Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Параметры доступа на уровне таблицы позволяют предоставлять определенным пользователям или группам разрешения только для чтения для данных в таблице. Пользователи с доступом на чтение на уровне таблицы могут считывать данные из указанной таблицы как в рабочей области, так и в контексте ресурса.
В этой статье описывается два способа управления доступом на чтение на уровне таблицы.
Примечание
Мы рекомендуем использовать первый описанный здесь метод, который в настоящее время находится в предварительной версии. Во время предварительной версии рекомендуемый метод, описанный здесь, не применяется к правилам обнаружения Microsoft Sentinel, которые могут иметь доступ к более таблицам, чем это было задумано. Кроме того, можно использовать устаревший метод настройки доступа на уровне таблицы для чтения, который имеет некоторые ограничения, связанные с пользовательскими таблицами журналов. Прежде чем использовать любой из методов, ознакомьтесь с рекомендациями и ограничениями доступа на уровне таблицы.
Предоставление доступа на чтение на уровне таблицы включает назначение пользователю двух ролей:
- На уровне рабочей области — пользовательская роль, которая предоставляет ограниченные разрешения на чтение сведений о рабочей области и выполнение запроса в рабочей области, но не для чтения данных из каких-либо таблиц.
- На уровне таблицы — роль читателя , ограниченная определенной таблицей.
Чтобы предоставить пользователю или группе ограниченные разрешения для рабочей области Log Analytics:
Создайте пользовательскую роль на уровне рабочей области, чтобы пользователи считывали сведения о рабочей области и выполняли запрос в рабочей области, не предоставляя доступ на чтение к данным в любых таблицах:
Перейдите в рабочую область и выберите Управление доступом (IAM)>Роли.
Щелкните правой кнопкой мыши роль читателя и выберите Клонировать.
Откроется экран создания настраиваемой роли .
На вкладке "Основы" экрана:
- Введите значение имени настраиваемой роли и при необходимости укажите описание.
- Задайте базовые разрешения для запуска с нуля.
Выберите вкладку JSON>Редактировать:
В разделе
"actions"добавьте следующие действия:"Microsoft.OperationalInsights/workspaces/read", "Microsoft.OperationalInsights/workspaces/query/read"В разделе
"not actions"добавьте:"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
Нажмите "Сохранить">"Обзор и создание" в нижней части экрана, а затем "Создать" на следующей странице.
Назначьте настраиваемую роль соответствующему пользователю:
Выберите управление доступом (AIM)>Добавить>Добавить назначение ролей.
Выберите созданную пользовательскую роль и нажмите кнопку "Далее".
Откроется вкладка "Члены" на экране "Добавление настраиваемой роли".
Нажмите + Выбрать участников, чтобы открыть экран "Выбор участников".
Найдите и выберите пользователя и нажмите кнопку " Выбрать".
Выберите Обзор и назначение.
Теперь пользователь может считывать сведения о рабочей области и выполнять запрос, но не может считывать данные из каких-либо таблиц.
Чтобы предоставить пользователю доступ на чтение к определенной таблице:
В меню рабочих областей Log Analytics выберите "Таблицы".
Выберите многоточие (... ) справа от таблицы и выберите элемент управления доступом (IAM).
На экране Управление доступом (IAM) выберите Добавить>, затем Добавить назначение роли.
Выберите роль читателя и нажмите кнопку "Далее".
Нажмите + Выбрать участников, чтобы открыть экран Выбрать участников.
Найдите и выберите пользователя и нажмите кнопку " Выбрать".
Выберите «Рассмотрение и назначение».
Теперь пользователь может считывать данные из этой конкретной таблицы. При необходимости предоставьте пользователю доступ на чтение к другим таблицам в рабочей области.
Устаревший метод уровня таблицы также использует пользовательские роли Azure, чтобы предоставить определенным пользователям или группам доступ к определенным таблицам в рабочей области. Пользовательские роли Azure применяются к рабочим областям с режимом управления доступом в контексте рабочей области или контексте ресурсов независимо от режима доступа пользователя.
Чтобы определить доступ к определенной таблице, создайте пользовательскую роль:
- Задайте разрешения пользователя в разделе "Действия " определения роли.
- Используйте
Microsoft.OperationalInsights/workspaces/query/*для предоставления доступа ко всем таблицам. - Чтобы исключить доступ к определенным таблицам при использовании подстановочного знака в actions, перечислите таблицы, исключенные из раздела NotActions определения роли.
Ниже приведены примеры действий настраиваемых ролей для предоставления и отзыва доступа к конкретным таблицам.
Предоставление доступа к таблицам Heartbeat и AzureActivity:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
"Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
],
Предоставление доступа только к таблице SecurityBaseline:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],
Предоставление доступа ко всем таблицам, за исключением SecurityAlert:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],
Пользовательские таблицы хранят данные, собранные из источников данных, таких как текстовые журналы и API сборщика данных HTTP. Чтобы определить тип таблицы, просмотрите сведения о таблице в Log Analytics.
Используя устаревший метод доступа на уровне таблицы, вы не можете предоставить доступ к отдельным пользовательским таблицам журналов на уровне таблицы, но вы можете предоставить доступ ко всем настраиваемым таблицам журналов. Чтобы создать роль с доступом ко всем таблицам пользовательских журналов, создайте настраиваемую роль с помощью следующего действия:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],
- В пользовательском интерфейсе Log Analytics пользователи с табличным уровнем могут просматривать список всех таблиц в рабочей области, но могут получать только данные из таблиц, к которым у них есть доступ.
- Стандартные роли Читателя или Участника, которые включают действие */read, переопределяют управление доступом на уровне таблицы и предоставляют пользователям доступ ко всем данным журналов.
- Пользователь с доступом на уровне таблицы, но без разрешений на уровне рабочей области может получать данные журнала из API, но не из портала Azure.
- Администраторы и владельцы подписки имеют доступ ко всем типам данных независимо от других параметров разрешений.
- Владельцы рабочих областей рассматриваются как и другие пользователи для управления доступом на уровне каждой таблицы.
- Назначайте роли группам безопасности, а не отдельным пользователям, чтобы сократить количество назначений. Это также позволит использовать существующие средства управления группами для настройки и проверки доступа.
- Дополнительные сведения об управлении доступом к рабочим областям Log Analytics.