コンピュート・インスタンスへの管理エージェントのデプロイの前提条件の実行
コンピュート・インスタンス上の管理エージェントのためのOracle Cloud Infrastructureの設定
Oracle Cloud Agentを使用してOracle Cloud Infrastructureコンピュート・インスタンスに管理エージェントをデプロイする前に、Oracle Cloud Infrastructure環境が正しく設定されていることを確認する必要があります。
この項では、Oracle Cloud AgentおよびOracle Cloud Infrastructure Computeサービスを使用した、管理エージェントの設定と操作に関連するステップについて説明します。
2022年3月29日以降、マネージメント・エージェントに関連する動的グループ・ポリシーは手動で追加する必要はありません。OCI Management Agentクラウド・サービスはバックエンドで認可と権限を自動的に適用するためです。
その他の監視および管理OCIサービスの動的グループ・ポリシー要件の詳細は、特定のOCIサービスのドキュメントを参照してください。
Oracle Cloud Infrastructureの詳細は、Oracle Cloud Infrastructureを参照してください。
ステップ1: Oracle Cloud Agentの使用時にユーザーが管理エージェントを有効または無効にできるようにするポリシーの作成
OCI Computeサービス内で管理エージェントを有効化または無効化する権限をユーザーに付与するポリシーを作成します。管理エージェントの有効化または無効化は、ユーザー・インタフェース/OCIコンソールまたはコンピュートAPIを使用して実行できます。
表8-1 Oracle Cloud Agentの使用時にユーザーが管理エージェントを有効または無効にできるようにするポリシーの作成
| ポリシー・ステートメント | 説明 |
|---|---|
|
|
これによって、管理エージェント・ユーザー・グループが、指定されたコンパートメント内でOracle Cloud Agent (OCA)のプラグインを管理できるようになります。TO MANAGE instance-familyを使用して、OCAユーザー・インタフェースまたはAPIの使用時にユーザーが管理エージェントを有効化または無効化できるようにします。コンパートメント名は、OCIコンピュート・インスタンスのコンパートメントの名前と一致する必要があります。
|
|
|
これによって、管理エージェント・ユーザー・グループがプラグインのリストを取得できるようになります。コンパートメント名は、OCIコンピュート・インスタンスのコンパートメントの名前と一致する必要があります。 |
たとえば、ManagementAgentAdminsというユーザー・グループを定義した場合、ポリシー・ステートメントは次のようになります:
ALLOW GROUP ManagementAgentAdmins TO MANAGE instance-family IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ instance-agent-plugins IN COMPARTMENT mgmtagentこの場合、ManagementAgentAdminsユーザー・グループのユーザーがOCI APIコールで自分のユーザー・プリンシパルを使用できるようになります。または、OCIコンソール経由でログインしたときに、Oracle Cloud Agentプラグインとして実行している管理エージェントを有効化または無効化できます。
OCI Computeサービスでプラグインを管理する際のポリシーの詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。
ステップ2:管理エージェントを管理するためのユーザー・グループの作成
管理エージェントはOracle Cloud Infrastructureのリソースとして定義されます。
ユーザーがOCIコンソールおよびAPIで管理エージェント・リソースを管理できるようにするポリシーを作成します。
| リソース・タイプ | 説明 |
|---|---|
| management-agents | 管理エージェント・リソース |
ユーザー管理をしやすくするために、個々のユーザーではなく特定のグループに適用するポリシーを作成することをお薦めします。特定のグループに属するすべてのユーザーは、その特定のグループのポリシーと権限を自動的に継承します。
このステップでは、OCIコンソールでIdentity and Access Managementサービスを使用してユーザー・グループを作成します。
-
Identity and Access Managementサービスにアクセスするには、ナビゲーション・メニューを開きます。「アイデンティティとセキュリティ」で、「アイデンティティ」に移動します。
-
「グループ」をクリックします。
-
「グループの作成」をクリックします。
-
「グループの作成」ダイアログ・ボックスで、グループの名前と説明を入力し、「作成」をクリックします。
たとえば、
ManagementAgentAdminsという名前のグループを作成します。
ステップ3:ユーザー・グループのポリシーの作成
ポリシーによって、ユーザー・グループが管理エージェント・リソースmanagement-agentsを管理できるようになります。
表8-2ポリシーの作成
| ポリシー・ステートメント | 説明 |
|---|---|
ALLOW GROUP <group_name> TO MANAGE management-agents IN COMPARTMENT <compartment_name> |
これによって、ユーザー・グループに属するすべてのユーザーが、特定のコンパートメントのmanagement-agentsリソースを管理できるようになります。
|
ALLOW GROUP <group_name> TO READ METRICS IN COMPARTMENT <compartment_name> |
これによって、ユーザー・グループに属するすべてのユーザーが、管理エージェントによってアップロードされたメトリックを見られるようになります。 |
ALLOW GROUP <group-name> TO READ USERS IN TENANCY |
オプションのポリシー・ステートメント。これによって、ユーザー・グループに属するすべてのユーザーが、テナンシ内のユーザー名を読み取ってユーザー名を表示できるようになります(ユーザー・インタフェースのダウンロードとキー・ページのユーザーIDではありません)。 |
ManagementAgentAdminsユーザー・グループにmgmtagentコンパートメント内でのすべての機能の実行を許可するポリシーが作成されます。ALLOW GROUP ManagementAgentAdmins TO MANAGE management-agents IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ METRICS IN COMPARTMENT mgmtagent
ALLOW GROUP ManagementAgentAdmins TO READ USERS IN TENANCYポリシー・ステートメントを作成するときは、必要に応じてコンパートメントの名前を連結することを忘れないでください。たとえば、mgmtagentコンパートメントがbusiness_unit_1コンパートメントに属している場合、ステートメントで使用する正しいコンパートメント名はbusiness_unit_1:mgmtagentです。