Oracle Cloud Infrastructureドキュメント

ポリシー・アドバイザの使用

ポリシー・アドバイザを使用して、特定のコンパートメントのOS管理ハブをすばやく有効にします。アドバイザは、OS管理ハブおよびリソース検出およびモニタリングの使用に必要なユーザー・グループ、動的グループおよびポリシーを定義します。

ノート

サービスで使用する各コンパートメント(およびサブコンパートメント)でポリシー・アドバイザを実行する必要があります。

  1. 次の権限があることを確認します。readまたはuse権限のみがある場合、アドバイザの実行時に認可失敗エラーが表示されます。

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. ナビゲーション・メニューを開き、「監視および管理」を選択します。「OS管理ハブ」で、「概要」を選択します。
  3. 「リスト範囲」で、OS管理ハブに使用するコンパートメントを選択します。
  4. 「OS管理ハブの有効化」を選択します。
  5. 現在のポリシーおよびグループで特定された問題をレビューします。「次」を選択します。
  6. アドバイザが実行するアクションを確認します。「設定」を選択します。
  7. 「設定」をクリックして確認します。
  8. osmh-adminsおよびosmh-operatorsグループにユーザーを追加します。グループの管理を参照してください。

ポリシー・エラーが検出されたのはなぜですか。

ポリシー・アドバイザは、特定のポリシーおよびグループのセットをチェックします(ポリシー・アドバイザによって作成されるものを参照)。A policy error was detected警告は、ポリシーおよびグループ名がアドバイザで想定されるものと正確に一致しない場合に表示されます。

ポリシーをすでに設定している場合は、グループに名前を付け、アドバイザが使用するポリシー・ステートメントとは異なる方法でポリシー・ステートメントを定義している可能性があります。OS管理ハブが期待どおりに機能している場合は、ポリシー・エラー通知を無視できます。

詳細は、ポリシー・アドバイザのエラー・メッセージを参照してください。

ポリシー・アドバイザは何を作成しますか。

アドバイザは、OS管理ハブおよびそのリソース検出およびモニタリング機能を使用するために必要な文を使用して、必要なユーザー・グループ(osmh-adminsおよびosmh-operators)、動的グループ(osmh-instances)およびポリシー(osmh-policies)を定義します。

リソースが作成されました
リソース名 内容
osmh-admins サービスの管理者のユーザー・グループ。管理者は、現在のドメイン内のすべてのOS管理ハブ・リソースを管理できます。
osmh-operators サービスのオペレータのユーザー・グループ。オペレータは、現在のドメイン内のすべてのOS管理ハブ・リソースを表示できますが、変更することはできません。
osmh-instances OCIおよびオンプレミスまたはサードパーティ・クラウド・インスタンスの動的グループ・ルールを含むインスタンスの動的グループ。
osmh-policies 管理者グループ・ステートメントオペレータ・グループ・ステートメントおよび動的グループ・ステートメントを含むポリシー。
動的グループ一致ルール

アドバイザは、osmh-instances動的グループに対して次の動的グループ一致ルールを作成します。

ノート

現在選択されているコンパートメントのみが動的グループに含まれます。動的グループはコンパートメントの継承をサポートしていません。したがって、含めるサブコンパートメントでアドバイザを再実行する必要があります。
動的グループ・ルール 内容
ALL {instance.compartment.id='<compartment_ocid>'} コンパートメント内のすべてのOCIインスタンスが含まれます。
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

コンパートメント内のすべての管理エージェント・リソースが含まれます。エージェントを含めることで、OS管理ハブは対応するオンプレミスまたはサードパーティ・クラウド・インスタンスを管理できます。
管理者グループのポリシー・ステートメント

アドバイザは、osmh-policiesに対して次の管理者グループ・ポリシー・ステートメントを作成します。これにより、osmh-adminsユーザーは、コンパートメントおよびそのサブコンパートメント内のOS管理ハブ、管理エージェントおよび管理エージェント・キーを管理できます。

管理者グループ・ポリシー・ステートメント 内容
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

osmh-adminsグループに、コンパートメントおよびそのサブコンパートメント内のすべてのOS管理ハブ・リソースの管理を許可します。
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

osmh-adminsグループに、コンパートメントとそのサブコンパートメントの管理エージェントの管理を許可します(OCI以外のインスタンスのみに使用されます)。
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

osmh-adminsグループに、コンパートメントとそのサブコンパートメントの管理エージェント・インストール・キーの管理を許可します(OCI以外のインスタンスのみに使用されます)。
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

osmh-adminsグループに、コンパートメントおよびそのサブコンパートメント内のリソース検出およびモニタリング・リソースの管理を許可します。
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

osmh-adminsグループに、コンパートメントおよびそのサブコンパートメントのリソース検出およびモニタリング・メトリックの表示を許可します。
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

ルート・コンパートメントを選択した場合にのみ作成されます。osmh-adminsグループがルート・コンパートメント内のプロファイルを読み取れるようにします。
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

ルート・コンパートメントを選択した場合にのみ作成されます。osmh-adminsグループがルート・コンパートメント内のソフトウェア・ソースを読み取れるようにします。
オペレータグループのポリシーステートメント

アドバイザは、osmh-policiesに対して次の演算子グループ・ポリシー・ステートメントを作成します。これにより、osmh-operatorsユーザーは、コンパートメントおよびそのサブコンパートメント内のOS管理ハブ・リソースを表示できます。

オペレータ・グループ・ポリシー・ステートメント 内容
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

osmh-operatorsグループに、コンパートメントおよびそのサブコンパートメント内のすべてのOS管理ハブ・リソースの表示を許可します。
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

osmh-operatorsグループに、コンパートメントおよびそのサブコンパートメントのリソース検出およびモニタリング・リソースの表示を許可します。
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

osmh-operatorsグループに、コンパートメントおよびそのサブコンパートメントのリソース検出およびモニタリング・リソースの表示を許可します。
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

ルート・コンパートメントを選択した場合にのみ作成されます。osmh-operatorsグループがルート・コンパートメント内のプロファイルを読み取れるようにします。
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

ルート・コンパートメントを選択した場合にのみ作成されます。osmh-operatorsグループがルート・コンパートメント内のソフトウェア・ソースを読み取れるようにします。
動的グループのポリシー・ステートメント

アドバイザは、osmh-policiesに対して次の動的グループ・ポリシー・ステートメントを作成します。これにより、コンパートメント内の管理対象インスタンスがOS管理ハブとそのリソース検出およびモニタリング機能と対話できるようになります。

動的グループ・ポリシー・ステートメント 内容
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

管理対象インスタンスのエージェントがOS管理ハブと対話できるようにします
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' 管理対象インスタンスがリソース検出およびモニタリング機能のモニタリング・サービスにデータをアップロードできるようにします。
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> 管理対象インスタンスの管理エージェントが、リソース検出およびモニタリング機能の管理エージェント・サービスと対話できるようにします。
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

コンパートメント内の管理対象インスタンスが、リソース検出およびモニタリング機能を自動的に有効にできるようにします。
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

コンパートメント内の管理対象インスタンスが、リソース検出およびモニタリング機能を自動的に有効にできるようにします。
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

コンパートメント内の管理対象インスタンスが、リソース検出およびモニタリング機能を自動的に有効にできるようにします。