コンピュート・インスタンスへの管理エージェントのデプロイの前提条件の実行

コンピュート・インスタンス上の管理エージェントのためのOracle Cloud Infrastructureの設定

Oracle Cloud Agentを使用してOracle Cloud Infrastructureコンピュート・インスタンスに管理エージェントをデプロイする前に、Oracle Cloud Infrastructure環境が正しく設定されていることを確認する必要があります。

この項では、Oracle Cloud AgentおよびOracle Cloud Infrastructure Computeサービスを使用した、管理エージェントの設定と操作に関連するステップについて説明します。

ノート

2022年3月29日以降、マネージメント・エージェントに関連する動的グループ・ポリシーは手動で追加する必要はありません。OCI Management Agentクラウド・サービスはバックエンドで認可と権限を自動的に適用するためです。

その他の監視および管理OCIサービスの動的グループ・ポリシー要件の詳細は、特定のOCIサービスのドキュメントを参照してください。

Oracle Cloud Infrastructureの詳細は、Oracle Cloud Infrastructureを参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。

ステップ1: Oracle Cloud Agentの使用時にユーザーが管理エージェントを有効または無効にできるようにするポリシーの作成

OCI Computeサービス内で管理エージェントを有効化または無効化する権限をユーザーに付与するポリシーを作成します。管理エージェントの有効化または無効化は、ユーザー・インタフェース/OCIコンソールまたはコンピュートAPIを使用して実行できます。

表8-1 Oracle Cloud Agentの使用時にユーザーが管理エージェントを有効または無効にできるようにするポリシーの作成

ポリシー・ステートメント 説明

ALLOW GROUP <admins_user_group> TO MANAGE instance-family IN COMPARTMENT <compartment_name>

これによって、管理エージェント・ユーザー・グループが、指定されたコンパートメント内でOracle Cloud Agent (OCA)のプラグインを管理できるようになります。TO MANAGE instance-familyを使用して、OCAユーザー・インタフェースまたはAPIの使用時にユーザーが管理エージェントを有効化または無効化できるようにします。コンパートメント名は、OCIコンピュート・インスタンスのコンパートメントの名前と一致する必要があります。

ALLOW GROUP <admins_user_group> TO READ instance-agent-plugins IN COMPARTMENT <compartment-name>

これによって、管理エージェント・ユーザー・グループがプラグインのリストを取得できるようになります。コンパートメント名は、OCIコンピュート・インスタンスのコンパートメントの名前と一致する必要があります。

たとえば、ManagementAgentAdminsというユーザー・グループを定義した場合、ポリシー・ステートメントは次のようになります:

ALLOW GROUP ManagementAgentAdmins TO MANAGE instance-family IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ instance-agent-plugins IN COMPARTMENT mgmtagent

この場合、ManagementAgentAdminsユーザー・グループのユーザーがOCI APIコールで自分のユーザー・プリンシパルを使用できるようになります。または、OCIコンソール経由でログインしたときに、Oracle Cloud Agentプラグインとして実行している管理エージェントを有効化または無効化できます。

OCI Computeサービスでプラグインを管理する際のポリシーの詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

ステップ2:管理エージェントを管理するためのユーザー・グループの作成

管理エージェントはOracle Cloud Infrastructureのリソースとして定義されます。

ユーザーがOCIコンソールおよびAPIで管理エージェント・リソースを管理できるようにするポリシーを作成します。

リソース・タイプ 説明
management-agents 管理エージェント・リソース

ユーザー管理をしやすくするために、個々のユーザーではなく特定のグループに適用するポリシーを作成することをお薦めします。特定のグループに属するすべてのユーザーは、その特定のグループのポリシーと権限を自動的に継承します。

このステップでは、OCIコンソールでIdentity and Access Managementサービスを使用してユーザー・グループを作成します。

  • Identity and Access Managementサービスにアクセスするには、ナビゲーション・メニューを開きます。「アイデンティティとセキュリティ」で、「アイデンティティ」に移動します。

  • 「グループ」をクリックします。

  • 「グループの作成」をクリックします。

  • 「グループの作成」ダイアログ・ボックスで、グループの名前と説明を入力し、「作成」をクリックします。

    たとえば、ManagementAgentAdminsという名前のグループを作成します。

ステップ3:ユーザー・グループのポリシーの作成

ポリシーによって、ユーザー・グループが管理エージェント・リソースmanagement-agentsを管理できるようになります。

表8-2ポリシーの作成

ポリシー・ステートメント 説明
ALLOW GROUP <group_name> TO MANAGE management-agents IN COMPARTMENT <compartment_name> これによって、ユーザー・グループに属するすべてのユーザーが、特定のコンパートメントのmanagement-agentsリソースを管理できるようになります。
ALLOW GROUP <group_name> TO READ METRICS IN COMPARTMENT <compartment_name> これによって、ユーザー・グループに属するすべてのユーザーが、管理エージェントによってアップロードされたメトリックを見られるようになります。
ALLOW GROUP <group-name> TO READ USERS IN TENANCY オプションのポリシー・ステートメント。これによって、ユーザー・グループに属するすべてのユーザーが、テナンシ内のユーザー名を読み取ってユーザー名を表示できるようになります(ユーザー・インタフェースのダウンロードとキー・ページのユーザーIDではありません)。
たとえば、次のコマンドでは、ManagementAgentAdminsユーザー・グループにmgmtagentコンパートメント内でのすべての機能の実行を許可するポリシーが作成されます。
ALLOW GROUP ManagementAgentAdmins TO MANAGE management-agents IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ METRICS IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ USERS IN TENANCY

ポリシー・ステートメントを作成するときは、必要に応じてコンパートメントの名前を連結することを忘れないでください。たとえば、mgmtagentコンパートメントがbusiness_unit_1コンパートメントに属している場合、ステートメントで使用する正しいコンパートメント名はbusiness_unit_1:mgmtagentです。

Oracle Cloud Agentを使用した管理エージェントのデプロイに関する一般的な前提条件

Oracle Cloud Agentを使用してコンピュート・インスタンスに管理エージェントをデプロイする前に、次の前提条件が満たされていることを確認します:

オペレーティング・システムの要件

  • 最小ディスク要件: 空きディスク容量400MB。