コンソールを使用したポリシーの作成
使いやすさと適切な構成を確保するためにポリシーを設定するときは、常にポリシー・アドバイザを使用することを強くお薦めします。ただし、環境により詳細なアクセス制御が必要な場合や、ポリシー自体を手動で付与する場合は、コンソールを使用して実行できます。
any-userポリシーは、Opsインサイト・サービスに必要なリソース・プリンシパル・ポリシーです。group {name}を含むポリシーは、ユーザーがサービスを有効にしようとしたときに必要です。
管理者ポリシーの作成
opsiadmin管理者がリソースのフル・フリートに対してOpsインサイトを有効化/無効化し、すべての分析データにアクセスできるようにするには、opsi-adminユーザー・グループに権限を付与するアイデンティティ・ポリシーを作成する必要があります。
ルート/テナンシ・レベルを必要とするOpsインサイト・ウェアハウス/AWRハブを除き、すべてのポリシーをコンパートメント・スコープ・レベルで記述できます。
- テナンシ管理者としてコンソールにログインし、ナビゲーション・メニューを開き、「ガバナンスおよび管理」で「アイデンティティ」に移動して「ポリシー」をクリックします。
- ポリシーの作成手順を使用して、わかりやすい名前をポリシーに付けます。たとえば、
opsi-admin-policyです。 - 次のポリシー・ステートメントを追加して、グループにOpsインサイトの有効化/無効化、管理エージェント・ホストまたはEnterprise Manager管理対象データベースの作成/有効化/無効化、またはすべてのOpsインサイト・リソースへのタグの更新/追加を許可します。たとえば、管理グループがopsi-adminグループと呼ばれ、このポリシーをテナンシ・レベルに追加する場合は、次を追加します:
ポリシーはコンパートメント・レベルで作成することもできます。Allow group opsi-admins to manage opsi-family in tenancy Allow group opsi-admins to manage management-dashboard-family in tenancyダッシュボードを使用するためのポリシーの詳細は、「管理ダッシュボードの詳細」も参照してください。
- 有効にするリソースに応じて、次のポリシーを追加します。
有効化中 ポリシー 詳細 Autonomous Databases - 基本機能 Allow group opsi-admins to use autonomous-database-family in tenancy基本的な機能には、Capacity PlanningとSQL Warehouseがあります。 Autonomous Databases - フル機能 Allow group opsi-admins to use autonomous-database-family in tenancyAllow group opsi-admins to manage virtual-network-family in tenancyAllow group opsi-admins to read secret-family in tenancyAllow group opsi-admins to read secret-family in tenancyAllow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}現在、完全な機能にはSQLエクスプローラとADDMスポットライトがあります。
仮想ネットワーク・アクセスは、プライベート・エンドポイントのリバース接続の作成の一部として必要です。
データベースに対してデータ収集を実行するために、OCIボールトからデータベース・ユーザー・パスワードを読み取るには、シークレット・ファミリ・アクセスが必要です。
mTLS経由でデータベースに接続するには、Wallet生成権限が必要です。
Autonomous Databasesの有効化およびフル機能サポートも参照してください。
ベア・メタル、仮想マシンおよびExaDB-Dデータベース Allow group opsi-admins to use database-family in tenancyAllow group opsi-admins to manage virtual-network-family in tenancyAllow group opsi-admins to read secret-family in tenancyAllow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}Opsインサイトへのアクセスは、プライベート・エンドポイント経由です。 仮想ネットワーク・アクセスは、プライベート・エンドポイントのリバース接続の作成の一部として必要です。
データベースに対してデータ収集を実行するために、OCIボールトからデータベース・ユーザー・パスワードを読み取るには、シークレット・ファミリ・アクセスが必要です。
ExaC@Cデータベース Allow group {name} to read database-family in compartment {compartment}Allow group {name} to read dbmgmt-family in compartment {compartment}Allow group {group} to read secret-family in compartment {compartment} where any { target.vault.id = 'VaultOCID' }Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }Allow group {group} to manage management-agents in compartment {agentCompartment}Opsインサイトへのアクセスは、管理エージェント経由です。 データベース・ファミリへのアクセスは、Opsインサイト内で最新の構成データを確実に利用できるようにするために必要です。
データベースに対してデータ収集を実行するために、OCIボールトからデータベース・ユーザー・パスワードを読み取るには、シークレット・ファミリ・アクセスが必要です。
Oracle Enterprise Managerを使用した外部データベース、ホストおよびエンジニアド・システム Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')Allow group opsi-admins to inspect object-family in tenancyEnterprise Managerは、OCIサービスと統合してデータを共有できるオンプレミスのOracle管理ソリューションです。オブジェクト・ストレージ・コンパートメントのデータにアクセスするには、動的グループを作成する必要があります。たとえば: ALL {resource.type='opsienterprisemanagerbridge'}Enterprise Managerによって管理されるデータベース(データベースおよびホスト)を有効にする場合は、「Enterprise Managerターゲットの追加」の下のポリシーの詳細を参照してください。
OCI管理エージェントを使用した外部データベースおよびホスト Allow group opsi-admins to use external-database-family in tenancyAllow group opsi-admins to manage management-agent-install-keys in tenancyOCI以外のリソース(Enterprise Managerで管理されていないオンプレミス・データベースなど)には、管理エージェントが必要です。管理エージェントを使用して管理されるデータベースを有効にする場合は、管理エージェント・ポリシーも参照してください。 HeatWave MySQL Databaseシステム Allow group <User Group> to manage mysql-family in tenancyOps Insightsでは、プライマリ・インスタンスのみがサポートされます。フェイルオーバー・インスタンスおよび読取り専用レプリカは現在サポートされていません。 外部MySQL Databaseシステム Allow group opsi-admins to read secret-family in tenancyAllow group opsi-admins to read management-agents in tenancyAllow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }オンプレミスにデプロイされ、データベース管理サービスのリソースに接続された外部MySQLデータベース・システム。 OCIコンピュート・インスタンス Allow group opsi-admins to manage management-agents in tenancyAllow group opsi-admins to manage instance-family in tenancyAllow group opsi-admins to read instance-agent-plugins in tenancyAllow any-user to use instance-family in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' }Allow any-user to read instance-family in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' }Allow any-user to manage management-agents in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' }これらのインスタンスは、管理エージェントを使用して有効化できます。「コンピュート・インスタンスへの管理のエージェントのデプロイ」の特別なポリシーも参照してください。 AWRハブ(Oracle Database自動ワークロード・リポジトリのパフォーマンス・データ) ADB-S: Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancyADB-Dおよび外部データベース:
Allow group <User Group> to use opsi-awr-hub-sources in tenancyレガシー・ポリシー:
Allow opsi-admins to manage opsi-family in tenancyAWRハブの作成時には、追加のポリシーが必要になります。これらは、ガイド付き作成プロセスを介して追加できます。
詳細は、「自動ワークロード・リポジトリ(AWR)のパフォーマンス・データの分析」を参照してください。
Exadata Warehouse N/A Exadata Warehouseは、Enterprise Managerによって監視されるオンプレミスおよびクラウドベースのOracle Engineered Systemsからのデータのリポジトリです。Exadata Warehouseを参照してください。 ニュース・レポート Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}ニュース・レポートでは、ONS (Oracle Notification Services)を使用してOPSI監視対象フリートに関する週次電子メール・レポートが生成されます。関連項目: ニュース・レポート - 「作成」をクリックします
非管理者ポリシーの作成
Ops Insightsは、そのグループに必要な権限が付与されている場合にのみ使用できます。opsiuserユーザーがテナンシ内のAutonomous DatabasesでのみOpsインサイトを有効または無効にできるようにするには、opsi-usersユーザーに適切なグループ権限を付与するアイデンティティ・ポリシーを作成する必要があります。
- テナンシ管理者としてコンソールにログインし、「ガバナンスと管理」、「アイデンティティ」の順に移動して「ポリシー」をクリックします。
- ポリシーを作成するにはの手順を使用して、わかりやすい名前をポリシーに付けます。たとえば、
opsi-user-policyです。 - グループがOpsインサイトを有効または無効にできるようにするポリシー・ステートメントを追加します。たとえば、
opsi-usersグループに対して、次を追加します:Allow group opsi-users to use opsi-family in tenancy Allow group opsi-users to read management-dashboard-family in tenancy - 「作成」をクリックします
Opsインサイトへの詳細な制御アクセスについては、Opsインサイトの詳細を参照してください。
サービス・プリンシパル・ポリシーの削除
OCIサービスは、潜在的なセキュリティ・リスクをもたらすため、サービス・プリンシパルを使用して顧客のOCIリソースにアクセスしないでください。これは、Oracleのベスト・プラクティスです。Ops Insightsは、2025年8月31日から始まるセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを廃止しています。非推奨のポリシーが検出されると、ポリシー・アドバイザは、新しいCRISP形式へのポリシー更新を必要とするページの上部にバナーを表示します。既存の非推奨ポリシーを更新するには、「前提条件ポリシーの更新」ボタンをクリックします。非推奨の文を含む個々のポリシー・グループの横に、追加の「警告」アイコンが表示され、ポリシー・アップグレードが実行されるまで、非推奨の文を含むすべてのグループに対して「構成」ボタンが無効になります。
| 非推奨のサービス・プリンシパル・ポリシー | 新規ポリシー |
|---|---|
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' |
Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'} |
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} |
Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'} |
Allow group <group name> to inspect ons-topic in compartment <compartment-name>
|
Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'} |