Configuración de tablas protegidas en registros de Azure Monitor (versión preliminar)

En este artículo se muestra cómo establecer el nivel de protección de una tabla, conceder acceso a usuarios autorizados y comprobar que la configuración funciona según lo previsto. Las tablas protegidas usan un modelo de denegación por defecto para que los roles de lectura estándar y personalizados sin privilegios no puedan acceder a datos confidenciales hasta que se conceda permiso explícitamente mediante condiciones ABAC.

Prerequisites

Requirement Detalles
Suscripción a Azure Una suscripción de Azure activa con un área de trabajo de Log Analytics.
Permisos Rol de Propietario o de Colaborador de Log Analytics en el área de trabajo. Necesita la acción Microsoft.OperationalInsights/workspaces/tables/protectionLevel/write para cambiar el nivel de protección de una tabla.
Conocimientos de RBAC y ABAC Descripción de Azure RBAC y condiciones de ABAC. Para obtener información sobre ABAC en Log Analytics, consulte RBAC granular en Azure Monitor.

Establecer el nivel de protección de una tabla

Establecer el nivel de protección de una tabla en Protected impide inmediatamente que los roles personalizados y de lectura estándar sin privilegios accedan a los datos de esa tabla. Complete estos pasos para cada tabla que contenga datos de telemetría confidenciales.

  1. En el portal de Azure, vaya a espacios de trabajo de Log Analytics y seleccione su espacio de trabajo.
  2. En Configuración, seleccione Tablas.
  3. Busque la tabla que desea proteger y seleccione el menú de puntos suspensivos (...).
  4. Seleccione Administrar tabla.
  5. En Nivel de protección, seleccione Protegido.
  6. Haga clic en Guardar.

Captura de pantalla del portal de Azure que muestra el panel Administrar tabla con el nivel de protección establecido en Protegido.

Concesión de acceso a tablas protegidas

Después de proteger una tabla, debe conceder explícitamente acceso a los usuarios que necesitan los datos. Use el rol integrado Lector de datos de supervisión con privilegios para un acceso amplio o cree roles personalizados con protectionLevel condiciones de ABAC para un acceso más específico.

Asignación del rol Lector de datos de supervisión con privilegios

El rol integrado Lector de datos de supervisión con privilegios concede acceso de lectura a todas las tablas protegidas en el ámbito asignado.

El portal de Azure no admite la adición de condiciones de ABAC a roles integrados. Esta restricción es una protección de la experiencia del usuario para evitar errores de usuario. Para agregar condiciones personalizadas a este rol, use plantillas de ARM, la API REST u otros métodos de programación.

  1. En el portal de Azure, vaya al ámbito en el que desea asignar el rol (suscripción, grupo de recursos, área de trabajo o cualquier recurso de Azure compatible).
  2. Seleccione Access control (IAM)>Add>Agregar asignación de roles.
  3. En la pestaña Rol , busque Lector de datos de supervisión con privilegios y selecciónelo.
  4. En la pestaña Miembros , seleccione el usuario, el grupo o la identidad administrada.
  5. Seleccione Revisar y asignar.

Conceder acceso solo a tablas protegidas específicas

Si necesita limitar el acceso a tablas protegidas individuales en lugar de a todas ellas, cree una asignación de roles personalizada con condiciones de ABAC que filtren por el nombre de tabla y el nivel de protección.

  1. Cree o seleccione un rol personalizado basado en el método de acceso que desea usar.

    • El DataActions requisito para el acceso centrado en el área de trabajo: Microsoft.OperationalInsights/workspaces/tables/data/read
    • El DataActions requisito para el acceso centrado en recursos: Microsoft.Insights/logs/data/read

  2. Al crear la asignación de roles, agregue una condición con dos expresiones unidas por AND:

    Expression Attribute Operador Value
    1 Microsoft.OperationalInsights/workspaces/tables:name StringEquals Nombre de tabla específico (por ejemplo, AppTraces)
    2 Microsoft.OperationalInsights/workspaces/tables:protectionLevel StringEquals Protected

    La condición en formato ABAC tiene este aspecto:

    (
  (
    !(ActionMatches{'Microsoft.OperationalInsights/workspaces/tables/data/read'})
  )
  OR
  (
    @Resource[Microsoft.OperationalInsights/workspaces/tables:name] StringEquals 'AppTraces'
    AND
    @Resource[Microsoft.OperationalInsights/workspaces/tables:protectionLevel] StringEquals 'Protected'
  )
)

    Ajuste el nombre de la tabla y el operador según sea necesario. Para acceder a varias tablas, use ForAllOfAnyValues:StringEquals con una lista de nombres de tabla. Para obtener más información sobre la sintaxis de expresiones, consulte RBAC granular en Azure Monitor.

Conceda acceso temporal con PIM

Use Microsoft Entra Privileged Identity Management (PIM) para conceder acceso puntual y por tiempo limitado a tablas protegidas.

  1. En PIM, cree una asignación apta para el rol Lector de datos de supervisión con privilegios (o su rol personalizado) en el ámbito deseado.
  2. Establezca la duración máxima de activación según la directiva de su organización.
  3. Cuando los usuarios necesitan acceso, activan el rol en PIM. El acceso se revoca automáticamente cuando expira la ventana de activación.

Este patrón funciona bien para la respuesta a incidentes y escenarios de soporte técnico en los que los ingenieros necesitan acceso temporal a registros confidenciales.

Habilitar el modo DataActionsOnly

De forma predeterminada, algunos roles que se basan en acciones del plano de control, como Lector y Lector de supervisión, proporcionan acceso de lectura implícito a los datos de registro. DataActionsOnly mode quita esta ruta de acceso para que solo DataActions controle el acceso a los datos.

  1. En el portal de Azure, vaya a espacios de trabajo de Log Analytics y seleccione su espacio de trabajo.
  2. En Configuración, seleccione Propiedades.
  3. En Modo de autorización de datos, seleccione Solo acciones de datos.

Captura de pantalla del portal de Azure que muestra el panel Propiedades con el modo de autorización de datos establecido solo en Acciones de datos.

Después de habilitar el modo DataActionsOnly, compruebe que los usuarios que anteriormente dependían de los roles del plano de control para acceder a los registros ahora reciban las asignaciones de roles adecuadas según DataActions.

Comprobación de la configuración

Ejecute estas comprobaciones para confirmar que las concesiones de protección y acceso funcionan correctamente.

Confirmación de que los usuarios sin privilegios no ven datos

  1. Inicie sesión como un usuario que tenga el rol Log Analytics Reader, pero que no tenga el rol Privileged Monitoring Data Reader ni un rol personalizado con una condición protectionLevel.

  2. Abra el área de trabajo en el portal de Azure y vaya a Registros.

  3. Ejecute una consulta en la tabla protegida.

    ProtectedTableName
| take 10

  4. Confirme que la consulta se realiza correctamente, pero devuelve cero filas.

Confirmación de que los usuarios con privilegios ven los datos

  1. Inicie sesión como un usuario que tenga el rol Lector de datos de supervisión con privilegios o un rol personalizado adecuado con condiciones de ABAC.
  2. Ejecute la misma consulta.
  3. Confirme que la consulta devuelve filas de datos.

Comprobación del registro de actividad para ver los cambios de configuración

Abra el registro de actividad para el área de trabajo y filtre por el nombre de la operación Actualizar tabla. Busque entradas que muestren cambios en la propiedad protectionLevel. Estas entradas confirman cuándo y por quién se protegieron las tablas.

Contenido relacionado

  • Last updated on