إدارة الوصول للقراءة على مستوى الجدول في مساحة عمل Log Analytics

تتيح لك إعدادات الوصول على مستوى الجدول منح مستخدمين أو مجموعات معينة إذنا للقراءة فقط للبيانات الموجودة في جدول. يمكن للمستخدمين الذين لديهم وصول للقراءة على مستوى الجدول قراءة البيانات من الجدول المحدد في كل من مساحة العمل وسياق المورد.

توضح هذه المقالة طريقتين لإدارة الوصول للقراءة على مستوى الجدول.

تعيين الوصول للقراءة على مستوى الجدول (معاينة)

يتضمن منح حق الوصول للقراءة على مستوى الجدول تعيين دورين للمستخدم:

• على مستوى مساحة العمل - دور مخصص يوفر أذونات محدودة لقراءة تفاصيل مساحة العمل وتشغيل استعلام في مساحة العمل، ولكن ليس لقراءة البيانات من أي جداول.
• على مستوى الجدول - دور القارئ ، محدد النطاق للجدول المحدد.

لمنح مستخدم أو مجموعة أذونات محدودة لمساحة عمل Log Analytics:

1. إنشاء دور مخصص على مستوى مساحة العمل للسماح للمستخدمين بقراءة تفاصيل مساحة العمل وتشغيل استعلام في مساحة العمل، دون توفير الوصول للقراءة إلى البيانات في أي جداول:

   1. انتقل إلى مساحة العمل وحدد Access control (IAM)>Roles.

   2. انقر بزر الماوس الأيمن فوق دور القارئ وحدد Clone.

      

      يؤدي ذلك إلى فتح شاشة إنشاء دور مخصص.

   3. في علامة التبويب Basics على الشاشة:

      1. أدخل قيمة اسم دور مخصص، وقم، اختياريا، بتوفير وصف.
      2. تعيين أذونات الأساس إلى البدء من البداية.

      

   4. حدد علامة التبويب >JSON Edit:

      1. في "actions" القسم ، أضف هذه الإجراءات:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. في "not actions" القسم ، أضف:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. حدد Save>Review + Create في أسفل الشاشة، ثم Create في الصفحة التالية.

2. تعيين دورك المخصص للمستخدم ذي الصلة:

   1. حدد Access control (AIM)>Add>Add role assignment.

      

   2. حدد الدور المخصص الذي أنشأته وحدد التالي.

      

      يؤدي ذلك إلى فتح علامة التبويب الأعضاء في شاشة إضافة تعيين دور مخصص.

   3. انقر فوق + Select members لفتح شاشة Select members .

      

   4. ابحث عن مستخدم وحدده وانقر فوق تحديد.

   5. حدد Review and assign.

يمكن للمستخدم الآن قراءة تفاصيل مساحة العمل وتشغيل استعلام، ولكن لا يمكنه قراءة البيانات من أي جداول.

لمنح المستخدم حق الوصول للقراءة إلى جدول معين:

1. من قائمة مساحات عمل Log Analytics، حدد Tables.

2. حدد علامة الحذف ( ... ) على يمين الجدول وحدد Access control (IAM).

   

3. في شاشة Access control (IAM)، حدد Add>Add role assignment.

4. حدد دور القارئ وحدد التالي.

5. انقر فوق + Select members لفتح شاشة Select members .

6. ابحث عن المستخدم وحدده وانقر فوق تحديد.

7. حدد Review and assign.

يمكن للمستخدم الآن قراءة البيانات من هذا الجدول المحدد. امنح المستخدم حق الوصول للقراءة إلى الجداول الأخرى في مساحة العمل، حسب الحاجة.

الطريقة القديمة لإعداد الوصول للقراءة على مستوى الجدول

تستخدم الطريقة القديمة على مستوى الجدول أيضا أدوار Azure المخصصة للسماح لك بمنح مستخدمين أو مجموعات معينة حق الوصول إلى جداول معينة في مساحة العمل. تنطبق أدوار Azure المخصصة على مساحات العمل مع أوضاع التحكم في الوصول إلى سياق مساحة العمل أو سياق المورد بغض النظر عن وضع وصول المستخدم.

لتعريف الوصول إلى جدول معين، قم بإنشاء دور مخصص:

• تعيين أذونات المستخدم في قسم الإجراءات في تعريف الدور.
• استخدم Microsoft.OperationalInsights/workspaces/query/* لمنح حق الوصول إلى جميع الجداول.
• لاستبعاد الوصول إلى جداول معينة عند استخدام حرف بدل في الإجراءات، قم بإدراج الجداول المستبعدة في قسم NotActions من تعريف الدور.

فيما يلي أمثلة على إجراءات الدور المخصصة لمنح الوصول إلى جداول معينة ورفضه.

منح حق الوصول إلى جداول Heartbeat وAzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

منح حق الوصول إلى جدول SecurityBaseline فقط:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

منح حق الوصول إلى كافة الجداول باستثناء جدول SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

قيود الأسلوب القديم المتعلق بالجداول المخصصة

تخزن الجداول المخصصة البيانات التي تجمعها من مصادر البيانات مثل سجلات النص وواجهة برمجة تطبيقات HTTP Data Collector. لتعريف نوع الجدول، اعرض معلومات الجدول في Log Analytics.

باستخدام الأسلوب القديم للوصول على مستوى الجدول، لا يمكنك منح حق الوصول إلى جداول السجل المخصصة الفردية على مستوى الجدول، ولكن يمكنك منح حق الوصول إلى جميع جداول السجل المخصصة. لإنشاء دور يتمتع بإمكانية الوصول إلى جميع سجلات الجداول المخصصة، أنشئ دورًا مخصصًا باستخدام الإجراءات التالية:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

اعتبارات وقيود الوصول على مستوى الجدول

• في واجهة مستخدم Log Analytics، يمكن للمستخدمين الذين لديهم مستوى جدول رؤية قائمة بجميع الجداول في مساحة العمل، ولكن يمكنهم استرداد البيانات فقط من الجداول التي لديهم حق الوصول إليها.
• تتجاوز أدوار القارئ أو المساهم القياسية، والتي تتضمن الإجراء */read ، التحكم في الوصول على مستوى الجدول وتمنح المستخدمين حق الوصول إلى جميع بيانات السجل.
• يمكن للمستخدم الذي لديه وصول على مستوى الجدول ولكن لا توجد أذونات على مستوى مساحة العمل الوصول إلى بيانات السجل من واجهة برمجة التطبيقات ولكن ليس من مدخل Microsoft Azure.
• يمكن للمسؤولين ومالكي الاشتراك الوصول إلى جميع أنواع البيانات بغض النظر عن أي إعدادات أذونات أخرى.
• يتم التعامل مع مالكي مساحات العمل مثل أي مستخدم آخر للتحكم في الوصول لكل جدول.
• قم بتعيين الأدوار لمجموعات الأمان بدلاً من المستخدمين الفرديين لتقليل عدد التعيينات. سيساعدك هذا التدريب أيضًا في استخدام أدوات إدارة المجموعة الحالية لتكوين الوصول، والتحقق منه.

الخطوات التالية

• تعرف على المزيد حول إدارة الوصول إلى مساحات عمل Log Analytics.