Управление доступом на чтение на уровне таблицы в рабочей области Log Analytics

  • Статья

Параметры доступа на уровне таблицы позволяют предоставлять определенным пользователям или группам разрешения только для чтения для данных в таблице. Пользователи с доступом на чтение на уровне таблицы могут считывать данные из указанной таблицы как в рабочей области, так и в контексте ресурса.

В этой статье описывается два способа управления доступом на чтение на уровне таблицы.

Примечание.

Мы рекомендуем использовать первый описанный здесь метод, который в настоящее время находится в предварительной версии. Во время предварительной версии рекомендуемый метод, описанный здесь, не применяется к правилам обнаружения Microsoft Sentinel, которые могут иметь доступ к более таблицам, чем это было задумано. Кроме того, можно использовать устаревший метод настройки доступа на уровне таблицы для чтения, который имеет некоторые ограничения, связанные с пользовательскими таблицами журналов. Прежде чем использовать любой из методов, ознакомьтесь с рекомендациями и ограничениями доступа на уровне таблицы.

Настройка доступа на чтение на уровне таблицы (предварительная версия)

Предоставление доступа на чтение на уровне таблицы включает назначение пользователю двух ролей:

  • На уровне рабочей области — пользовательская роль, которая предоставляет ограниченные разрешения на чтение сведений о рабочей области и выполнение запроса в рабочей области, но не для чтения данных из каких-либо таблиц.
  • На уровне таблицы — роль читателя , ограниченная определенной таблицей.

Чтобы предоставить пользователю или группе ограниченные разрешения для рабочей области Log Analytics:

  1. Создайте пользовательскую роль на уровне рабочей области, чтобы пользователи считывали сведения о рабочей области и выполняли запрос в рабочей области, не предоставляя доступ на чтение к данным в любых таблицах:

    1. Перейдите в рабочую область и выберите роли управления доступом (IAM).>

    2. Щелкните правой кнопкой мыши роль читателя и выберите "Клонировать".

      Снимок экрана: вкладка

      Откроется экран создания настраиваемой роли .

    3. На вкладке "Основы" экрана:

      1. Введите значение имени настраиваемой роли и при необходимости укажите описание.
      2. Задайте базовые разрешения для запуска с нуля.

      Снимок экрана: вкладка

    4. Выберите вкладку >JSON Edit:

      1. "actions" В разделе добавьте следующие действия:

        "Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read"

      2. "not actions" В разделе добавьте:

        "Microsoft.OperationalInsights/workspaces/sharedKeys/read"

      Снимок экрана, на котором показана вкладка JSON на экране создания настраиваемой роли с выделенным разделом действий в файле JSON.

    5. Нажмите кнопку "Сохранить>рецензирование и создать" в нижней части экрана и создайте ее на следующей странице.

  2. Назначьте настраиваемую роль соответствующему пользователю:

    1. Выберите элемент управления доступом (AIM)>Добавить>назначение ролей.

      Снимок экрана: экран управления доступом с выделенной кнопкой

    2. Выберите созданную пользовательскую роль и нажмите кнопку "Далее".

      Снимок экрана: экран добавления назначения ролей с выделенной настраиваемой ролью и выделенной кнопкой

      Откроется вкладка "Члены" на экране "Добавление настраиваемой роли".

    3. Нажмите кнопку +Выбрать участников, чтобы открыть экран "Выбор элементов".

      Снимок экрана: экран

    4. Найдите и выберите пользователя и нажмите кнопку " Выбрать".

    5. Выберите "Рецензирование" и "Назначить".

Теперь пользователь может считывать сведения о рабочей области и выполнять запрос, но не может считывать данные из каких-либо таблиц.

Чтобы предоставить пользователю доступ на чтение к определенной таблице:

  1. В меню рабочих областей Log Analytics выберите "Таблицы".

  2. Выберите многоточие (... ) справа от таблицы и выберите элемент управления доступом (IAM).

    Снимок экрана: экран управления таблицами рабочей области Log Analytics с выделенной кнопкой управления доступом на уровне таблицы.

  3. На экране управления доступом (IAM) выберите добавить>назначение ролей.

  4. Выберите роль читателя и нажмите кнопку "Далее".

  5. Нажмите кнопку +Выбрать участников, чтобы открыть экран "Выбор элементов".

  6. Найдите и выберите пользователя и нажмите кнопку " Выбрать".

  7. Выберите "Рецензирование" и "Назначить".

Теперь пользователь может считывать данные из этой конкретной таблицы. При необходимости предоставьте пользователю доступ на чтение к другим таблицам в рабочей области.

Устаревший метод настройки доступа для чтения на уровне таблицы

Устаревший метод уровня таблицы также использует пользовательские роли Azure, чтобы предоставить определенным пользователям или группам доступ к определенным таблицам в рабочей области. Пользовательские роли Azure применяются к рабочим областям с режимом управления доступом в контексте рабочей области или контексте ресурсов независимо от режима доступа пользователя.

Чтобы определить доступ к определенной таблице, создайте пользовательскую роль:

  • Задайте разрешения пользователя в разделе "Действия " определения роли.
  • Используйте для Microsoft.OperationalInsights/workspaces/query/* предоставления доступа ко всем таблицам.
  • Чтобы исключить доступ к определенным таблицам при использовании подстановочного знака в actions, перечислите таблицы, исключенные из раздела NotActions определения роли.

Ниже приведены примеры действий настраиваемых ролей для предоставления и отзыва доступа к конкретным таблицам.

Предоставление доступа к таблицам Heartbeat и AzureActivity:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Предоставление доступа только к таблице SecurityBaseline:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Предоставление доступа ко всем таблицам, за исключением SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Пользовательские таблицы хранят данные, собранные из источников данных, таких как текстовые журналы и API сборщика данных HTTP. Чтобы определить тип таблицы, просмотрите сведения о таблице в Log Analytics.

Используя устаревший метод доступа на уровне таблицы, вы не можете предоставить доступ к отдельным пользовательским таблицам журналов на уровне таблицы, но вы можете предоставить доступ ко всем настраиваемым таблицам журналов. Чтобы создать роль с доступом ко всем таблицам пользовательских журналов, создайте настраиваемую роль с помощью следующего действия:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Рекомендации и ограничения доступа на уровне таблицы

  • В пользовательском интерфейсе Log Analytics пользователи с табличным уровнем могут просматривать список всех таблиц в рабочей области, но могут получать только данные из таблиц, к которым у них есть доступ.
  • Стандартные роли чтения или участника, которые включают действие */read , переопределяют управление доступом на уровне таблицы и предоставляют пользователям доступ ко всем данным журнала.
  • Пользователь с доступом на уровне таблицы, но разрешения на уровне рабочей области не могут получать доступ к данным журнала из API, но не из портал Azure.
  • Администраторы и владельцы подписки имеют доступ ко всем типам данных независимо от других параметров разрешений.
  • Владельцы рабочих областей рассматриваются как другие пользователи для управления доступом на основе таблиц.
  • Назначайте роли группам безопасности, а не отдельным пользователям, чтобы сократить количество назначений. Это также позволит использовать существующие средства управления группами для настройки и проверки доступа.

Следующие шаги