Поделиться через

Управление доступом на уровне таблицы в рабочей области Log Analytics

Существует три способа управления доступом на уровне таблицы в рабочей области Log Analytics с помощью управления доступом на основе ролей (RBAC). Эта статья ссылается на все методы, хотя рекомендуется использовать только детализированный RBAC.

Гранулированный RBAC позволяет точно настроить доступ на уровне таблицы или строки. Пользователи с доступом на уровне таблицы могут считывать данные и запросы из указанных таблиц как в рабочей области, так и в контексте ресурса. Дополнительные сведения см. в разделе "Детализированный RBAC".

Настройка детализации RBAC для доступа на уровне таблицы

Конфигурация доступа на уровне таблицы с помощью детализированного RBAC менее сложна, чем предыдущие методы, и обеспечивает гибкость реализации условий на уровне строк. Эти шаги просто сосредоточены на настройке доступа на уровне таблицы. Дополнительные сведения см. в разделе "Детализированный RBAC".

Для настройки детализированного RBAC для доступа на уровне таблицы необходимо выполнить следующие действия.

  1. Выберите встроенную роль Log Analytics Data Reader, или создайте пользовательскую роль.
  2. Создайте условие для назначенной роли (разрешающая или ограничивающая)

Создание детализированной настраиваемой роли RBAC

Плоскость управления "data action" отличает более детализированный RBAC от более ранних методов настройки доступа на уровне таблицы и уже настроена в встроенной роли чтения данных Log Analytics. Если вы не выберете встроенную роль, выполните следующие действия, чтобы создать пользовательскую роль. Дополнительные сведения см. в разделе "Создание детализированного назначения роли RBAC".

Вот JSON-образец для настраиваемой роли.

{    "properties": {
        "roleName": "Log Analytics Standard Table Access",
        "description": "This custom role provides general access to all non-restricted tables.",
        "assignableScopes": [
            "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso-US-la-workspace"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.OperationalInsights/workspaces/read",
                    "Microsoft.OperationalInsights/workspaces/query/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.OperationalInsights/workspaces/tables/data/read"
                ],
                "notDataActions": []
            }
        ]
    }
}

Назначьте роль пользователю или группе. Дополнительные сведения см. в разделе "Назначение детализированных ролей RBAC".

  1. В рабочей области Log Analytics выберите элемент управления доступом (IAM).
  2. выберите Добавить назначение ролей.
  3. Выберите пример созданной пользовательской Log Analytics Standard Table Access роли, а затем нажмите кнопку "Далее".
  4. Выберите пользователя или группу, которой нужно назначить роль, а затем нажмите кнопку "Далее". Роль назначается группе безопасности команды сети в этом примере.
  5. Выберите Условия>Добавить условие>Добавить действие.
  6. Выберите действие Чтение данных рабочей области>Выбрать.

Условие сборки с разрешением

В этом примере создается разрешительное условие с помощью стратегии Доступ ко всем данным, за исключением того, что не разрешено. Доступ ограничен к таблицам SigninLogs и SecurityEvent, но разрешен ко всем остальным таблицам. Пример ограничивающего условия см. в разделе "Детализированные варианты использования RBAC".

  1. В разделе «Построение выражения» выберите «Добавить выражение»
  2. Выберите ресурс из раскрывающегося списка "Источник атрибутов ".
  3. Выберите имя таблицы из раскрывающегося списка атрибутов .
  4. Выберите ForAnyOfAllValues:StringNotEquals из раскрывающегося списка Оператор.
  5. Введите SigninLogs и SecurityEvent в полях "Значение ".

Вот как выглядит разрешительное условие доступа на уровне таблицы, когда завершено.

Снимок экрана: детализированное условие доступа на уровне таблицы RBAC.

При назначении одной роли доступ на уровне таблицы настраивается для разделения ограниченных таблиц из стандартных таблиц. Дополнительные сведения см. в аспектах гранулярного управления доступом (RBAC) и устранении неполадок при гранулярном управлении доступом (RBAC).

Настройка доступа на уровне таблицы (метод двойной роли)

Рекомендуется использовать детальный метод RBAC вместо этого метода. В этом разделе описаны действия по настройке метода двойной роли.

Этот метод управления доступом на уровне таблицы также использует пользовательские роли Azure для предоставления пользователям или группам доступа к определенным таблицам в рабочей области, но требует назначения двух ролей для каждого пользователя или группы.

Область действия Описание роли
Рабочая область Пользовательская роль, которая предоставляет ограниченные разрешения для чтения сведений о рабочей области и выполнения запроса в рабочей области, но не для чтения данных из каких-либо таблиц
Таблица Роль читателя , ограниченная определенной таблицей

Создание роли рабочего пространства

Создайте пользовательскую роль на уровне рабочей области, чтобы пользователи считывали сведения о рабочей области и выполняли запрос в рабочей области, не предоставляя доступ на чтение к данным в любых таблицах:

  1. Перейдите в рабочую область и выберите Управление доступом (IAM)>Роли.
  2. Щелкните правой кнопкой мыши роль читателя и выберите Клонировать. Снимок экрана: вкладка Откроется экран создания настраиваемой роли .
  3. На вкладке "Основы" экрана:
    1. Введите значение имени настраиваемой роли и при необходимости укажите описание.
    2. Задайте базовые разрешения для запуска с нуля. Снимок экрана: вкладка
  4. Выберите вкладку >Edit:
    1. В разделе "actions" добавьте следующие действия:
      "Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read"
    2. В разделе "not actions" добавьте:
      "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
  5. Нажмите "Сохранить">Проверка + Создание>Создать.
  6. Выберите управление доступом (AIM)>Добавить>Добавить назначение ролей.
  7. Выберите созданную пользовательскую роль и нажмите кнопку "Далее". Откроется вкладка "Члены" на экране "Добавление настраиваемой роли".
  8. + Выберите участников , чтобы открыть экран "Выбрать участников ".
  9. Найдите пользователя >Select.
  10. Выберите Обзор и назначение.

Теперь пользователь может считывать сведения о рабочей области и выполнять запрос, но не может считывать данные из каких-либо таблиц.

Назначение роли доступа к таблице

  1. В меню рабочих областей Log Analytics выберите "Таблицы".
  2. Выберите многоточие (... ) справа от таблицы и выберите элемент управления доступом (IAM). Снимок экрана: экран управления таблицами рабочей области Log Analytics с выделенной кнопкой управления доступом на уровне таблицы.
  3. На экране Управление доступом (IAM) выберите Добавить>, затем Добавить назначение роли.
  4. Выберите роль читателя и нажмите кнопку "Далее".
  5. + Выберите участников , чтобы открыть экран "Выбрать участников ".
    1. Найдите пользователя >Select.
  7. Выберите Обзор и назначение.

Теперь пользователь может считывать данные из этой конкретной таблицы. При необходимости предоставьте пользователю доступ на чтение к другим таблицам в рабочей области.

Настройка доступа на уровне таблицы (устаревший метод)

Устаревший метод управления доступом на уровне таблицы больше не рекомендуется. Он не поддерживает условия уровня строк и более сложный, чем детальный метод RBAC. Рекомендуется использовать детальный метод RBAC вместо этого метода. В этом разделе описаны шаги по настройке устаревшего метода.

Устаревший метод табличного уровня также использует пользовательские роли Azure , чтобы предоставить пользователям или группам доступ к определенным таблицам в рабочей области. Пользовательские роли Azure применяются к рабочим областям с режимом управления доступом в контексте рабочей области или контексте ресурсов независимо от режима доступа пользователя.

Чтобы определить доступ к определенной таблице, создайте пользовательскую роль:

  1. Задайте разрешения пользователя в разделе "Действия " определения роли.
  2. Используйте Microsoft.OperationalInsights/workspaces/query/* для предоставления доступа ко всем таблицам.
  3. Чтобы исключить доступ к определенным таблицам при использовании подстановочного знака в actions, перечислите таблицы, исключенные из раздела NotActions определения роли.

Ниже приведены примеры действий настраиваемых ролей для предоставления и отзыва доступа к конкретным таблицам.

Предоставление доступа к таблицам Heartbeat и AzureActivity:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Предоставление доступа только к таблице SecurityBaseline:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Предоставление доступа ко всем таблицам, за исключением SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Пользовательские таблицы хранят данные, собранные из источников данных, таких как текстовые журналы и API сборщика данных HTTP. Чтобы определить тип таблицы, просмотрите сведения о таблице в Log Analytics.

Используя устаревший метод доступа на уровне таблицы, вы не можете предоставить доступ к отдельным пользовательским таблицам журналов на уровне таблицы, но вы можете предоставить доступ ко всем настраиваемым таблицам журналов. Чтобы создать роль с доступом ко всем таблицам пользовательских журналов, создайте настраиваемую роль с помощью следующего действия:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Соображения

  • В пользовательском интерфейсе Log Analytics пользователи с табличным уровнем могут просматривать список всех таблиц в рабочей области, но могут получать только данные из таблиц, к которым у них есть доступ.
  • Стандартные роли Читателя или Участника, которые включают действие */read, переопределяют управление доступом на уровне таблицы и предоставляют пользователям доступ ко всем данным журналов.
  • Пользователь с доступом на уровне таблицы, но без разрешений на уровне рабочей области может получать данные журнала из API, но не из портала Azure.
  • Администраторы и владельцы подписки имеют доступ ко всем типам данных независимо от других параметров разрешений.
  • Владельцы рабочих областей рассматриваются как и другие пользователи для управления доступом на уровне каждой таблицы.
  • Назначайте роли группам безопасности, а не отдельным пользователям, чтобы сократить количество назначений. Эта рекомендация помогает использовать существующие средства управления группами для настройки и проверки доступа.

Связанный контент

  • Last updated on