Gérer l’accès à des espaces de travail Log Analytics

Les facteurs qui déterminent les données auxquelles vous pouvez accéder dans un espace de travail Log Analytics sont :

• Les paramètres de l’espace de travail lui-même.
• Vos autorisations d'accès aux ressources qui envoient des données à l'espace de travail.
• La méthode utilisée pour accéder à l’espace de travail.

Cet article explique comment gérer l'accès aux données dans un espace de travail Log Analytics.

Vue d’ensemble

Les facteurs qui définissent les données auxquelles vous pouvez accéder sont décrits dans le tableau suivant. Chaque facteur fait l’objet d’une description approfondie dans les sections qui suivent.

Mode d’accès

Le mode d’accès fait référence à la façon dont vous accédez à un espace de travail Log Analytics et définit les données auxquelles vous pouvez accéder pendant la session actuelle. Le mode est déterminé en fonction de l’étendue que vous sélectionnez dans Log Analytics.

Il existe deux modes d’accès :

• Contexte d’espace de travail : vous pouvez visualiser tous les journaux dans l’espace de travail pour lequel vous disposez d’autorisations. Dans ce mode, l’étendue des requêtes englobe toutes les données de toutes les tables auxquelles vous avez accès dans l’espace de travail. Ce mode d’accès est utilisé quand vous accédez aux journaux alors que l’étendue définie est l’espace de travail, par exemple quand vous sélectionnez Journaux sur le menu Azure Monitor dans le portail Azure.
• Contexte de ressource : lorsque vous accédez à l’espace de travail pour une ressource, un groupe de ressources ou un abonnement spécifique, par exemple, lorsque vous sélectionnez Journaux à partir d’un menu de ressources dans le portail Azure, vous pouvez voir les journaux pour les ressources dans toutes les tables auxquelles vous avez accès uniquement. Dans ce mode, l’étendue des requêtes englobe uniquement les données associées à cette ressource. Ce mode autorise également le contrôle d’accès en fonction du rôle Azure (Azure RBAC) granulaire. Les espaces de travail utilisent un modèle de journal ressource-contexte où chaque enregistrement de journal émis par une ressource Azure est automatiquement associé à cette ressource.

Les enregistrements sont disponibles dans les requêtes ressource-contexte seulement s’ils sont associés à la ressource appropriée. Pour vérifier cette association, exécutez une requête et en vérifiant que la colonne _ResourceId est remplie.

Il existe des limitations connues avec les ressources suivantes :

• Ordinateurs en dehors d’Azure : Ressource-contexte est pris en charge seulement avec Azure Arc pour serveurs.
• Application Insights : prises en charge de ressource-contexte seulement lors de l’utilisation d’une ressource Application Insights basée sur un espace de travail.
• Azure Service Fabric

Comparer les modes d’accès

Le tableau suivant récapitule les modes d’accès :

Mode de contrôle d’accès

Le mode de contrôle d’accès est un paramètre sur chaque espace de travail qui définit comment les autorisations sont déterminées pour l’espace de travail.

• Exiger des autorisations d’espace de travail. Ce mode de contrôle n’autorise pas un contrôle Azure RBAC précis. Pour accéder à l’espace de travail, l’utilisateur doit avoir des autorisations sur l’espace de travail ou sur des tables spécifiques.

  Si un utilisateur accède à l’espace de travail dans le contexte de l’espace de travail, il a accès à toutes les données de toutes les tables auxquelles il est autorisé à accéder. Si un utilisateur accède à l’espace de travail dans le contexte de la ressource, il a accès uniquement aux données de cette ressource dans les tables auxquelles il est autorisé à accéder.

  Il s’agit du paramétrage par défaut pour tous les espaces de travail créés avant mars 2019.

• Utiliser les autorisations de ressource ou d’espace de travail. Ce mode de contrôle autorise un contrôle Azure RBAC granulaire. Les utilisateurs peuvent être autorisés à accéder uniquement aux données associées aux ressources qu’ils peuvent afficher en attribuant l’autorisation read Azure.

  Quand un utilisateur accède à l’espace de travail dans le contexte de l’espace de travail, les autorisations d’espace de travail s’appliquent. Quand un utilisateur accède à l’espace de travail dans le contexte de la ressource, seules les autorisations de ressource sont vérifiées, les autorisations d’espace de travail étant ignorées. Activez Azure RBAC pour un utilisateur en le supprimant des autorisations d’espace de travail et en permettant à ses autorisations de ressource d’être reconnues.

  Il s’agit du paramétrage par défaut pour tous les espaces de travail créés après mars 2019.

  Notes

  Si un utilisateur a seulement des autorisations au niveau des ressources pour l’espace de travail, il peut accéder à l’espace de travail seulement en utilisant le mode ressource-contexte, à condition que le mode d’accès à l’espace de travail soit défini sur Utiliser les autorisations de ressource ou d’espace de travail.

Configurer le mode de contrôle d’accès pour un espace de travail

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

DefaultWorkspace38917: True
DefaultWorkspace21532: False

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Azure RBAC

L’accès à un espace de travail est géré en utilisant le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Pour accorder l’accès à l’espace de travail Log Analytics en utilisant des autorisations Azure, suivez les étapes décrites dans Attribuer des rôles Azure pour gérer l’accès à vos ressources d’abonnement Azure.

Autorisations d’espace de travail

Plusieurs comptes peuvent être associés à chaque espace de travail. Chaque compte peut avoir accès à plusieurs espaces de travail. Le tableau suivant liste les autorisations Azure pour différentes actions d’espace de travail :

Rôles intégrés

Attribuez des utilisateurs à ces rôles pour leur donner accès à différentes étendues :

• Abonnement : accès à tous les espaces de travail de l’abonnement
• Groupe de ressources : accès à tous les espaces de travail du groupe de ressources
• Ressource : accès seulement à l’espace de travail spécifié

Créez des affectations au niveau de la ressource (espace de travail) afin d’assurer un contrôle d’accès précis. Pour créer des rôles avec les autorisations spécifiques nécessaires, utilisez des rôles personnalisés.

Lecteur Log Analytics

Les membres du rôle Lecteur Log Analytics peuvent afficher la totalité des données et paramètres de supervision, notamment la configuration des diagnostics Azure sur toutes les ressources Azure. Permet aux membres d’afficher toutes les données relatives aux ressources dans le champ d’application qui leur a été attribué, notamment :

• Visualiser toutes les données de monitoring et y effectuer des recherches.
• Visualisation des paramètres d’analyse, notamment la configuration des diagnostics Azure sur toutes les ressources Azure

Le rôle Lecteur Log Analytics inclut les actions Azure suivantes :

Contributeur Log Analytics

Les membres du rôle Contributeur Log Analytics peuvent effectuer les opérations suivantes :

• Lecture de toutes les données de supervision autorisées par le rôle Lecteur Log Analytics.
• Modifier les paramètres de monitoring pour les ressources Azure, notamment :
  • Ajout d’extension de machine virtuelle à des machines virtuelles.
  • Configuration des diagnostics Azure sur toutes les ressources Azure.
• Création et configuration des comptes Automation. L’autorisation doit être accordée au niveau du groupe de ressources ou de l’abonnement.
• Ajout et suppression de solutions de gestion. L’autorisation doit être accordée au niveau du groupe de ressources ou de l’abonnement.
• Lire les clés du compte de stockage.
• Configurer la collecte de journaux depuis Stockage Azure.
• Configurez les règles d’exportation de données.
• Exécuter une tâche de recherche.
• Restaurer des données depuis la conservation à long terme.

Le rôle Contributeur Log Analytics inclut les actions Azure suivantes :

Autorisations de ressource

Pour lire ou envoyer des données à un espace de travail dans le contexte de la ressource, vous avez besoin des autorisations suivantes sur la ressource :

L’autorisation /read est généralement accordée à partir d’un rôle disposant des autorisations */read ou *, comme les rôles intégrés Lecteur et Contributeur. Les rôles personnalisés qui incluent des actions spécifiques ou des rôles intégrés dédiés peuvent ne pas inclure cette autorisation.

Exemples de rôles personnalisés

Outre l’utilisation des rôles intégrés pour un espace de travail Log Analytics, vous pouvez créer des rôles personnalisés pour attribuer des autorisations plus précises. Voici quelques exemples courants.

Exemple 1 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Accordez aux utilisateurs des autorisations d’accès */read ou Microsoft.Insights/logs/*/read à leurs ressources. S’ils ont déjà le rôle de Lecteur Log Analytics sur l’espace de travail, c’est suffisant.

Exemple 2 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et d’exécuter un travail de recherche.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Accordez aux utilisateurs des autorisations d’accès */read ou Microsoft.Insights/logs/*/read à leurs ressources. S’ils ont déjà le rôle de Lecteur Log Analytics sur l’espace de travail, c’est suffisant.
• Accordez aux utilisateurs les autorisations suivantes sur l’espace de travail :
  • Microsoft.OperationalInsights/workspaces/tables/write : obligatoire pour pouvoir créer la table de résultats de la recherche (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write : requis pour autoriser l’exécution de l’opération du travail de recherche.

Exemple 3 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et de configurer ses ressources pour envoyer des journaux à l’espace de travail Log Analytics.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Accordez aux utilisateurs les autorisations suivantes sur l’espace de travail : Microsoft.OperationalInsights/workspaces/read et Microsoft.OperationalInsights/workspaces/sharedKeys/action. Avec ces autorisations, les utilisateurs ne peuvent pas exécuter des requêtes au niveau de l’espace de travail. Ils peuvent uniquement énumérer l’espace de travail et l’utiliser comme destination pour les paramètres de diagnostic ou la configuration de l’agent.
• Accordez aux utilisateurs les autorisations d’accès suivantes à leurs ressources : Microsoft.Insights/logs/*/read et Microsoft.Insights/diagnosticSettings/write. Si le rôle Lecteur ou Contributeur Log Analytics leur est déjà attribué, ou s’ils disposent déjà des autorisations */read sur cette ressource, c’est suffisant.

Exemple 4 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources, et non d’envoyer des journaux à l’espace de travail Log Analytics ou de lire des événements de sécurité.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Accordez aux utilisateurs les autorisations d’accès suivantes à leurs ressources : Microsoft.Insights/logs/*/read.
• Ajoutez la non-action suivante pour empêcher les utilisateurs de lire le type SecurityEvent : Microsoft.Insights/logs/SecurityEvent/read. La non-action doit avoir le même rôle personnalisé que l’action qui fournit l’autorisation de lecture (Microsoft.Insights/logs/*/read). Si l’utilisateur hérite de l’action de lecture d’un autre rôle attribué à cette ressource, à l’abonnement ou au groupe de ressources, il peut lire tous les types de journaux. C’est également le cas s’il hérite de l’autorisation */read qui est par exemple associée au rôle Lecteur ou Contributeur.

Exemple 5 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et toutes les connexions Microsoft Entra et toutes les données de journal l’accès de la solution Update Management dans l’espace de travail Log Analytics.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Accordez aux utilisateurs les autorisations suivantes sur l’espace de travail :
  • Microsoft.OperationalInsights/workspaces/read : obligatoire pour que l’utilisateur puisse énumérer l’espace de travail et ouvrir le panneau correspondant dans le portail Azure
  • Microsoft.OperationalInsights/workspaces/query/read : obligatoire pour chaque utilisateur qui peut exécuter des requêtes
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: pour pouvoir lire les journaux de connexion Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read : pour pouvoir lire les journaux de la solution Gestion des mises à jour
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read : pour pouvoir lire les journaux de la solution Gestion des mises à jour
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read : pour pouvoir lire les journaux de Gestion des mises à jour
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read : obligatoire pour pouvoir utiliser les solutions Gestion des mises à jour
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read : obligatoire pour pouvoir utiliser les solutions Gestion des mises à jour
• Accorder aux utilisateurs les autorisations d’accès suivantes à leurs ressources : */read, attribué au rôle Lecteur, ou Microsoft.Insights/logs/*/read

Exemple 6 : Restreindre l’accès d’un utilisateur à la restauration des données depuis la conservation à long terme.

• Configurez le mode de contrôle d’accès pour utiliser les autorisations de ressource ou d’espace de travail.
• Attribuer le rôle de Contributeur Log Analytics à l’utilisateur.
• Ajoutez la valeur NonAction suivante pour empêcher des utilisateurs de restaurer des données depuis la conservation à long terme : Microsoft.OperationalInsights/workspaces/restoreLogs/write

Définir un accès en lecture au niveau de la table

Consultez Gérer l’accès en lecture au niveau de la table.

Étapes suivantes

• Consultez Présentation de l’agent Log Analytics pour collecter des données à partir d’ordinateurs dans votre centre de données ou d’un autre environnement cloud.
• Pour configurer la collecte de données à partir de machines virtuelles Azure, voir Collecter des données sur les machines virtuelles Azure.