Udostępnij za pośrednictwem

Zarządzanie dostępem do odczytu na poziomie tabeli w obszarze roboczym usługi Log Analytics

  • Artykuł

Ustawienia dostępu na poziomie tabeli umożliwiają przyznawanie określonym użytkownikom lub grupom uprawnień tylko do odczytu do danych w tabeli. Użytkownicy z dostępem do odczytu na poziomie tabeli mogą odczytywać dane z określonej tabeli zarówno w obszarze roboczym, jak i kontekście zasobu.

W tym artykule opisano dwa sposoby zarządzania dostępem do odczytu na poziomie tabeli.

Uwaga

Zalecamy użycie pierwszej metody opisanej tutaj, która jest obecnie dostępna w wersji zapoznawczej. W wersji zapoznawczej zalecana metoda opisana w tym miejscu nie ma zastosowania do reguł wykrywania usługi Microsoft Sentinel, które mogą mieć dostęp do większej liczby tabel niż zamierzone. Alternatywnie można użyć starszej metody ustawiania dostępu do odczytu na poziomie tabeli, która ma pewne ograniczenia związane z niestandardowymi tabelami dzienników. Przed użyciem jednej z metod zobacz Zagadnienia i ograniczenia dotyczące dostępu na poziomie tabeli.

Ustawianie dostępu do odczytu na poziomie tabeli (wersja zapoznawcza)

Udzielanie dostępu do odczytu na poziomie tabeli obejmuje przypisanie użytkownikowi dwóch ról:

  • Na poziomie obszaru roboczego — rola niestandardowa, która zapewnia ograniczone uprawnienia do odczytywania szczegółów obszaru roboczego i uruchamiania zapytania w obszarze roboczym, ale nie do odczytywania danych z żadnych tabel.
  • Na poziomie tabeli — rola Czytelnik w zakresie określonej tabeli.

Aby udzielić użytkownikowi lub grupie ograniczonych uprawnień do obszaru roboczego usługi Log Analytics:

  1. Utwórz rolę niestandardową na poziomie obszaru roboczego, aby umożliwić użytkownikom odczytywanie szczegółów obszaru roboczego i uruchamianie zapytania w obszarze roboczym bez zapewniania dostępu do odczytu do danych w dowolnej tabeli:

    1. Przejdź do obszaru roboczego i wybierz pozycję Kontrola dostępu (IAM)>Role.

    2. Kliknij prawym przyciskiem myszy rolę Czytelnik i wybierz polecenie Klonuj.

      Zrzut ekranu przedstawiający kartę Role na ekranie Kontrola dostępu z wyróżnionym przyciskiem klonowania dla roli Czytelnik.

      Spowoduje to otwarcie ekranu Tworzenie roli niestandardowej.

    3. Na karcie Podstawy ekranu:

      1. Wprowadź wartość nazwy roli niestandardowej i opcjonalnie podaj opis.
      2. Ustaw uprawnienia wg planu bazowego, aby rozpocząć od podstaw.

      Zrzut ekranu przedstawiający kartę Podstawowe na ekranie Tworzenie roli niestandardowej z wyróżnionymi polami Nazwa roli niestandardowej i Opis.

    4. Wybierz kartę >JSON Edytuj:

      1. "actions" W sekcji dodaj następujące akcje:

        "Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read"

      2. "not actions" W sekcji dodaj:

        "Microsoft.OperationalInsights/workspaces/sharedKeys/read"

      Zrzut ekranu przedstawiający kartę JSON na ekranie Tworzenie roli niestandardowej z wyróżnioną sekcją akcji pliku JSON.

    5. Wybierz pozycję Zapisz>przegląd i utwórz w dolnej części ekranu, a następnie pozycję Utwórz na następnej stronie.

  2. Przypisz rolę niestandardową do odpowiedniego użytkownika:

    1. Wybierz pozycję Kontrola dostępu (AIM)>Dodaj>przypisanie roli.

      Zrzut ekranu przedstawiający ekran Kontrola dostępu z wyróżnionym przyciskiem Dodaj przypisanie roli.

    2. Wybierz utworzoną rolę niestandardową, a następnie wybierz pozycję Dalej.

      Zrzut ekranu przedstawiający ekran Dodawanie przypisania roli z rolą niestandardową i wyróżnionym przyciskiem Dalej.

      Spowoduje to otwarcie karty Członkowie ekranu Dodawanie przypisania roli niestandardowej.

    3. Kliknij pozycję + Wybierz członków , aby otworzyć ekran Wybieranie członków .

      Zrzut ekranu przedstawiający ekran Wybieranie członków.

    4. Wyszukaj i wybierz użytkownika, a następnie kliknij pozycję Wybierz.

    5. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać szczegóły obszaru roboczego i uruchamiać zapytanie, ale nie może odczytać danych z żadnych tabel.

Aby udzielić użytkownikowi dostępu do odczytu do określonej tabeli:

  1. Z menu Obszarów roboczych usługi Log Analytics wybierz pozycję Tabele.

  2. Wybierz wielokropek ( ... ) po prawej stronie tabeli i wybierz pozycję Kontrola dostępu (IAM).

    Zrzut ekranu przedstawiający ekran zarządzania tabelami obszaru roboczego usługi Log Analytics z wyróżnionym przyciskiem kontroli dostępu na poziomie tabeli.

  3. Na ekranie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz pozycję Dodaj>przypisanie roli.

  4. Wybierz rolę Czytelnik i wybierz przycisk Dalej.

  5. Kliknij pozycję + Wybierz członków , aby otworzyć ekran Wybieranie członków .

  6. Wyszukaj i wybierz użytkownika, a następnie kliknij pozycję Wybierz.

  7. Wybierz pozycję Przejrzyj i przypisz.

Użytkownik może teraz odczytywać dane z tej konkretnej tabeli. Udziel użytkownikowi dostępu do odczytu do innych tabel w obszarze roboczym zgodnie z potrzebami.

Starsza metoda ustawiania dostępu do odczytu na poziomie tabeli

Starsza metoda na poziomie tabeli używa również ról niestandardowych platformy Azure, aby umożliwić przyznawanie określonym użytkownikom lub grupom dostępu do określonych tabel w obszarze roboczym. Role niestandardowe platformy Azure mają zastosowanie do obszarów roboczych z trybami kontroli dostępu w kontekście obszaru roboczego lub kontekstu zasobu niezależnie od trybu dostępu użytkownika.

Aby zdefiniować dostęp do określonej tabeli, utwórz rolę niestandardową:

  • Ustaw uprawnienia użytkownika w sekcji Akcje definicji roli.
  • Użyj polecenia Microsoft.OperationalInsights/workspaces/query/* , aby udzielić dostępu do wszystkich tabel.
  • Aby wykluczyć dostęp do określonych tabel w przypadku używania symbolu wieloznakowego w obszarze Akcje, wyświetl listę tabel wykluczonych w sekcji NotActions definicji roli.

Poniżej przedstawiono przykłady niestandardowych akcji ról w celu udzielenia i odmowy dostępu do określonych tabel.

Udziel dostępu do tabel Heartbeat i AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Udziel dostępu tylko do tabeli SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Udziel dostępu do wszystkich tabel z wyjątkiem tabeli SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Tabele niestandardowe przechowują dane zbierane ze źródeł danych, takich jak dzienniki tekstowe i interfejs API modułu zbierającego dane HTTP. Aby zidentyfikować typ tabeli, wyświetl informacje o tabeli w usłudze Log Analytics.

Korzystając ze starszej metody dostępu na poziomie tabeli, nie można udzielić dostępu do poszczególnych niestandardowych tabel dzienników na poziomie tabeli, ale można udzielić dostępu do wszystkich niestandardowych tabel dzienników. Aby utworzyć rolę z dostępem do wszystkich niestandardowych tabel dzienników, utwórz rolę niestandardową przy użyciu następujących akcji:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Zagadnienia i ograniczenia dotyczące dostępu na poziomie tabeli

  • W interfejsie użytkownika usługi Log Analytics użytkownicy z poziomem tabeli widzą listę wszystkich tabel w obszarze roboczym, ale mogą pobierać tylko dane z tabel, do których mają dostęp.
  • Standardowe role Czytelnik lub Współautor, które obejmują akcję */odczyt , przesłaniają kontrolę dostępu na poziomie tabeli i zapewniają użytkownikom dostęp do wszystkich danych dziennika.
  • Użytkownik z dostępem na poziomie tabeli, ale żadne uprawnienia na poziomie obszaru roboczego nie mogą uzyskiwać dostępu do danych dziennika z interfejsu API, ale nie z witryny Azure Portal.
  • Administratorzy i właściciele subskrypcji mają dostęp do wszystkich typów danych niezależnie od innych ustawień uprawnień.
  • Właściciele obszarów roboczych są traktowani jak każdy inny użytkownik do kontroli dostępu do poszczególnych tabel.
  • Przypisz role do grup zabezpieczeń zamiast poszczególnych użytkowników, aby zmniejszyć liczbę przypisań. Ta praktyka pomoże również użyć istniejących narzędzi do zarządzania grupami w celu skonfigurowania i zweryfikowania dostępu.

Następne kroki