Application Performance Monitoring (APM)を使用する前に、Oracle Cloud Infrastructure (OCI)のリソースおよびサービスへのアクセスを許可するポリシーが作成されていることを確認する必要があります。

Application Performance Monitoring (APM)用にOracle Cloud Infrastructure (OCI)環境を手動で設定するには、次のステップに従います:

ステップ1: 使用するコンパートメントの作成または指定

新しいコンパートメントを作成するか、既存のコンパートメントを使用して、Application Performance Monitoringサービスをインストールして構成できます。コンパートメントの詳細は、コンパートメントの管理を参照してください。

ステップ2: ユーザーとグループの作成

Application Performance Monitoringは、認証および認可のためにOracle Cloud InfrastructureのIdentity and Access Management (IAM)サービスと統合されます。

Application Performance Monitoringのユーザーとグループは、IAMサービスを使用して作成されます。ユーザーとグループの作成および管理の詳細は、ユーザーの管理およびグループの管理を参照してください。

ステップ3: ポリシーの作成

ポリシーによって、ユーザーおよびグループが特定のコンパートメント内のOracle Cloud Infrastructureリソースを管理することを許可します。これらは、Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスを使用して作成されます。

ポリシーは、次の基本的な構文を使用して、誰がどのリソースに対してどのようなファンクションを実行できるかを決定するように記述されます:

Allow <subject> to <verb> <resource> in <location>

• 誰が(すなわち<subject>)は、権限が付与されるユーザー・グループを示します。
• どのような(すなわち<verb> <resource type>)は、4つのOracle Cloud Infrastructure動詞(Inspect、Read、Use、Manage)を示します。これを使用して、ポリシーの権限、および付与する権限のリソース・タイプを定義できます。
• どの(すなわち<location>)は、アクセス権が付与される、リソース・タイプが存在するテナンシまたはコンパートメントを示します。

Oracle Cloud InfrastructureコンソールまたはAPIを使用したポリシーの作成の詳細は、ポリシーの管理を参照してください。

APMのポリシー:

Application Performance Monitoringサービスを使用するには、次のポリシーを確認します:

Application Performance Monitoringポリシー

Oracle Cloud Infrastructure Application Performance Monitoringサービス・ポリシーを使用すると、APMドメイン(リソース・タイプ: apm-domains)を操作する権限を付与できます。これには、APMドメインの作業リクエストを処理する権限や、APMドメイン内のシステムをモニターする権限が含まれます。

Application Performance Monitoringリソース・タイプおよび4つのOracle Cloud Infrastructure動詞と組み合せて使用したときに付与される権限の詳細は、Application Performance Monitoringの詳細を参照してください。

例

Application Performance Monitoringを使用する権限をユーザー・グループに付与するために作成できるポリシーの例を次にいくつか示します:

• ユーザー・グループがAPMドメイン、作業リクエスト、作業リクエスト・エラーおよびAPMドメイン内の作業リクエスト・ログをリストすることを許可します。

  Allow group APM-Users-A to inspect apm-domains in compartment Project-A

• inspect動詞にリストされている権限を含めます。さらに、ユーザー・グループはAPMドメインの詳細の表示やAPMドメイン内の可用性モニタリング・スクリプトおよびモニターの詳細のリストや表示などのタスクを実行できます:

  Allow group APM-Users-B to read apm-domains in compartment Project-B

• read動詞にリストされている権限を含め、さらに、ユーザー・グループがAPMドメインの更新、APMドメイン内の可用性モニタリング・スクリプトおよびモニターの作成、削除、更新などのタスクの実行を許可します:

  Allow group APM-Admins-A to use apm-domains in compartment Project-A

• use動詞にリストされている権限を含め、さらに、ユーザー・グループがAPMドメインの作成や削除などのタスクを実行することを許可します。

  Allow group APM-Admins-B to manage apm-domains in compartment Project-B

モニタリング・ポリシー

Application Performance Monitoringは、Oracle Cloud Infrastructure Monitoringサービスにメトリックを生成できます。

モニタリング・サービス権限は、メトリック・エクスプローラでApplication Performance Monitoringメトリックにアクセスし、Application Performance Monitoringメトリックがアラームで指定されたトリガーを満たした場合に通知されるアラームを作成し、Application Performance Monitoringの「ホーム」ページの「アラーム」保存済検索(ウィジェット)でアラームを表示するために必要です。アラームの作成には、モニタリング・サービス権限に加えてOracle Cloud Infrastructureサービス権限も必要です。

追加情報を次に示します:

• メトリック・エクスプローラでメトリックにアクセスする権限をApplication Performance Monitoringユーザー・グループに付与するには、metricsリソース・タイプに対するread動詞を使用してモニタリング・サービス・ポリシーを作成する必要があります。ポリシーの例を次に示します:

  Allow group APM-USERS to read metrics in compartment ABC

  特定のApplication Performance Monitoringメトリック・ネームスペースへのアクセスを制御するには、モニタリング・サービスでサポートされているwhere条件およびtarget.metrics.namespace変数を追加します。これにより、ユーザー・グループは、3つのApplication Performance Monitoringメトリック・ネームスペースの1つによって発行されたメトリックにのみアクセスできます:

  • oracle_apm_rum
  • oracle_apm_synthetics
  • oracle_apm_monitoring
  • oracle_apm_custom

  次に例を示します:

  Allow group APM-USERS to read metrics in compartment ABC where target.metrics.namespace='oracle_apm_rum'

• アラームを作成する権限をApplication Performance Monitoringユーザー・グループに付与するには、モニタリング・サービスおよび通知サービスのポリシーを作成する必要があります。ポリシーの例を次に示します:

  Allow group APM-USERS to manage alarms in compartment ABC
  Allow group APM-USERS to read metrics in compartment ABC
  Allow group APM-USERS to use ons-topics in compartment ABC

• ホーム・ページの「アラーム」ウィジェットでアラームを表示する権限をApplication Performance Monitoringユーザー・グループに付与するには、alarmsリソース・タイプに対するread動詞を使用してモニタリング・サービス・ポリシーを作成する必要があります。ポリシーの例を次に示します:

  Allow group APM-USERS to read alarms in compartment ABC

モニタリング・サービス・ポリシーの詳細は、認証と認可を参照してください。

管理ダッシュボードおよび管理保存検索ポリシー(オプション)

Oracle Cloud Infrastructure管理ダッシュボードの権限は、カスタム・ダッシュボードを作成し、management-dashboardおよびmanagement-saved-searchリソース・タイプを使用してApplication Performance Monitoringに保存された問合せを操作するために必要です。

ユーザーは、書込み権限を持つコンパートメントにリソースを保存し、読取り権限を持つコンパートメントからリソースを開くことができます。管理者は、読取り/書込みmanagement-dashboardおよびmanagement-saved-searchポリシーを使用して、ユーザー専用コンパートメントへの書込みアクセス権を許可することでプライベート・リソースを保存および取得し、一部のユーザーに書込み権限を付与することで共有リソースを許可できますが、他のユーザーに読取り権限のみを許可できます。

• 管理ダッシュボードの権限

  管理ダッシュボードの権限は、Application Performance Monitoringでダッシュボードを操作する必要があります。

  管理者は、Application Performance Monitoringユーザーがカスタム・ダッシュボードおよびウィジェットを操作することを許可するポリシーを作成できます。

  ダッシュボードを管理するために作成できるポリシーの例を次に示します:

  Allow group APM-USERS to manage management-dashboard in compartment ABC

  管理ダッシュボード・リソース・タイプ、4つのOracle Cloud Infrastructure動詞とともに使用したときに付与される権限、およびポリシー例の詳細は、管理ダッシュボードの詳細を参照してください。

• 管理保存済検索権限

  保存済問合せを操作し、後でApplication Performance Monitoringで開くには、管理保存済検索権限が必要です。

  ユーザー・グループに必要な権限を付与するために作成できるポリシーの例を次に示します:

  • 問合せを保存するには:

    Allow group APM-USERS to manage management-saved-search in compartment ABC

  • 保存済問合せを開くには:

    Allow group APM-USERS to inspect management-saved-search in compartment ABC

  management-saved-searchリソース・タイプおよびポリシーの例の詳細は、管理ダッシュボードの詳細を参照してください。

  保存済問合せの詳細は、「保存済問合せの構成」を参照してください。

非管理ユーザー専用のバンテージ・ポイント・ポリシー(オプション)

Oracle Cloudアカウント管理者は、リソース・マネージャ・スタックを作成して専用バンテージ・ポイントを設定するタスクを理想的に実行する必要があります。管理以外のユーザーが専用バンテージ・ポイントを設定する場合は、必要な権限を付与するためのポリシーを作成する必要があります。専用バンテージ・ポイントの詳細は、専用バンテージ・ポイントの使用を参照してください。

管理者以外のユーザーに必要な専用バンテージ・ポイント・ポリシーの例を次に示します。

• リソース・マネージャ・リソース・タイプ

  Allow group dvpSetupUserGroup to manage orm-stacks in compartment ABC

  Allow group dvpSetupUserGroup to manage orm-jobs in compartment ABC

  リソース・マネージャのリソース・タイプおよび権限の詳細は、リソース・マネージャの詳細を参照してください。

• コンテナ・レジストリ・リソース・タイプ

  ENDORSE group dvpSetupUserGroup to read repos in any-tenancy

  コンテナ・レジストリのリソース・タイプおよび権限の詳細は、コンテナ・レジストリの詳細を参照してください。

• すべてのOracle Cloud Infrastructureリソース・タイプ

  Allow group dvpSetupUserGroup to read all-resources in tenancy

• Application Performance Monitoringリソース・タイプ

  Allow group dvpSetupUserGroup to manage apm-domains in tenancy

  Application Performance Monitoringのリソース・タイプおよび権限の詳細は、Application Performance Monitoringの詳細を参照してください

• ネットワーキング集約リソース・タイプ

  Allow group dvpSetupUserGroup to manage virtual-network-family in compartment ABC

  ネットワーキングのリソース・タイプおよび権限の詳細は、コア・サービスの詳細を参照してください。

• 集計リソース・タイプの計算

  Allow group dvpSetupUserGroup to manage instance-family in compartment ABC

  コンピュート・リソース・タイプおよび権限の詳細は、コア・サービスの詳細を参照してください。

• Container Engine for Kubernetes集計リソース・タイプ

  Allow group dvpSetupUserGroup to manage cluster-family in compartment ABC

  Container Engine for Kubernetesリソース・タイプおよび権限の詳細は、Container Engine for Kubernetesの詳細を参照してください。

• ストリーミング集計リソース・タイプ

  Allow group dvpSetupUserGroup to manage stream-family in compartment ABC

  Streamingリソース・タイプおよび権限の詳細は、ストリーミング・サービスの詳細を参照してください。

• IAMリソース・タイプ

  Allow group dvpSetupUserGroup to manage dynamic-groups in tenancy

  Allow group dvpSetupUserGroup to manage policies in tenancy

  Allow group dvpSetupUserGroup to manage tag-namespaces in compartment ABC

  IAMリソース・タイプおよび権限の詳細は、アイデンティティ・ドメインのあるIAMの詳細またはアイデンティティ・ドメインのないIAMの詳細を参照してください。

• Vaultリソース・タイプ

  Allow group dvpSetupUserGroup to manage keys in compartment ABC

  Allow group dvpSetupUserGroup to manage vaults in compartment ABC
  

  Vaultリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。

• ロギング・リソース・タイプ

  Allow group dvpSetupUserGroup to manage log-groups in compartment ABC

  Allow group dvpSetupUserGroup to manage unified-configuration in compartment ABC

  ロギング・リソース・タイプおよび権限の詳細は、ロギングの詳細を参照してください。

リソース・プリンシパル認証ポリシー(オプション)

可用性モニタリングでモニターを作成している場合、Oracle Cloudアカウント管理者は、リソース・プリンシパル認証を使用するタスクを実行する必要があります。可用性モニタリングでのモニターの作成の詳細は、モニターの作成を参照してください。

必要なリソース・プリンシパル動的グループおよびポリシーは次のとおりです:

1. 動的グループの作成

   顧客は、リソースID、リソース・タグ値、リソース、リソース・タイプまたはこれらの任意の組合せを含む顧客コンパートメントIDを使用できる、発行されたリソースを含む動的グループを作成する必要があります。

   動的グループの照合ルールは次のようになります。

   • 顧客テナンシ内の指定されたコンパートメントのすべてのモニター・リソースを許可します:

     resource.compartment.id = '<customer_compartment_ocid>'

   • 顧客テナンシに指定されたコンパートメントのリソース・タイプ: apmsyntheticmonitorのすべてのモニター・リソースを許可します:

     All{resource.type='apmsyntheticmonitor', 'resource.compartment.id='<customer_compartment_ocid>'}

   • 指定したリソース・タイプのモニター・リソースを顧客テナンシの指定されたコンパートメントで許可します:

     All{resource.id='<apmsyntheticmonitor-ocid>', resource.type='apmsyntheticmonitor', 'resource.compartment.id='<customer-compartment-ocid>'}

   • リソース・タイプapmsyntheticmonitorのすべてのモニター・リソースを許可するか、指定されたコンパートメントのすべてのモニター・リソースを許可します:

     Any{resource.type='apmsyntheticmonitor', 'resource.compartment.id='<customer_compartment_ocid>'}

2. ポリシーの追加

   ユーザーはテナンシにポリシーを作成して、Casperバケット、KMS、ボールト、Telemetry (T2)などのリソースにアクセスする権限を動的グループに付与する必要があります。

   Allow Dynamic-group <dynamic_group_name> to use object-storage where compartment=<customer_compartment_ocid>; 

   例: synthetic-rp-dgという名前の動的グループがある場合、1つ以上のモニターがApmTestコンパートメント内のオブジェクトにアクセスできるように、顧客に対して次のポリシーを作成できます。

   Allow Dynamic-group synthetic-rp-dg to manage objects in compartment ApmTest; 

オンプレミス・バンテージ・ポイント・ポリシー

詳細は、「オンプレミス・バンテージ・ポイントの前提条件タスクの実行」を参照してください。