytania w obszarze roboczym, ale nie do odczytywania danych z żadnych tabel
Tabela Rola czytelnika, mająca zastosowanie tylko do określonej tabeli

Budowanie roli obszaru roboczego

Utwórz rolę niestandardową na poziomie obszaru roboczego, aby umożliwić użytkownikom odczytywanie szczegółów obszaru roboczego i uruchamianie zapytania w obszarze roboczym bez zapewniania dostępu do odczytu do danych w dowolnej tabeli:

  1. Przejdź do obszaru roboczego i wybierz Kontrola dostępu (IAM)>Role.
  2. Kliknij prawym przyciskiem myszy rolę Czytelnik i wybierz Klonuj. Zrzut ekranu przedstawiający kartę Role na ekranie Kontrola dostępu z wyróżnionym przyciskiem klonowania dla roli Czytelnika. Otwiera to ekran Tworzenie roli niestandardowej.
  3. Na zakładce Podstawy ekranu:
    1. Wprowadź wartość nazwy roli niestandardowej i opcjonalnie podaj opis.
    2. Ustaw uprawnienia bazowe na rozpocznij od zera. Zrzut ekranu przedstawiający kartę Podstawowe na ekranie Tworzenie roli niestandardowej z wyróżnionymi polami Nazwa roli niestandardowej i Opis.
  4. Wybierz kartę >Edytuj:
    1. W sekcji "actions" dodaj te akcje:
      "Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read"
    2. W sekcji "not actions" dodaj:
      "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
  5. Wybierz Zapisz>Przegląd + Utwórz>Utwórz.
  6. Wybierz Kontrola dostępu (AIM)>Dodaj>Dodaj przypisanie roli.
  7. Wybierz utworzoną rolę niestandardową, a następnie wybierz pozycję Dalej. Spowoduje to otwarcie karty Członkowie ekranu Dodawanie przypisania roli niestandardowej.
  8. + Wybierz członków , aby otworzyć ekran Wybieranie członków .
  9. Wyszukaj użytkownika >Wybierz.
  10. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać szczegóły obszaru roboczego i uruchamiać zapytanie, ale nie może odczytać danych z żadnych tabel.

Przypisywanie roli dostępu do tabel

  1. Z menu Obszarów roboczych usługi Log Analytics wybierz pozycję Tabele.
  2. Wybierz wielokropek ( ... ) po prawej stronie tabeli i wybierz pozycję Kontrola dostępu (IAM). Zrzut ekranu przedstawiający ekran zarządzania tabelami obszaru roboczego usługi Log Analytics z wyróżnionym przyciskiem kontroli dostępu na poziomie tabeli.
  3. Na ekranie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz Dodaj>Dodaj przypisanie roli.
  4. Wybierz rolę Czytelnik i wybierz przycisk Dalej.
  5. + Wybierz członków , aby otworzyć ekran Wybieranie członków .
    1. Wyszukaj użytkownika >Wybierz.
  7. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać dane z tej konkretnej tabeli. Udziel użytkownikowi dostępu do odczytu do innych tabel w obszarze roboczym zgodnie z potrzebami.

Konfigurowanie dostępu na poziomie tabeli (starsza metoda)

Starsza metoda kontroli dostępu na poziomie tabeli nie jest już zalecana. Nie obsługuje warunków na poziomie wiersza i jest bardziej złożony niż szczegółowa metoda RBAC. Najlepszym rozwiązaniem jest użycie szczegółowej metody RBAC zamiast tej metody. W tej sekcji opisano procedurę konfigurowania starszej metody.

Starsza metoda na poziomie tabeli używa również ról niestandardowych platformy Azure , aby umożliwić użytkownikom lub grupom dostęp do określonych tabel w obszarze roboczym. Role niestandardowe platformy Azure mają zastosowanie do obszarów roboczych z trybami kontroli dostępu w kontekście obszaru roboczego lub kontekstu zasobu niezależnie od trybu dostępu użytkownika.

Aby zdefiniować dostęp do określonej tabeli, utwórz rolę niestandardową:

  1. Ustaw uprawnienia użytkownika w sekcji Akcje definicji roli.
  2. Użyj polecenia Microsoft.OperationalInsights/workspaces/query/* , aby udzielić dostępu do wszystkich tabel.
  3. Aby wykluczyć dostęp do określonych tabel w przypadku używania symbolu wieloznakowego w obszarze Akcje, wyświetl listę tabel wykluczonych w sekcji NotActions definicji roli.

Poniżej przedstawiono przykłady niestandardowych akcji ról w celu udzielenia i odmowy dostępu do określonych tabel.

Udziel dostępu do tabel Heartbeat i AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Udziel dostępu tylko do tabeli SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Udziel dostępu do wszystkich tabel z wyjątkiem tabeli SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Tabele niestandardowe przechowują dane zbierane ze źródeł danych, takich jak dzienniki tekstowe i interfejs API zbieracza danych HTTP. Aby zidentyfikować typ tabeli, wyświetl informacje o tabeli w usłudze Log Analytics.

Korzystając ze starszej metody dostępu na poziomie tabeli, nie można udzielić dostępu do poszczególnych niestandardowych tabel dzienników na poziomie tabeli, ale można udzielić dostępu do wszystkich niestandardowych tabel dzienników. Aby utworzyć rolę z dostępem do wszystkich niestandardowych tabel dzienników, utwórz rolę niestandardową przy użyciu następujących akcji:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Rozważania

  • W interfejsie użytkownika usługi Log Analytics użytkownicy z poziomem tabeli widzą listę wszystkich tabel w obszarze roboczym, ale mogą pobierać tylko dane z tabel, do których mają dostęp.
  • Standardowe role Czytelnik lub Współautor, które obejmują akcję */odczyt, pomijają kontrolę dostępu na poziomie tabeli i dają użytkownikom dostęp do wszystkich danych dziennika.
  • Użytkownik z dostępem na poziomie tabeli, ale bez uprawnień na poziomie obszaru roboczego, może uzyskiwać dostęp do danych dziennika z interfejsu API, ale nie z portalu Azure.
  • Administratorzy i właściciele subskrypcji mają dostęp do wszystkich typów danych niezależnie od innych ustawień uprawnień.
  • Traktuje się właścicieli obszarów roboczych jak każdego innego użytkownika w kontekście kontroli dostępu do poszczególnych tabel.
  • Przypisz role do grup zabezpieczeń zamiast poszczególnych użytkowników, aby zmniejszyć liczbę przypisań. To najlepsze rozwiązanie ułatwia korzystanie z istniejących narzędzi do zarządzania grupami do konfigurowania i weryfikowania dostępu.

Treści powiązane

  • Last updated on