Gerir o acesso a dados de registo e áreas de trabalho no Azure MonitorManage access to log data and workspaces in Azure Monitor

O Azure Monitor armazena dados de registo num espaço de trabalho do Log Analytics.Azure Monitor stores log data in a Log Analytics workspace. Um espaço de trabalho é um recipiente que inclui informações de dados e configuração.A workspace is a container that includes data and configuration information. Para gerir o acesso aos dados de registo, executa várias tarefas administrativas relacionadas com o seu espaço de trabalho.To manage access to log data, you perform various administrative tasks related to your workspace.

Este artigo explica como gerir o acesso aos registos e administrar os espaços de trabalho que os contêm, incluindo como conceder acesso a:This article explains how to manage access to logs and to administer the workspaces that contain them, including how to grant access to:

  • O espaço de trabalho utilizando permissões de espaço de trabalho.The workspace using workspace permissions.
  • Utilizadores que precisam de acesso a dados de registo de recursos específicos usando o controlo de acesso baseado em funções Azure (Azure RBAC) - também conhecido como contexto de recursosUsers who need access to log data from specific resources using Azure role-based access control (Azure RBAC) - also known as resource-context
  • Utilizadores que precisam de acesso a registar dados numa tabela específica no espaço de trabalho usando o Azure RBAC.Users who need access to log data in a specific table in the workspace using Azure RBAC.

Para compreender os conceitos de Logs em torno do Azure RBAC e estratégias de acesso, leia a conceção da sua implementação de Registos de Monitor AzureTo understand the Logs concepts around Azure RBAC and access strategies, read designing your Azure Monitor Logs deployment

Configure o modo de controlo de acessoConfigure access control mode

Pode visualizar o modo de controlo de acesso configurado num espaço de trabalho a partir do portal Azure ou com o Azure PowerShell.You can view the access control mode configured on a workspace from the Azure portal or with Azure PowerShell. Pode alterar esta definição utilizando um dos seguintes métodos suportados:You can change this setting using one of the following supported methods:

  • Portal do AzureAzure portal

  • Azure PowerShellAzure PowerShell

  • Modelo Azure Resource ManagerAzure Resource Manager template

No portal do AzureFrom the Azure portal

Pode ver o atual modo de controlo do espaço de trabalho na página 'Vista Geral' para o espaço de trabalho no menu do espaço de trabalho Log Analytics.You can view the current workspace access control mode on the Overview page for the workspace in the Log Analytics workspace menu.

Ver modo de controlo de acesso ao espaço de trabalho

  1. Inicie sessão no Portal do Azure em https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.
  2. No portal Azure, selecione Log Analytics > seu espaço de trabalho.In the Azure portal, select Log Analytics workspaces > your workspace.

Pode alterar esta definição a partir da página Propriedades do espaço de trabalho.You can change this setting from the Properties page of the workspace. A alteração da definição será desativada se não tiver permissões para configurar o espaço de trabalho.Changing the setting will be disabled if you don't have permissions to configure the workspace.

Alterar o modo de acesso ao espaço de trabalho

Utilizar o PowerShellUsing PowerShell

Utilize o seguinte comando para examinar o modo de controlo de acesso para todos os espaços de trabalho na subscrição:Use the following command to examine the access control mode for all workspaces in the subscription:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

A saída deve assemelhar-se ao seguinte:The output should resemble the following:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Um valor de False meios o espaço de trabalho é configurado com o modo de acesso ao contexto do espaço de trabalho.A value of False means the workspace is configured with the workspace-context access mode. Um valor de True meios o espaço de trabalho é configurado com o modo de acesso ao contexto de recursos.A value of True means the workspace is configured with the resource-context access mode.

Nota

Se um espaço de trabalho é devolvido sem um valor boolean e está em branco, isso também corresponde aos resultados de um False valor.If a workspace is returned without a boolean value and is blank, this also matches the results of a False value.

Utilize o seguinte script para definir o modo de controlo de acesso para um espaço de trabalho específico para a permissão de contexto de recursos:Use the following script to set the access control mode for a specific workspace to the resource-context permission:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Utilize o seguinte script para definir o modo de controlo de acesso para todos os espaços de trabalho na subscrição da permissão de contexto de recursos:Use the following script to set the access control mode for all workspaces in the subscription to the resource-context permission:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Utilizar um modelo do Resource ManagerUsing a Resource Manager template

Para configurar o modo de acesso num modelo Azure Resource Manager, deslogeu a bandeira de recurso enableLogAccessSingOnlyResourcePermissions no espaço de trabalho para um dos seguintes valores.To configure the access mode in an Azure Resource Manager template, set the enableLogAccessUsingOnlyResourcePermissions feature flag on the workspace to one of the following values.

  • falso: Coloque o espaço de trabalho em permissões de contexto de espaço de trabalho.false: Set the workspace to workspace-context permissions. Esta é a definição padrão se a bandeira não estiver definida.This is the default setting if the flag isn't set.
  • verdadeiro: Desaprote o espaço de trabalho para permissões de contexto de recursos.true: Set the workspace to resource-context permissions.

Gerir o acesso usando permissões de espaço de trabalhoManage access using workspace permissions

Cada espaço de trabalho pode ter várias contas associadas a ele, e cada conta pode ter acesso a vários espaços de trabalho.Each workspace can have multiple accounts associated with it, and each account can have access to multiple workspaces. O acesso é gerido utilizando o controlo de acesso baseado em funções Azure (Azure RBAC).Access is managed using Azure role-based access control (Azure RBAC).

As atividades seguintes também necessitam de permissões do Azure:The following activities also require Azure permissions:

AçãoAction Permissões do Azure NecessáriasAzure Permissions Needed NotasNotes
Adicionar e remover soluções de monitorizaçãoAdding and removing monitoring solutions Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write
Estas permissões têm de ser concedidas ao nível do grupo de recursos ou da subscrição.These permissions need to be granted at resource group or subscription level.
Alterar o escalão de preçoChanging the pricing tier Microsoft.OperationalInsights/workspaces/*/write
Ver dados nos mosaicos de solução Backup e Site RecoveryViewing data in the Backup and Site Recovery solution tiles Administrador/CoadministradorAdministrator / Co-administrator Acede aos recursos implementados com o modelo de implementação clássicaAccesses resources deployed using the classic deployment model
Criar um espaço de trabalho no portal do AzureCreating a workspace in the Azure portal Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Ver propriedades básicas do espaço de trabalho e entrar na lâmina do espaço de trabalho no portalView workspace basic properties and enter the workspace blade in the portal Microsoft.OperationalInsights/workspaces/read
Registos de consulta usando qualquer interfaceQuery logs using any interface Microsoft.OperationalInsights/workspaces/query/read
Aceda a todos os tipos de registos usando consultasAccess all log types using queries Microsoft.OperationalInsights/workspaces/query/*/read
Aceda a uma tabela de registos específicaAccess a specific log table Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Leia as chaves do espaço de trabalho para permitir o envio de registos para este espaço de trabalhoRead the workspace keys to allow sending logs to this workspace Microsoft.OperationalInsights/workspaces/sharedKeys/action

Gerir o acesso usando permissões AzureManage access using Azure permissions

Para conceder acesso à área de trabalho do Log Analytics com permissões do Azure, siga os passos em Utilize atribuições de funções para gerir o acesso aos recursos de subscrição do Azure.To grant access to the Log Analytics workspace using Azure permissions, follow the steps in use role assignments to manage access to your Azure subscription resources. Por exemplo, funções personalizadas, ver funções personalizadas exemploFor example custom roles, see Example custom roles

A Azure tem duas funções de utilizador incorporadas para espaços de trabalho Log Analytics:Azure has two built-in user roles for Log Analytics workspaces:

  • Leitor do Log AnalyticsLog Analytics Reader
  • Contribuidor do Log AnalyticsLog Analytics Contributor

Os membros da função Leitor do Log Analytics podem:Members of the Log Analytics Reader role can:

  • Ver e procurar todos os dados de monitorizaçãoView and search all monitoring data
  • Ver e monitorizar as definições, incluindo ver a configuração dos diagnósticos do Azure em todos os recursos do Azure.View monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.

O papel do Leitor de Log Analytics inclui as seguintes ações do Azure:The Log Analytics Reader role includes the following Azure actions:

TipoType PermissãoPermission DescriçãoDescription
AçãoAction */read Capacidade de visualizar todos os recursos Azure e configuração de recursos.Ability to view all Azure resources and resource configuration. Inclui ver:Includes viewing:
o estado da extensão da máquina virtualVirtual machine extension status
a configuração dos diagnósticos do Azure nos recursosConfiguration of Azure diagnostics on resources
Todas as propriedades e configurações de todos os recursos.All properties and settings of all resources.
Para espaços de trabalho, permite que todas as permissões ilimitadas leiam as definições do espaço de trabalho e realizem consultas nos dados.For workspaces, it allows full unrestricted permissions to read the workspace settings and perform query on the data. Veja mais opções granulares acima.See more granular options above.
AçãoAction Microsoft.OperationalInsights/workspaces/analytics/query/action Preprecados, não há necessidade de atribuí-los aos utilizadores.Deprecated, no need to assign them to users.
AçãoAction Microsoft.OperationalInsights/workspaces/search/action Preprecados, não há necessidade de atribuí-los aos utilizadores.Deprecated, no need to assign them to users.
AçãoAction Microsoft.Support/* Capacidade para abrir pedidos de suporteAbility to open support cases
Ação NãoNot Action Microsoft.OperationalInsights/workspaces/sharedKeys/read Impede a leitura da chave do espaço de trabalho necessária para utilizar a API de recolha de dados e instalar agentes.Prevents reading of workspace key required to use the data collection API and to install agents. Isto impede o utilizador de adicionar novos recursos ao espaço de trabalhoThis prevents the user from adding new resources to the workspace

Os membros da função Contribuidor do Log Analytics podem:Members of the Log Analytics Contributor role can:

  • Inclui todos os privilégios da função Log Analytics Reader, permitindo ao utilizador ler todos os dados de monitorizaçãoIncludes all the privileges of the Log Analytics Reader role, allowing the user to read all monitoring data

  • Criar e configurar contas de automaçãoCreate and configure Automation accounts

  • Adicionar e remover soluções de gestãoAdd and remove management solutions

    Nota

    Para realizar com sucesso as duas últimas ações, esta permissão deve ser concedida ao nível do grupo de recursos ou da subscrição.In order to successfully perform the last two actions, this permission needs to be granted at the resource group or subscription level.

  • Leia as chaves da conta de armazenamentoRead storage account keys

  • Configure a recolha de registos da Azure StorageConfigure the collection of logs from Azure Storage

  • Editar as definições de monitorização para recursos do Azure, incluindoEdit monitoring settings for Azure resources, including

    • Adicionar a extensão de VM a VMsAdding the VM extension to VMs
    • Configurar os diagnósticos do Azure em todos os recursos do AzureConfiguring Azure diagnostics on all Azure resources

Nota

Pode utilizar a capacidade de adicionar uma extensão de máquina virtual a máquinas virtuais para obter o controlo total das mesmas.You can use the ability to add a virtual machine extension to a virtual machine to gain full control over a virtual machine.

A função de Contribuinte Log Analytics inclui as seguintes ações do Azure:The Log Analytics Contributor role includes the following Azure actions:

PermissãoPermission DescriptionDescription
*/read Capacidade para ver todos os recursos e configuração dos mesmos.Ability to view all resources and resource configuration. Inclui ver:Includes viewing:
o estado da extensão da máquina virtualVirtual machine extension status
a configuração dos diagnósticos do Azure nos recursosConfiguration of Azure diagnostics on resources
Todas as propriedades e configurações de todos os recursos.All properties and settings of all resources.
Para espaços de trabalho, permite que permissões completas e ilimitadas leiam a definição do espaço de trabalho e realizem consultas nos dados.For workspaces, it allows full unrestricted permissions to read the workspace setting and perform query on the data. Veja mais opções granulares acima.See more granular options above.
Microsoft.Automation/automationAccounts/* Capacidade para criar, e configurar contas de Automatização do Azure, incluindo adicionar e editar runbooksAbility to create and configure Azure Automation accounts, including adding and editing runbooks
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Adicionar, atualizar e remover extensões de máquinas virtuais, incluindo a extensão Microsoft Monitoring Agent e o Agente do OMS para a extensão do LinuxAdd, update and remove virtual machine extensions, including the Microsoft Monitoring Agent extension and the OMS Agent for Linux extension
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Ver a chave da conta de armazenamento.View the storage account key. Necessária para configurar o Log Analytics para ler registos a partir das contas de Armazenamento do AzureRequired to configure Log Analytics to read logs from Azure storage accounts
Microsoft.Insights/alertRules/* Adicionar, atualizar e remover regras de alertasAdd, update, and remove alert rules
Microsoft.Insights/diagnosticSettings/* Adicionar, atualizar e remover as definições de diagnósticos em recursos do AzureAdd, update, and remove diagnostics settings on Azure resources
Microsoft.OperationalInsights/* Adicione, atualize e remova a configuração para os espaços de trabalho do Log Analytics.Add, update, and remove configuration for Log Analytics workspaces. Para editar definições avançadas do espaço de trabalho, o utilizador precisa Microsoft.OperationalInsights/workspaces/write .To edit workspace advanced settings, user needs Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/* Adicionar e remover soluções de gestãoAdd and remove management solutions
Microsoft.Resources/deployments/* Criar e eliminar as implementações.Create and delete deployments. Necessário para adicionar e remover soluções, áreas de trabalho e contas de automatizaçãoRequired for adding and removing solutions, workspaces, and automation accounts
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Criar e eliminar as implementações.Create and delete deployments. Necessário para adicionar e remover soluções, áreas de trabalho e contas de automatizaçãoRequired for adding and removing solutions, workspaces, and automation accounts

Para adicionar e remover utilizadores de uma função de utilizador, é necessário ter as permissões Microsoft.Authorization/*/Delete e Microsoft.Authorization/*/Write.To add and remove users to a user role, it is necessary to have Microsoft.Authorization/*/Delete and Microsoft.Authorization/*/Write permission.

Utilize estas funções para conceder aos utilizadores acesso em âmbitos diferentes:Use these roles to give users access at different scopes:

  • Subscrição - acesso a todas as áreas de trabalho da subscriçãoSubscription - Access to all workspaces in the subscription
  • Grupo de Recursos - acesso a todas as áreas de trabalho no grupo de recursosResource Group - Access to all workspace in the resource group
  • Recurso - acesso apenas à área de trabalho especificadaResource - Access to only the specified workspace

Recomendamos a realização de atribuições ao nível dos recursos (espaço de trabalho) para garantir um controlo preciso do acesso.We recommend performing assignments at the resource level (workspace) to assure accurate access control. Utilize funções personalizadas para criar funções com as permissões específicas necessárias.Use custom roles to create roles with the specific permissions needed.

Permissões de recursosResource permissions

Quando os utilizadores consultam os registos de um espaço de trabalho utilizando o acesso ao contexto de recursos, terão as seguintes permissões no recurso:When users query logs from a workspace using resource-context access, they'll have the following permissions on the resource:

PermissãoPermission DescriptionDescription
Microsoft.Insights/logs/<tableName>/read

Exemplos:Examples:
Microsoft.Insights/logs/*/read
Microsoft.Insights/logs/Heartbeat/read
Capacidade de visualizar todos os dados de registo para o recurso.Ability to view all log data for the resource.
Microsoft.Insights/diagnosticSettings/write Capacidade de configurar a definição de diagnósticos para permitir a configuração de registos para este recurso.Ability to configure diagnostics setting to allow setting up logs for this resource.

/reada permissão é geralmente concedida a partir de uma função que inclui * /ler ou * permissões, tais como as funções de Leitor incorporado e Contribuinte./read permission is usually granted from a role that includes */read or * permissions such as the built-in Reader and Contributor roles. Papéis personalizados que incluem ações específicas ou funções incorporadas dedicadas podem não incluir esta permissão.Custom roles that include specific actions or dedicated built-in roles might not include this permission.

Consulte a definição do controlo de acesso por tabela abaixo se pretender criar diferentes controlos de acesso para diferentes tabelas.See Defining per-table access control below if you want to create different access control for different tables.

Exemplos de funções personalizadasCustom role examples

  1. Para conceder a um utilizador acesso ao registo de dados a partir dos seus recursos, execute o seguinte:To grant a user access to log data from their resources, perform the following:

    • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursosConfigure the workspace access control mode to use workspace or resource permissions

    • Conceda aos utilizadores */read ou Microsoft.Insights/logs/*/read permissões aos seus recursos.Grant users */read or Microsoft.Insights/logs/*/read permissions to their resources. Se já lhes for atribuído o papel de Leitor de Log Analytics no espaço de trabalho, é suficiente.If they are already assigned the Log Analytics Reader role on the workspace, it is sufficient.

  2. Para conceder a um utilizador acesso ao registo de dados a partir dos seus recursos e configurar os seus recursos para enviar registos para o espaço de trabalho, execute o seguinte:To grant a user access to log data from their resources and configure their resources to send logs to the workspace, perform the following:

    • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursosConfigure the workspace access control mode to use workspace or resource permissions

    • Conceda aos utilizadores as seguintes permissões no espaço de trabalho: Microsoft.OperationalInsights/workspaces/read e Microsoft.OperationalInsights/workspaces/sharedKeys/action .Grant users the following permissions on the workspace: Microsoft.OperationalInsights/workspaces/read and Microsoft.OperationalInsights/workspaces/sharedKeys/action. Com estas permissões, os utilizadores não podem realizar nenhuma consulta ao nível do espaço de trabalho.With these permissions, users cannot perform any workspace-level queries. Só podem enumerar o espaço de trabalho e usá-lo como destino para configurações de diagnóstico ou configuração de agente.They can only enumerate the workspace and use it as a destination for diagnostic settings or agent configuration.

    • Conceda aos utilizadores as seguintes permissões aos seus recursos: Microsoft.Insights/logs/*/read e Microsoft.Insights/diagnosticSettings/write .Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read and Microsoft.Insights/diagnosticSettings/write. Se já lhes for atribuída a função De Contribuinte Log Analytics, atribuída a função Reader ou */read permissões nesse recurso, é suficiente.If they are already assigned the Log Analytics Contributor role, assigned the Reader role, or granted */read permissions on this resource, it is sufficient.

  3. Para conceder a um utilizador acesso ao registo de dados a partir dos seus recursos sem ser capaz de ler eventos de segurança e enviar dados, execute o seguinte:To grant a user access to log data from their resources without being able to read security events and send data, perform the following:

    • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursosConfigure the workspace access control mode to use workspace or resource permissions

    • Conceda aos utilizadores as seguintes permissões aos seus recursos: Microsoft.Insights/logs/*/read .Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read.

    • Adicione o seguinte NonAction para impedir os utilizadores de ler o tipo SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read .Add the following NonAction to block users from reading the SecurityEvent type: Microsoft.Insights/logs/SecurityEvent/read. A Não-Aacção deve desempenhar o mesmo papel personalizado que a ação que forneça a permissão de leitura Microsoft.Insights/logs/*/read ().The NonAction shall be in the same custom role as the action that provides the read permission (Microsoft.Insights/logs/*/read). Se o utilizador inerente à ação de leitura a partir de outra função atribuída a este recurso ou ao grupo de subscrição ou recursos, poderá ler todos os tipos de registo.If the user inherent the read action from another role that is assigned to this resource or to the subscription or resource group, they would be able to read all log types. Isto também é verdade se herdam, */read que existem, por exemplo, com o papel de Leitor ou Contribuinte.This is also true if they inherit */read, that exist for example, with the Reader or Contributor role.

  4. Para conceder a um utilizador acesso ao registo de dados a partir dos seus recursos e ler todos os dados de login da AD Azure e ler os dados de registo de solução de Gestão de Atualização a partir do espaço de trabalho, execute os seguintes:To grant a user access to log data from their resources and read all Azure AD sign-in and read Update Management solution log data from the workspace, perform the following:

    • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursosConfigure the workspace access control mode to use workspace or resource permissions

    • Conceda aos utilizadores as seguintes permissões no espaço de trabalho:Grant users the following permissions on the workspace:

      • Microsoft.OperationalInsights/workspaces/read – necessário para que o utilizador possa enumerar o espaço de trabalho e abrir a lâmina do espaço de trabalho no portal AzureMicrosoft.OperationalInsights/workspaces/read – required so the user can enumerate the workspace and open the workspace blade in the Azure portal
      • Microsoft.OperationalInsights/workspaces/query/read – necessário para cada utilizador que possa executar consultasMicrosoft.OperationalInsights/workspaces/query/read – required for every user that can execute queries
      • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read – ser capaz de ler registos de login Azure ADMicrosoft.OperationalInsights/workspaces/query/SigninLogs/read – to be able to read Azure AD sign-in logs
      • Microsoft.OperationalInsights/workspaces/query/Update/read – ser capaz de ler registos de soluções de Gestão de AtualizaçãoMicrosoft.OperationalInsights/workspaces/query/Update/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – ser capaz de ler registos de soluções de Gestão de AtualizaçãoMicrosoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read – ser capaz de ler registos de gestão de atualizaçãoMicrosoft.OperationalInsights/workspaces/query/UpdateSummary/read – to be able to read Update management logs
      • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read – necessária para poder utilizar a solução de Gestão de AtualizaçãoMicrosoft.OperationalInsights/workspaces/query/Heartbeat/read – required to be able to use Update Management solution
      • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read – necessária para poder utilizar a solução de Gestão de AtualizaçãoMicrosoft.OperationalInsights/workspaces/query/ComputerGroup/read – required to be able to use Update Management solution
    • Conceda aos utilizadores as seguintes permissões aos seus recursos: */read , atribuídos à função Reader, ou Microsoft.Insights/logs/*/read .Grant users the following permissions to their resources: */read, assigned to the Reader role, or Microsoft.Insights/logs/*/read.

Nível de mesa Azure RBACTable level Azure RBAC

O nível de tabela Azure RBAC permite-lhe definir mais controlo granular aos dados num espaço de trabalho log analytics, além das outras permissões.Table level Azure RBAC allows you to define more granular control to data in a Log Analytics workspace in addition to the other permissions. Este controlo permite definir tipos de dados específicos que são acessíveis apenas a um conjunto específico de utilizadores.This control allows you to define specific data types that are accessible only to a specific set of users.

Implementa o controlo de acesso à mesa com funções personalizadas Azure para conceder acesso a mesas específicas no espaço de trabalho.You implement table access control with Azure custom roles to either grant access to specific tables in the workspace. Estas funções são aplicadas em espaços de trabalho com modos de controlo de acesso ao espaço de trabalho ou ao contexto de recursos, independentemente do modo de acessodo utilizador.These roles are applied to workspaces with either workspace-context or resource-context access control modes regardless of the user's access mode.

Crie uma função personalizada com as seguintes ações para definir o acesso ao controlo de acesso à mesa.Create a custom role with the following actions to define access to table access control.

  • Para conceder acesso a uma tabela, inclua-a na secção Ações da definição de função.To grant access to a table, include it in the Actions section of the role definition. Para subtrair o acesso das Ações Permitidas, inclua-o na secção NotActions.To subtract access from the allowed Actions, include it in the NotActions section.
  • Utilize microsoft.OperationalInsights/workspaces/consulta/* para especificar todas as tabelas.Use Microsoft.OperationalInsights/workspaces/query/* to specify all tables.

Por exemplo, para criar uma função com acesso às tabelas Heartbeat e AzureActivity, criar um papel personalizado utilizando as seguintes ações:For example, to create a role with access to the Heartbeat and AzureActivity tables, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Para criar uma função com acesso apenas à tabela SecurityBaseline, crie uma função personalizada utilizando as seguintes ações:To create a role with access to only the SecurityBaseline table, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Os exemplos acima definem uma lista de tabelas que são permitidas.The examples above define a list of tables that are allowed. Este exemplo mostra a definição de lista bloqueada quando um utilizador pode aceder a todas as tabelas, menos a tabela SecurityAlert:This example shows blocked list definition when a user can access all tables but the SecurityAlert table:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Registos personalizadosCustom logs

Os registos personalizados são criados a partir de fontes de dados, tais como registos personalizados e API de Colecionador de Dados HTTP.Custom logs are created from data sources such as custom logs and HTTP Data Collector API. A forma mais fácil de identificar o tipo de registo é verificando as tabelas listadas nos Registos Personalizados no esquema de registo.The easiest way to identify the type of log is by checking the tables listed under Custom Logs in the log schema.

Não pode conceder acesso a registos personalizados individuais, mas pode conceder acesso a todos os registos personalizados.You can't grant access to individual custom logs, but you can grant access to all custom logs. Para criar uma função com acesso a todos os registos personalizados, crie um papel personalizado utilizando as seguintes ações:To create a role with access to all custom logs, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Uma abordagem alternativa para gerir o acesso a registos personalizados é atribuí-los a um recurso Azure e gerir o acesso usando o paradigma de contexto de recursos.An alternative approach to manage access to custom logs is to assign them to an Azure resource and manage access using the resource-context paradigm. Para utilizar este método, deve incluir o ID de recurso especificando-o no cabeçalho x-ms-AzureResourceId quando os dados são ingeridos para Registar aNalítico através da API do Colecionador de Dados HTTP.To use this method, you must include the resource ID by specifying it in the x-ms-AzureResourceId header when data is ingested to Log Analytics via the HTTP Data Collector API. O ID do recurso deve ser válido e ter regras de acesso aplicadas a ele.The resource ID must be valid and have access rules applied to it. Depois de ingeridos os registos, são acessíveis a quem tem acesso lido ao recurso, como explicado aqui.After the logs are ingested, they are accessible to those with read access to the resource, as explained here.

Por vezes, os registos personalizados provêm de fontes que não estão diretamente associadas a um recurso específico.Sometimes custom logs come from sources that are not directly associated to a specific resource. Neste caso, crie um grupo de recursos apenas para gerir o acesso a estes registos.In this case, create a resource group just to manage access to these logs. O grupo de recursos não incorre em qualquer custo, mas dá-lhe um ID de recurso válido para controlar o acesso aos registos personalizados.The resource group does not incur any cost, but gives you a valid resource ID to control access to the custom logs. Por exemplo, se uma firewall específica estiver a enviar registos personalizados, crie um grupo de recursos chamado "MyFireWallLogs" e certifique-se de que os pedidos da API contêm o ID de recursos de "MyFireWallLogs".For example, if a specific firewall is sending custom logs, create a resource group called "MyFireWallLogs" and make sure that the API requests contain the resource ID of "MyFireWallLogs". Os registos de registos de firewall são então acessíveis apenas a utilizadores que tenham acesso a MyFireWallLogs ou aqueles com acesso total ao espaço de trabalho.The firewall log records are then accessible only to users that were granted access to either MyFireWallLogs or those with full workspace access.

ConsideraçõesConsiderations

  • Se um utilizador tiver permissão de leitura global com as funções padrão reader ou contribuinte que incluem a ação * /ler, irá sobrepor-se ao controlo de acesso por tabela e dar-lhes acesso a todos os dados de registo.If a user is granted global read permission with the standard Reader or Contributor roles that include the */read action, it will override the per-table access control and give them access to all log data.
  • Se um utilizador tiver acesso por tabela, mas sem outras permissões, poderá aceder aos dados de registo da API, mas não a partir do portal Azure.If a user is granted per-table access but no other permissions, they would be able to access log data from the API but not from the Azure portal. Para fornecer acesso a partir do portal Azure, utilize o Log Analytics Reader como função base.To provide access from the Azure portal, use Log Analytics Reader as its base role.
  • Os administradores e proprietários da subscrição terão acesso a todos os tipos de dados, independentemente de quaisquer outras definições de permissão.Administrators and owners of the subscription will have access to all data types regardless of any other permission settings.
  • Os proprietários do espaço de trabalho são tratados como qualquer outro utilizador para o controlo de acesso por mesa.Workspace owners are treated like any other user for per-table access control.
  • Recomendamos atribuir funções a grupos de segurança em vez de utilizadores individuais para reduzir o número de atribuições.We recommend assigning roles to security groups instead of individual users to reduce the number of assignments. Isto também o ajudará a usar as ferramentas de gestão do grupo existentes para configurar e verificar o acesso.This will also help you use existing group management tools to configure and verify access.

Passos seguintesNext steps