Oracle Cloud Infrastructureドキュメント

コネクタ・ハブの概要

Connector Hubサービスを使用して、Oracle Cloud Infrastructureのサービス間でデータを転送します。

コネクタ・ハブは、Oracle Cloud Infrastructureサービス間でのデータの移動時に、相互作用の記述、実行およびモニターを行うための単一のペインを提供するクラウド・メッセージ・バス・プラットフォームです。コネクタ・ハブは、以前はサービス・コネクタ・ハブと呼ばれていました。

ヒント

サービスの概要ビデオを視聴してください。
Oracle Cloud Infrastructureでのサービス間のデータ移動。

各ソースでサポートされるターゲット

各ソースでサポートされているターゲットを次に示します。

ロギング・タスクは、ロギング・ソースでのみサポートされています。「関数」タスクは、アスタリスク(*)を除いてサポートされます。

ソース ターゲット
関数 Logging Analytics モニタリング中 通知 オブジェクト・ストレージ ストリーム
ログ
モニタリング中 - - -
キュー - - ✔*
ストリーム - ✔*

*「関数」タスクは、このソースとターゲットの組合せではサポートされていません。

Connector Hubのしくみ

Connector Hubは、Oracle Cloud Infrastructureのサービス間のデータ移動を調整します。

データはコネクタを使用して移動されます。コネクタは、移動するデータを含むソース・サービス、オプションのタスク、およびタスク完了時のデータ配信のターゲット・サービスを指定します。オプションのタスクは、ソースのデータを処理するためのファンクション・タスクや、ソースのログ・データをフィルタ処理するためのログ・フィルタ・タスクです。

データ移動の速度

コネクタは、使用可能になるとすぐにデータを読み取ります。集計またはバッファリングのために、ターゲット・サービスへの配信は遅延する場合があります。たとえば、最初にメトリック・データ・ポイントを集計する必要があります。

コネクタは継続的に実行されますが、個々の移動操作によってデータは順次移動されます。データ量と各移動操作の速度は、コネクタの構成(ソース、タスクおよびターゲット)および関連するサービスの制限によって異なります。関連するサービスの制限は、コネクタ・ハブの制限に加えて、ソース、タスクおよびターゲットに選択されたサービスによって決まります。

例1: ロギング・ソース、通知ターゲット(タスクなし)

例1: ロギング・ソース、通知ターゲット(タスクなし)。

例1のコールアウト
番号 説明
1 コネクタ・ハブはロギングからログ・データを読み取ります。
2 コネクタ・ハブは、ログ・データを通知ターゲット・サービスに書き込みます。
3 通知は、構成済トピックのすべてのサブスクリプションにメッセージを送信します。

各移動操作は、サービスの制限内で、選択したトピックのサブスクリプションのタイプから影響を受ける速度で、ログ・ソースからトピックにデータを移動します。このシナリオで1つの移動操作がログ・ソースを移動するために必要な時間は、最長でも数分です。

例2: ストリーミング・ソース、ファンクション・タスク、オブジェクト・ストレージ・ターゲット

例2: ストリーミング・ソース、ファンクション・タスク、オブジェクト・ストレージ・ターゲット。
例2のコールアウト
番号 説明
1 コネクタ・ハブは、ストリーミングからストリーム・データを読み取ります。
2 コネクタ・ハブは、ストリーム・データのカスタム処理のためにtheFunctionsタスクをトリガーします。
3 タスクは、処理済データをコネクタ・ハブに戻します。
4 コネクタ・ハブは、ストリーム・データをオブジェクト・ストレージ・ターゲット・サービスに書き込みます。
5 オブジェクト・ストレージは、ストリーム・データをバケットに書き込みます。

各移動操作は、サービスの制限内で、各バッチのサイズに応じて、選択したストリームのデータをファンクション・タスクに移動し、さらにバケットに移動します。(バッチは、ソース・サービスまたはタスク・サービスから受け取るエントリのリストです。)バッチ・サイズは、このシナリオではタスクとターゲットの設定で構成します。コネクタ・ハブがストリーミング・サービスからストリーム・データを受信すると、1つの移動操作が、タスクのバッチ・サイズ構成に従ってこのストリーム・データのバッチをファンクション・タスクに移動し、最終的に、ターゲットのバッチ・サイズ構成に従って処理済のバッチをバケットに移動します。このシナリオでストリームの受取り、処理および移動に必要な時間は、タスクとターゲットのバッチ・サイズ構成によって変わりますが最長で17分です。

提供詳細

ノート

キューからのメッセージのファンクション処理の詳細は、キューの処理時のエラー処理を参照してください。

コネクタ・ハブは「少なくとも1回」の配信に従います。つまり、データをターゲットに移動する場合、コネクタはデータの各バッチを少なくとも1回配信します。*

移動操作が失敗した場合、コネクタはその操作を再試行します。再試行操作が成功するまで、コネクタは後続のデータのバッチを移動しません。

移動操作がソースの保持期間を超えて失敗し続ける場合、そのデータのバッチは配信されません。

*Notificationsターゲットの最大メッセージ・サイズは128KBです。最大サイズを超えるメッセージは削除されます。

コネクタ・ハブのソース保持期間については、関連ドキュメント(保持期間: ロギング・ソース保持期間: モニタリング・ソース保持期間: キュー・ソースまたは保持期間: ストリーミング・ソース)を参照してください。

特定の障害状態では、継続的に障害が発生するコネクタは、Oracle Cloud Infrastructureのサービス・チームによって自動的に非アクティブ化されます。このような長期連続障害は、コネクタのソースまたはターゲットの無効な構成を示す場合があります。

長時間の不合格コネクタが非アクティブ化される

次の条件のために継続的に失敗するコネクタでは、警告の通知に続いて自動非アクティブ化が発生します。

これらの障害状態が4日連続した後、コネクタ・ハブは、将来の非アクティブ化の可能性を示す警告アナウンスメントを送信し、トラブルシューティング情報を提供します。

これらの障害状態の7日間連続した後、コネクタ・ハブは自動的にコネクタを非アクティブ化し、非アクティブ化を示すお知らせを送信します。

非アクティブ化されたコネクタをトラブルシューティングし、有効な構成に更新して、再アクティブ化できます。ターゲット・サービスをチェックして、新しく再アクティブ化したコネクタが期待どおりにデータを移動していることを確認します。コネクタのソースからターゲットへのデータ・フローの詳細を取得するには、コネクタのログを有効化します。

コネクタ・ハブの概念

コネクタ・ハブの操作には、次の概念が必要です。

コネクタ

移動対象のデータの定義。コネクタは、ソース・サービス、ターゲット・サービスおよびオプションのタスクを指定します。

ソース

指定されたタスクに応じて、移動するデータが含まれるサービス(ロギングなど)。

ターゲット

指定されたタスクに応じて、ソースからデータを受け取るサービス。ターゲット・サービスは、受け取ったデータを処理、格納または配信します。ファンクション・サービスは受け取ったデータを処理します。ログ・アナリティクス、モニタリング、オブジェクト・ストレージ、ストリーミングの各サービスはデータを格納します。通知サービスはデータを配信します。

タスク

ソース・サービスからターゲット・サービスにデータを移動する前にオプションでデータに適用するフィルタ処理。

トリガー

コネクタの実行に必要な条件。現在、トリガーは継続的です。つまり、コネクタは継続的に実行されます。

データのフロー

コネクタが実行するときは、ソース・サービスからデータを受信し、データに対してオプションのタスクを完了(フィルタ処理など)してから、そのデータをターゲット・サービスに移動します。

使用可能な各ソースでサポートされるターゲットおよびオプションのタスクと、ターゲットの説明を次に示します。

たとえば、コネクタ・ハブのシナリオを参照してください。

ロギング・ソース

ロギング・サービスからログ・データを転送するロギング・ソースを選択します。

ロギング・ソースを使用するコネクタの例については、シナリオ: モニタリング・ターゲットのディメンションの作成およびコネクタ・ハブのシナリオのその他のシナリオを参照してください。

すべてのターゲットは、ロギング・ソースおよびオプションのタスク(ファンクションまたはロギング)で定義されたコネクタによってサポートされます。

この画像は、ロギング・ソースおよびオプション・タスクで定義されたコネクタでサポートされるターゲットを示しています。

ロギング・ソースのコールアウト
番号 説明
1 コネクタ・ハブはロギングからログ・データを読み取ります。
2 オプション: 構成されている場合、コネクタ・ハブは次のタスクのいずれかをトリガーします。
  • ログ・データのカスタム処理のためのファンクション・タスク。
  • ログ・データをフィルタリングするためのログ・フィルタ・タスク(ロギング・サービス)。
3 タスクは、処理済データをコネクタ・ハブに戻します。
4 コネクタ・ハブは、ログ・データをターゲット・サービスに書き込みます。

「Logging」をソースとして、Functionsをタスクとして使用するコネクタの例: シナリオ: Autonomous Databaseへのログ・データの送信

コネクタ・ハブのロギング・ソースの保持期間は24時間です。配送の詳細は、配送の詳細を参照してください。

新しいコネクタの最初の実行に成功すると、コネクタの作成時間からログ・データが移動されます。最初の実行が失敗した場合(ポリシーの欠落など)、解決後、コネクタはコネクタ作成時間または現在時刻の24時間前(いずれか遅い方)からログ・データを移動します。

後で実行するたびに、次のログ・データが移動されます。後の実行が失敗し、24時間の保存期間内に解決が発生した場合、コネクタは次のログ・データを移動します。後の実行が失敗し、24時間の保存期間外に解決が発生した場合、コネクタは最新のログ・データを移動し、失敗した実行と最新のログ・データの間に生成されたデータは配信されません。

モニタリング・ソース

モニタリング・サービスからメトリック・データ・ポイントを転送するモニタリング・ソースを選択します。

モニタリング・ソースを使用するコネクタの例については、シナリオ: オブジェクト・ストレージへのメトリックの送信を参照してください。

モニタリング・ソースおよび(オプションの)ファンクション・タスク(ファンクション、オブジェクト・ストレージおよびストリーミング)で定義されたコネクタによって、次のターゲットがサポートされます。

この画像は、モニタリング・ソースおよびオプション・タスクで定義されたコネクタでサポートされるターゲットを示しています。

モニタリング・ソースのコールアウト
番号 説明
1 コネクタ・ハブは、モニタリングからメトリック・データを読み取ります。
2 オプション: 構成されている場合、コネクタ・ハブは次のタスクをトリガーします。
  • メトリック・データのカスタム処理のためのファンクション・タスク。
3 タスクは、処理済データをコネクタ・ハブに戻します。
4 コネクタ・ハブは、メトリック・データをターゲット・サービスに書き込みます。

コネクタ・ハブのモニタリング・ソースの保持期間は24時間です。配送の詳細は、配送の詳細を参照してください。

キュー・ソース

キュー・サービスからメッセージを転送するキュー・ソースを選択します。

キュー・ソースおよび(オプションの)ファンクション・タスクで定義されたコネクタでは、次のターゲットがサポートされています。

この画像は、キュー・ソースおよびオプション・タスクで定義されたコネクタでサポートされるターゲットを示しています。

キュー・ソースのコールアウト
番号 説明
1 コネクタ・ハブはキューからメッセージを読み取ります。
2 オプション: 構成されている場合、コネクタ・ハブは次のタスクをトリガーします。
  • メッセージのカスタム処理のための関数タスク。
3 タスクは、処理済データをコネクタ・ハブに戻します。
4

コネクタ・ハブはメッセージをターゲット・サービスに書き込み、転送されたメッセージをキューから自動的に削除します。

ターゲット関数を含むシナリオについては、シナリオ: 関数へのキュー・メッセージの送信を参照してください。

コネクタ・ハブのキュー・ソースの保持期間は、キュー構成によって異なります。「キューの作成」を参照してください。配送の詳細は、配送の詳細を参照してください。

ストリーミング・ソース

ストリーミング・サービスからストリーム・データを転送するストリーミング・ソースを選択します。

次のターゲットは、ストリーミング・ソースおよび(オプションの)ファンクション・タスクで定義されたコネクタでサポートされています。

  • 関数

  • ログ分析

  • 通知*

    通知ターゲット(図でアスタリスク付き)がサポートされるのは、ファンクション・タスクを使用する場合以外です。

  • Object Storage

  • ストリーム
この画像は、ストリーミング・ソースおよびオプション・タスクで定義されたコネクタでサポートされるターゲットを示しています。
ストリーミング・ソースのコールアウト
数値 説明
1 コネクタ・ハブは、ストリーミングからストリーム・データを読み取ります。
2 オプション: 構成されている場合、コネクタ・ハブは次のタスクをトリガーします。
  • ストリーム・データのカスタム処理のための関数タスク。
3 タスクは、処理済データをコネクタ・ハブに戻します。
4 コネクタ・ハブは、ストリーム・データをターゲット・サービスに書き込みます。

コネクタ・ハブのストリーミング・ソースの保持期間は、お客様が定義しています。ストリーミング・リソースの制限 を参照してください。配送の詳細は、配送の詳細を参照してください。

保存期間とともに、ストリーミング・ソースの読取り位置によって、ストリーム内のデータの移動を開始する場所が決まります。

  • 最新読取り位置: コネクタの作成後に公開されたメッセージの読取りを開始します。
    • この構成で新しいコネクタを初めて実行すると、コネクタの作成時間からデータが移動します。最初の実行が失敗した場合(ポリシーが欠落している場合など)、解決後、コネクタはコネクタの作成時間からデータを移動するか、作成時間が保存期間外の場合はストリーム内で使用可能な最も古いデータを移動します。たとえば、保存期間が2時間のストリームについて午前10時に作成されたコネクタを考えてみます。失敗した実行が午前11時に解決された場合、コネクタは午前10時からデータを移動します。失敗した実行が午後1時に解決された場合、コネクタはストリーム内で使用可能な最も古いデータを移動します。
    • その後、ストリームの次の位置からデータを移動します。後で実行が失敗した場合、解決後、コネクタはストリームの次の位置またはストリーム内の最も古い使用可能なデータから、ストリームの保存期間に応じてデータを移動します。
  • Trim Horizonの読取り位置: ストリーム内で使用可能な最も古いメッセージから読取りを開始します。
    • この構成で新しいコネクタを初めて実行すると、ストリーム内で使用可能な最も古いデータからデータが移動します。最初の実行が失敗した場合(ポリシーの欠落など)、解決後、コネクタはストリームの保存期間に関係なく、ストリーム内で使用可能な最も古いデータを移動します。
    • その後、ストリームの次の位置からデータを移動します。後で実行が失敗した場合、解決後、コネクタはストリームの次の位置またはストリーム内の最も古い使用可能なデータから、ストリームの保存期間に応じてデータを移動します。

ターゲット

使用可能な各ターゲットを使用するタイミングを学習します。

  • ファンクション: データをファンクションに送信します。
  • ログ・アナリティクス: データをログ・グループに送信します。
  • モニタリング: メトリック・データ・ポイントをモニタリング・サービスに送信します。
  • 通知: データをトピックに送信します。
  • オブジェクト・ストレージ: データをバケットに送信します。
  • ストリーミング: データをストリームに送信します。

可用性

コネクタ・ハブ・サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連する場所、リージョン識別子、リージョン・キーおよび可用性ドメインについては、リージョンおよび可用性ドメインについてを参照してください。

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれる、Oracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびその他のリソース識別方法の詳細は、リソース識別子を参照してください。

コネクタ・ハブへのアクセス方法

Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

コンソール: コンソールを使用してコネクタ・ハブにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。ナビゲーション・メニューを開き、「アナリティクスとAI」をクリックします。「メッセージング」で、「コネクタ・ハブ」をクリックします。

また、コンソールで次のサービスからコネクタ・ハブにアクセスすることもできます:

  • ロギング: ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ロギング」で、「ログ」をクリックします。
  • ストリーミング: ナビゲーション・メニューを開き、「アナリティクスとAI」をクリックします。「メッセージング」で、「ストリーミング」をクリックします。

API: APIを介してコネクタ・ハブにアクセスするには、コネクタ・ハブAPIを使用します。

CLI: コネクタ・ハブのコマンドライン・リファレンスを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループコンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。様々なサービスそれぞれに対するポリシー作成の詳細は、ポリシー・リファレンスを参照してください。

管理者以外の通常のユーザーが会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合は、管理者に連絡してユーザーIDを設定してください。管理者は、ユーザーが使用できるコンパートメント(1つまたは複数)を確認できます。

トラブルシューティング情報は、コネクタのトラブルシューティングを参照してください。

コネクタ・ハブへのアクセス

管理者: コネクタ・ハブへのアクセスを提供する一般的なポリシーについては、IAMポリシーを参照してください。

ソース、タスクおよびターゲット・サービスへのアクセス

ノート

作成するすべてのポリシーが会社のガイドラインに準拠することを確認します。自動的に作成されたポリシーは、コネクタが削除されてもそのままです。ベスト・プラクティスとしては、コネクタを削除するときに関連するポリシーを削除してください。

データを移動するには、ソースタスクおよびターゲット・サービス内の指定されたリソースにアクセスするための認可が必要です。一部のリソースにはポリシーなしでアクセスできます。

コンソールを使用してコネクタを定義すると、必要な認可が用意されたデフォルト・ポリシーが提供されます。これらのポリシーは、コネクタのコンテキストに限定されます。デフォルト・ポリシーを受け入れるか、ユーザーおよびサービス・アクセス用のカスタム・ポリシーに適切な認可があることを確認できます。

デフォルト・ポリシー

この項では、コンソールでのコネクタの作成または更新の際に提供されるデフォルト・ポリシーについて説明します。

ノート

既存のコネクタのデフォルト・ポリシーを適用するには、コネクタを編集するだけです。デフォルト・ポリシーは、コネクタを作成または編集する際に必ず提供されます。唯一の例外は、一致するポリシーがIAMにすでに存在する場合です。このケースではデフォルト・ポリシーは提供されません。
ファンクション(タスクまたはターゲット)

コネクタがファンクション・タスクを指定するか、ターゲット・サービスとしてファンクションを選択した場合に該当します。

このポリシーが作成される場所: ファンクションが存在するコンパートメント。ファンクションは、コネクタを作成または更新するときにタスクまたはターゲットとして選択されます。

Allow any-user to use fn-function in compartment id <target_function_compartment_ocid> where all {request.principal.type='serviceconnector', request.principal.compartment.id='<serviceconnector_compartment_ocid>'} Allow any-user to use fn-invocation in compartment id <target_function_compartment_ocid> where all {request.principal.type='serviceconnector', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to use fn-function in compartment id <target_function_compartment_ocid>
    where all {
        request.principal.type='serviceconnector',     
        request.principal.compartment.id='<serviceconnector_compartment_ocid>'
    }
Allow any-user to use fn-invocation in compartment id <target_function_compartment_ocid>
    where all {
        request.principal.type='serviceconnector',     
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }
ロギング(ソースまたはタスク)

デフォルト・ポリシーは提供されません。ソースまたはタスクとしてログを指定するコネクタを作成または編集するには、指定するログへの読取りアクセス権が必要です。詳細は、ログおよびログ・グループの作業に必要な権限を参照してください。

ログ・アナリティクス(ターゲット)

コネクタが、ターゲット・サービスとしてログ・分析を指定した場合に該当します。

このポリシーが作成される場所: ログ・グループが存在するコンパートメント。ログ・グループは、コネクタを作成または更新するときにターゲットについて選択または入力されます。

Allow any-user to use loganalytics-log-group in compartment id <target_log_group_compartment_OCID> where all {request.principal.type='serviceconnector', target.loganalytics-log-group.id=<log_group_OCID>, request.principal.compartment.id=<serviceconnector_compartment_OCID>}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to use loganalytics-log-group in compartment id <target_log_group_compartment_OCID> 
    where all {
        request.principal.type='serviceconnector', 
        target.loganalytics-log-group.id=<log_group_OCID>, 
        request.principal.compartment.id=<serviceconnector_compartment_OCID>
    }
モニタリング(ソース)

コネクタが、ソース・サービスとしてモニタリングを指定した場合に該当します。

このポリシーが作成される場所: メトリック・ネームスペースが存在するコンパートメント。メトリック・ネームスペースは、コネクタを作成または更新するときにターゲットについて選択または入力されます。

Allow any-user to read metrics in tenancy where all {request.principal.type = 'serviceconnector', request.principal.compartment.id = '<compartment_OCID>', target.compartment.id in ('<compartment1_OCID>', '<compartment2_OCID>', '<compartment3_OCID>')}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to read metrics in tenancy 
    where all 
        {
            request.principal.type = 'serviceconnector', 
            request.principal.compartment.id = '<compartment_OCID>', 
            target.compartment.id in ('<compartment1_OCID>', '<compartment2_OCID>', '<compartment3_OCID>')
        }
モニタリング(ターゲット)

コネクタが、ターゲット・サービスとしてモニタリングを指定した場合に該当します。

このポリシーが作成される場所: メトリック・ネームスペースが存在するコンパートメント。メトリック・ネームスペースは、コネクタを作成または更新するときにターゲットについて選択または入力されます。

Allow any-user to use metrics in compartment id <target_metric_compartment_OCID> where all {request.principal.type='serviceconnector', target.metrics.namespace='<metric_namespace>', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to use metrics in compartment id <target_metric_compartment_OCID>
    where all 
        {
            request.principal.type='serviceconnector', 
            target.metrics.namespace='<metric_namespace>', 
            request.principal.compartment.id='<serviceconnector_compartment_OCID>'
        }
通知(ターゲット)

コネクタがターゲット・サービスとして通知を指定した場合に該当します。

このポリシーが作成される場所: トピックが存在するコンパートメント。トピックがターゲットとして選択されるのは、コネクタを作成または更新するときです。

Allow any-user to use ons-topics in compartment id <target_topic_compartment_OCID> where all {request.principal.type= 'serviceconnector', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to use ons-topics in compartment id <target_topic_compartment_OCID>
    where all {
        request.principal.type= 'serviceconnector',
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }
オブジェクト・ストレージ(ターゲット)

コネクタがターゲット・サービスとしてオブジェクト・ストレージを指定した場合に該当します。

このポリシーが作成される場所: バケットが存在するコンパートメント。バケットは、コネクタを作成または更新するときにターゲットとして選択されます。

Allow any-user to manage objects in compartment id <target_bucket_compartment_OCID> where all {request.principal.type='serviceconnector', target.bucket.name='<bucket_name>', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to manage objects in compartment id <target_bucket_compartment_OCID> 
    where all {
        request.principal.type='serviceconnector',
        target.bucket.name='<bucket_name>',          
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }
キュー(ソース)

コネクタが、ソース・サービスとしてキューを指定した場合に該当します。

このポリシーが作成される場所: キューが存在するコンパートメント。キューは、コネクタを作成または編集するときにソースとして選択されます。 

Allow any-user to { QUEUE_READ , QUEUE_CONSUME } in compartment id <queue_compartment_OCID> where all {request.principal.type='serviceconnector', target.queue.id='<queue_OCID>', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to { QUEUE_READ , QUEUE_CONSUME } in compartment id <queue_compartment_OCID>
    where all {
        request.principal.type='serviceconnector',
        target.queue.id='<queue_OCID>',
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }
ストリーミング(ソース)

コネクタがソース・サービスとしてストリーミングを指定した場合に該当します。

このポリシーが作成される場所: ストリームが存在するコンパートメント。ストリームは、コネクタを作成または更新するときにソースとして選択されます。

Allow any-user to {STREAM_READ, STREAM_CONSUME} in compartment id <source_stream_compartment_OCID> where all {request.principal.type='serviceconnector', target.stream.id='<stream_OCID>', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to {STREAM_READ, STREAM_CONSUME} in compartment id <source_stream_compartment_OCID>
    where all {
        request.principal.type='serviceconnector',
        target.stream.id='<stream_OCID>',
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }
ストリーミング(ターゲット)

コネクタがターゲット・サービスとしてストリーミングを指定した場合に該当します。

このポリシーが作成される場所: ストリームが存在するコンパートメント。ストリームは、コネクタを作成または更新するときにターゲットとして選択されます。

Allow any-user to use stream-push in compartment id <target_stream_compartment_OCID> where all {request.principal.type='serviceconnector', target.stream.id='<stream_OCID>', request.principal.compartment.id='<serviceconnector_compartment_OCID>'}

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow any-user to use stream-push in compartment id <target_stream_compartment_OCID>
    where all {
        request.principal.type='serviceconnector',
        target.stream.id='<stream_OCID>',
        request.principal.compartment.id='<serviceconnector_compartment_OCID>'
    }

コネクタ内のリソース(サービス)にアクセスするために必要な認可についてグループベースのポリシーを確認する際、そのコンテキスト(前の項を参照)でそのサービスに対して提供されるデフォルト・ポリシーを参照するか、ポリシー・リファレンスでサービスのポリシー詳細を参照してください。

ノート

既存のコネクタのデフォルト・ポリシーを適用するには、コネクタを編集するだけです。デフォルト・ポリシーは、コネクタを作成または編集する際に必ず提供されます。唯一の例外は、一致するポリシーがIAMにすでに存在する場合です。このケースではデフォルト・ポリシーは提供されません。

トラブルシューティング情報は、コネクタのトラブルシューティングを参照してください。

カスタム・ポリシー

コネクタおよび関連リソースにアクセスするための動的グループを使用してポリシーを記述します。

ノート

作成するすべてのポリシーが会社のガイドラインに準拠することを確認します。カスタム・ポリシーを記述する場合は、デフォルト・ポリシーを基準として使用します。

デフォルト・ポリシーの受入れ(all-usersサブジェクトを含む)のかわりに、動的グループを使用して、より狭いアクセスでカスタム・ポリシーを作成できます。

動的グループ

カスタム・ポリシーの動的グループを作成します。

  1. 動的グループの作成

    手順については、Managing Dynamic Groupsを参照してください。

  2. この新しい動的グループに対して、次の一致ルールを定義します。

    All {resource.type = 'serviceconnector', resource.compartment.id = '<serviceconnector_compartment_OCID>'}

    この動的グループをカスタム・ポリシーに使用します。

ファンクション(タスクまたはターゲット)

動的グループがコネクタのタスクまたはターゲットであるファンクション(ファンクション・サービス)にアクセスするためのカスタム・ポリシーを記述します。

これらのポリシーは、以前に作成された動的グループ用です。

ポリシー1:

Allow dynamic-group <dynamic-group-name> to use fn-function in compartment id <function_compartment_ocid>

ポリシー2:

Allow dynamic-group <dynamic-group-name> to use fn-invocation in compartment id <function_compartment_ocid>
ログ・アナリティクス(ターゲット)

コネクタのターゲットであるログ・グループ(ログ・アナリティクス・サービス)にアクセスするための動的グループのカスタム・ポリシーを記述します。

このポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to use loganalytics-log-group in compartment id <log_group_compartment_ocid> where target.loganalytics-log-group.id='<log_group_ocid>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to use loganalytics-log-group in compartment id <log_group_compartment_ocid> 
    where target.loganalytics-log-group.id='<log_group_ocid>'
モニタリング(ソース)

コネクタのソースであるメトリック(モニタリング・サービス)にアクセスするための動的グループのカスタム・ポリシーを記述します。

このポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to read metrics in compartment id <metric_compartment_ocid> where target.compartment.id in ('compartment1_OCID', 'compartment2_OCID', 'compartment3_OCID')

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to read metrics in compartment id <metric_compartment_ocid> 
    where target.compartment.id in ('<compartment1_OCID>', '<compartment2_OCID>', '<compartment3_OCID>')
モニタリング(ターゲット)

コネクタのターゲットであるメトリック(モニタリング・サービス)にアクセスするための動的グループのカスタム・ポリシーを記述します。

このポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to use metrics in compartment id <metric_compartment_ocid> where target.metrics.namespace='<metric_namespace>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to use metrics in compartment id <metric_compartment_ocid> 
    where target.metrics.namespace='<metric_namespace>'
通知(ターゲット)

動的グループがコネクタのターゲットであるトピック(通知)にアクセスするためのカスタム・ポリシーを記述します。

このポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to use ons-topics in compartment id <topic_compartment_ocid>
オブジェクト・ストレージ(ターゲット)

動的グループがコネクタのターゲットであるバケット(オブジェクト・ストレージ・サービス)にアクセスするためのカスタム・ポリシーを記述します。

このポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to manage objects in compartment id <bucket_compartment_ocid> where target.bucket.name='<bucket_name>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to manage objects in compartment id <bucket_compartment_ocid> 
    where target.bucket.name='<bucket_name>'
キュー(ソース)

動的グループがコネクタのソースであるキュー(キュー・サービス)にアクセスするためのカスタム・ポリシーを記述します。

これらのポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to { QUEUE_READ , QUEUE_CONSUME } in compartment id <queue_compartment_ocid> where target.queue.id='<queue_ocid>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to { QUEUE_READ , QUEUE_CONSUME } in compartment id <queue_compartment_ocid>
    where target.queue.id='<queue_ocid>'
ストリーミング(ソース)

コネクタのソースであるストリーム(ストリーミング・サービス)にアクセスするための動的グループのカスタム・ポリシーを記述します。

これらのポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to {STREAM_READ, STREAM_CONSUME} in compartment id <stream_compartment_ocid> where target.stream.id='<stream_ocid>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to {STREAM_READ, STREAM_CONSUME} in compartment id <stream_compartment_ocid>  
    where target.stream.id='<stream_ocid>'
ストリーミング(ターゲット)

動的グループがコネクタのターゲットであるストリーム(ストリーミング・サービス)にアクセスするためのカスタム・ポリシーを記述します。

これらのポリシーは、以前に作成された動的グループ用です。

Allow dynamic-group <dynamic-group-name> to use stream-push in compartment id <stream_compartment_ocid> where target.stream.id='<stream_ocid>'

次に、わかりやすくするために改行が追加されたポリシーを示します。

Allow dynamic-group <dynamic-group-name> to use stream-push in compartment id <stream_compartment_ocid> 
    where target.stream.id='<stream_ocid>'

コネクタ・ハブの制限

ロギングの制限は、コネクタがロギングを読み取る場合に適用されます。ストリーミングの制限は、コネクタがストリーミングを読み取る場合に適用されます。

適用可能な制限のリストと制限拡大をリクエストする手順については、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当て制限を使用できます。

非アクティブ化されたコネクタ

特定の障害状態では、継続的に障害が発生するコネクタは、Oracle Cloud Infrastructureのサービス・チームによって自動的に非アクティブ化されます。このような長期連続障害は、コネクタのソースまたはターゲットの無効な構成を示す場合があります。詳細は、「不明な理由による非アクティブ化」を参照してください。

セキュリティ

コネクタ・ハブのセキュリティについて説明します。

コネクタへのアクセス権限を付与します。コネクタ・ハブの保護を参照してください。