管理 Log Analytics 工作區中的資料表層級讀取權限

資料表層級的存取設定可讓您授與特定使用者或群組對資料表中資料的唯讀權限。 具有資料表層級讀取權限的使用者可以讀取工作區和資源內容中指定資料表的資料。

本文說明管理資料表層級讀取權限的兩種方式。

注意

我們建議使用這裡所述的第一種方法 (目前處於預覽狀態)。 在預覽期間，此處所述的建議方法不適用於 Microsoft Sentinel 偵測規則，這些規則可能具有比預期更多的資料表存取權。 或者，您可使用設定資料表層級讀取權限的舊版方法，這有一些與自訂記錄資料表相關的限制。 使用任一方法之前，請參閱資料表層級的存取考量和限制。

設定資料表等級讀取權限 (預覽)。

授與資料表層級的讀取權限涉及指派兩個角色給使用者：

• 在工作區層級 - 提供有限權限的自訂角色，可讀取工作區詳細資料並在工作區中執行查詢，但無法讀取任何資料表中的資料。
• 在資料表層級 - 讀者角色，範圍限定於特定資料表。

若要授與使用者或群組對於 Log Analytics工作區的有限權限：

1. 在工作區層級建立自訂角色，讓使用者讀取工作區詳細資料並在工作區中執行查詢，而不需提供對於任何資料表資料的讀取權限：

   1. 瀏覽至您的工作區，然後選取 [存取控制 (IAM)] > [角色]。

   2. 以滑鼠右鍵按一下讀者角色，並選取 [屬性]。

      

      這會開啟 [建立自訂角色] 畫面。

   3. 在畫面的 [基本] 索引標籤上：

      1. 輸入 [自訂角色名稱] 值並選擇性地提供描述。
      2. 將 [基準權限] 設定為 [從頭開始]。

      

   4. 選取 [JSON] 索引標籤 >[編輯]：

      1. 在 "actions" 區段中，新增下列動作：

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. 在 "not actions" 區段中，新增：

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. 選取畫面底部的 [儲存]>[檢閱 + 建立]，然後在下一個頁面上選取 [建立]。

2. 將您的自訂角色指派給相關的使用者：

   1. 選取 [存取控制 (AIM)] > [新增] > [角色指派]。

      

   2. 選取您建立的自訂角色，然後選取 [下一步]。

      

      這會開啟 [新增自訂角色指派] 畫面的 [成員] 索引標籤。

   3. 按一下 [+ 選取成員] 以開啟 [選取成員] 畫面。

      

   4. 搜尋並選取使用者，然後按一下 [選取]。

   5. 選取 [檢閱並指派]。

使用者現在可以讀取工作區詳細資料並執行查詢，但無法讀取任何資料表中的資料。

若要授與使用者對於特定資料表的讀取權限：

1. 從 [Log Analytics 工作區] 功能表選取 [資料表]。

2. 選取資料表右側的省略符號 (...)，然後選取 [存取控制 (IAM)]。

   

3. 在 [存取控制 (IAM)] 畫面上，選取 [新增]>[新增角色指派]。

4. 選取 [讀者] 角色，然後選取 [下一步]。

5. 按一下 [+ 選取成員] 以開啟 [選取成員] 畫面。

6. 搜尋並選取使用者，然後按一下 [選取]。

7. 選取 [檢閱並指派]。

使用者現在可以讀取此特定資料表中的資料。 視需要，授與使用者對於工作區中其他資料表的讀取權限。

設定資料表等級讀取權限的舊版方法

資料表層級的舊版方法也會使用 Azure 自訂角色，讓您授與特定使用者或群組對於工作區中特定資料表的存取權。 不論使用者的存取模式為何，Azure 自訂角色都會套用到使用工作區內容或資源內容存取控制模式的工作區。

若要定義特定資料表的存取權，請建立自訂角色：

• 在角色定義的 [動作] 區段中設定使用者權限。
• 使用 Microsoft.OperationalInsights/workspaces/query/* 授與所有資料表的存取權。
• 若要在 [Actions] 中使用萬用字元時排除特定資料表的存取權，請在角色定義的 [NotActions] 區段中列出排除的資料表。

以下是授與和拒絕特定資料表存取權的自訂角色動作範例。

授與「活動訊號」和 [AzureActivity] 資料表的存取權：

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

僅授與 [SecurityBaseline] 資料表的存取權：

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

授與 [SecurityAlert] 資料表以外的所有資料表存取權：

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

與自訂資料表相關的舊版方法限制

自訂資料表會儲存您從資料來源 (例如文字記錄檔和 HTTP 資料收集器 API) 收集的資料。 若要識別資料表類型，請在 Log Analytics 中檢視資料表資訊。

使用舊版的資料表層級存取方法，您無法在資料表層級授與個別自訂記錄資料表的存取權，但您可以授與所有自訂記錄資料表的存取權。 若要建立可存取所有自訂記錄資料表的角色，請使用下列動作建立自訂角色：

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

資料表層級的存取考量和限制

• 在 Log Analytics UI 中，資料表層級的使用者可以看到工作區中所有資料表的清單，但只能從其可存取的資料表擷取資料。
• 標準讀者或參與者角色，包括 */read 動作、覆寫資料表層級的存取控制，以及讓使用者存取所有記錄資料。
• 具有資料表層級存取權但沒有任何工作區層級權限的使用者可以從 API 存取記錄資料，但無法從 Azure 入口網站進行存取。
• 不管任何其他權限設定為何，訂用帳戶的系統管理員和擁有者都可以存取所有資料類型。
• 工作區擁有者就像任何其他使用者一樣，可以取得每個資料表的存取控制。
• 將角色指派給安全性群組而不是個別使用者，以減少指派數目。 此做法也可協助您使用現有的群組管理工具來設定和驗證存取權。

下一步

• 深入了解管理 Log Analytics 工作區的存取權。