JMSフリート・ポリシー文

ポリシーは、会社が所有しているOracle Cloud Infrastructureリソースに誰がアクセスできるか、およびその方法を指定します。ポリシーによってグループは、特定のコンパートメント内の特定のリソースを一定の方法で作業できます。

この項では、フリート用Oracle Cloud Infrastructureの設定および拡張機能の有効化の一部として作成される様々なポリシー・ステートメントについて説明します。

JMSフリートに必要なOCIリソースの管理

次のポリシー・ステートメントを使用すると、ユーザー・グループのユーザーは、JMSフリート、管理エージェント、JMSプラグインおよびメトリックにアクセスして管理できます。

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment

OCIでのワークロードの監視

OCI上のワークロードの監視には、次のポリシー・ステートメントが使用されます。

ALLOW GROUP FLEET_MANAGERS TO MANAGE instance-family IN COMPARTMENT <instance_compartment>
ALLOW GROUP FLEET_MANAGERS TO READ instance-agent-plugins IN COMPARTMENT <instance_compartment> 
ノート

  1. <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
  2. JMSフリートで個別にモニターするOCI Linuxインスタンスがあるコンパートメントごとに、これらのポリシー・ステートメントを適用する必要があります。

管理エージェントのインストール・キー

次のポリシー・ステートメントにより、JMSフリートおよびユーザー・グループは管理エージェントのインストール・キーを管理できます。

ALLOW resource jms server-components TO USE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment

管理エージェント通信

次のポリシー・ステートメントにより、管理エージェントはJMSプラグインおよびJMSフリートと対話し、JMSフリートがテナンシにモニタリング・データを格納できるようになります。

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT <instance_compartment>
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT <instance_compartment>
ALLOW resource jms server-components TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ノート

  1. <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
  2. このポリシー・ステートメントは、JMSフリートで個別にモニターするOCI Linuxインスタンスがあるコンパートメントごとに適用する必要があります。

ログ構成

次のポリシー・ステートメントにより、JMSフリートは、コンパートメント内のフリートのログ構成を設定するためにOCIロギング・サービスと対話できます:

ALLOW resource jms server-components TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW resource jms server-components TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-content IN COMPARTMENT Fleet_Compartment

JMSフリートのOCI Linuxインスタンスの設定

ノート

このポリシー・ステートメントは、コンパートメント内のすべてのOCIインスタンスを管理するための動的グループのJMS_DYNAMIC_GROUP権限を付与します。OCI Linuxインスタンスで管理エージェントを適切に構成するには、インストール・スクリプトにこのポリシーが存在する必要があります。このポリシーは、インストール・スクリプトの実行ごとに存在する必要があります。インストールが完了したら、ポリシー・ステートメントの権限をMANAGEからUSEに変更できます。
次のポリシー・ステートメントは、インストール・スクリプトを使用してOCI Linuxインスタンスを設定するために使用します。
ALLOW dynamic-group JMS_DYNAMIC_GROUP TO MANAGE instances IN COMPARTMENT <instance_compartment>
ノート

  1. <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
  2. JMSフリートで個別にモニターするOCI Linuxインスタンスがあるコンパートメントごとに、これらのポリシー・ステートメントを適用する必要があります。

JMSでは、OCI Linuxインスタンスと連携するために次のポリシー・ステートメントが必要です。

ALLOW resource jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>
ノート

  1. <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
  2. JMSフリートで個別にモニターするOCI Linuxインスタンスがあるコンパートメントごとに、これらのポリシー・ステートメントを適用する必要があります。

拡張機能の実行

JMSでは、フリートで高度な機能を有効にして実行するために、特定のポリシー・ステートメントが必要です。

次のポリシー・ステートメントにより、JMSはオブジェクト・ストレージに対する読取り/書込みが可能です。

ALLOW dynamic-group JMS_DYNAMIC_GROUP to MANAGE object-family IN COMPARTMENT Fleet_Compartment
ALLOW group FLEET_MANAGERS to MANAGE object-family IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS to MANAGE object-family IN COMPARTMENT Fleet_Compartment
JMSでは、OCI Linuxインスタンスと連携するために次のポリシー・ステートメントが必要です。
ALLOW resource jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>
ノート

  1. <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
  2. JMSフリートで個別にモニターするOCI Linuxインスタンスがあるコンパートメントごとに、これらのポリシー・ステートメントを適用する必要があります。