ポリシー問題
OS管理ハブを使用するには、必要なグループおよびポリシー・ステートメントを作成する必要があります。これらのいずれかが正しく構成されていない場合は、サービスの使用中に問題が発生する可能性があります。
関連項目: OS管理ハブ・ポリシー。
動的グループ・ルールがありません
最も一般的なポリシー・エラーは、動的グループにOS管理ハブで管理するインスタンスが含まれていない場合に発生します。動的グループ・ルールはコンパートメントの継承をサポートしていません。したがって、サービスで管理するインスタンスを含むすべてのコンパートメントおよびサブコンパートメントに対して、動的グループ内に個別のルールを指定する必要があります。
ポリシー・アドバイザを使用する場合は、サービスで使用する各コンパートメントおよびサブコンパートメントで実行します。
ポリシーを手動で作成する場合は、動的グループに、サービスで管理するインスタンスを含むすべてのサブコンパートメントのルールが含まれていることを確認します。OCIインスタンスとOCI以外のインスタンスの両方がある場合は、両方のインスタンス・タイプに必要なルールが含まれていることを確認してください。
アイデンティティ・ドメインの指定がありません
ポリシー文では、文内のグループまたは動的グループ名の前にアイデンティティ・ドメインを明示的に定義しないかぎり、Defaultアイデンティティ・ドメインが使用されます(たとえば、<identity_domain_name>/<dynamic_group_name>)。詳細は、ポリシー構文を参照してください。
デフォルト・ドメインを使用していない場合は、各ポリシー・ステートメントでアイデンティティ・ドメインを指定していることを確認してください。たとえば:
allow group <identity-domain-name>/<osmh-admins> to manage osmh-family in tenancyポリシー・アドバイザのエラー・メッセージ
ポリシー・アドバイザは、サービスが必要とする必要なユーザー・グループ、動的グループおよびポリシーを定義することで、特定のコンパートメントのOS管理ハブをすばやく有効にします。ユーザー・アカウントに十分な権限がない場合や、グループおよびポリシーをアドバイザが使用する権限と異なる方法で定義した場合、ポリシー・アドバイザからエラーが表示されることがあります。
| Error Message | 考えられる原因と解決策 |
|---|---|
|
ポリシー・エラーが検出されました |
原因: ポリシーおよびグループ名が、アドバイザで想定されるものと完全には一致しません。アドバイザは、特定のポリシー、ポリシー・ステートメントおよびグループのセットをチェックします。ポリシー・アドバイザによって作成されるものを参照してください。 解決策: OS管理ハブが期待どおりに機能している場合は、ポリシー・エラー通知を無視できます。すでにポリシーを設定し、グループを指定し、アドバイザが使用するポリシー・ステートメントとは異なる方法でポリシー・ステートメントを定義している可能性があります。それ以外の場合は、ポリシー・アドバイザを実行します。 |
|
ポリシー情報の取得に失敗しました |
原因: ユーザー・アカウントでOS管理ハブを使用できず、ポリシー、グループまたは動的グループを読み取るための十分な権限がありません。 解決策: OS管理ハブを有効にするには、テナンシ管理者に連絡してください。ポリシー・アドバイザに必要な権限を参照してください。 |
|
サービスが設定されている可能性がありますが、ポリシー情報を確認できません |
原因: ユーザー・アカウントには、ポリシー、グループまたは動的グループを読み取るための十分な権限がありません。ポリシー・アドバイザは、必要なグループ、動的グループおよびポリシーを確認できません。ポリシー・アドバイザによって作成されるものを参照してください。 解決策: OS管理ハブが期待どおりに機能している場合は、ポリシー・エラー通知を無視できます。それ以外の場合は、テナンシ管理者に連絡してOS管理ハブを有効にしてください。ポリシー・アドバイザに必要な権限を参照してください。 |
|
<resource>の更新に失敗しました: NotAuthorizedOrNotFound |
原因: ポリシー・アドバイザの変更を確認し、「設定」をクリックすると、ユーザー・アカウントにポリシー、グループまたは動的グループを作成または更新するための十分な権限がない場合に、このメッセージが表示されます。たとえば、" 解決策: OS管理ハブを有効にするには、テナンシ管理者に連絡してください。ポリシー・アドバイザに必要な権限を参照してください。 |
登録エラー
インスタンスの登録時に次のエラーが発生した場合、ポリシー・ステートメントまたは動的グループ・ルールが正しく設定されていないことを示している可能性があります。
osmh-agent.logには次のものが含まれます。
ERROR: failed to update managed instance: Error returned by Service. Http Status Code: 404.
Error Code: NotAuthorizedOrNotFound. Opc request id: <requestID>. Message: Authorization failed or requested resource not found.
...
Request Endpoint: PUT https://osmh.<region>.oci.oraclecloud.com/20220901/agent/managedInstances/ocid1.managementagent.oc1.iad.<ocid>または、「コンピュート・インスタンスの詳細」ページの「Oracle Cloud Agent」タブに、次のいずれかのメッセージが表示されます。
Plugin OS Management Hub Agent not present for instance ocid1.instance.oc1.iad.<ocid>failed to start osmh-agent with [lookup image failed. The instance could not register with OS Management Hub.この問題を解決するには、ポリシー・ステートメントおよび動的グループ・ルールが正しく構成されていることを確認してください。通常、動的グループにはインスタンスが含まれません。
次を確認します。
- サービスで管理するインスタンスを含む各コンパートメントおよびサブコンパートメントの動的グループ・ルールが含まれていることを確認します。動的グループはコンパートメントの継承をサポートしていません。
defaultアイデンティティ・ドメインを使用しない場合は、各ポリシー・ステートメントに、グループまたは動的グループ名の前にアイデンティティ・ドメインがあることを確認します(たとえば、<identity_domain_name>/<dynamic_group_name>)。