JMSフリート・ポリシー文
ポリシーは、会社が所有しているOracle Cloud Infrastructureリソースに誰がアクセスできるか、およびその方法を指定します。ポリシーによってグループは、特定のコンパートメント内の特定のリソースを一定の方法で作業できます。
この項では、フリート用Oracle Cloud Infrastructureの設定および拡張機能の有効化の一部として作成される様々なポリシー・ステートメントについて説明します。
JMSフリートに必要なOCIリソースの管理
次のポリシーにより、ユーザー・グループのユーザーはJMSフリート、管理エージェント、メトリックおよびタグ・ネームスペースにアクセスして管理できます:
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
OCIでのワークロードの監視
OCI上のワークロードの監視には、次のポリシーが使用されます。
ALLOW GROUP FLEET_MANAGERS TO MANAGE instance-family IN COMPARTMENT <instance_compartment>
ALLOW GROUP FLEET_MANAGERS TO READ instance-agent-plugins IN COMPARTMENT <instance_compartment>
- <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
- これらのポリシーは、JMSフリートで個別に監視するOCI Linuxインスタンスがあるコンパートメントごとに適用する必要があります。
管理エージェントのインストール・キー
次のポリシーにより、JMSフリートおよびユーザー・グループは管理エージェントのインストール・キーを管理できます:
ALLOW resource jms server-components TO USE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
管理エージェント通信
次のポリシーによって、管理エージェントがJMSフリートを操作し、JMSフリートがモニタリング・データをテナンシに格納してタグ・ネームスペースを使用できるようになります。
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW resource jms server-components TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
ログ構成
次のポリシーにより、JMSフリートはOCIロギング・サービスと対話して、コンパートメント内のフリートのログ構成を設定できます:
ALLOW resource jms server-components TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW resource jms server-components TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
JMSフリートのOCI Linuxインスタンスの設定
このポリシーは、コンパートメント内のすべてのOCIインスタンスを管理するための動的グループJMS_DYNAMIC_GROUP権限を付与します。OCI Linuxインスタンスで管理エージェントを正しく構成するには、インストール・スクリプトにこのポリシーが存在する必要があります。このポリシーは、インストール・スクリプトの実行ごとに存在する必要があります。インストールが完了したら、ポリシー権限を
MANAGE
からUSE
に変更できます。
ALLOW dynamic-group JMS_DYNAMIC_GROUP TO MANAGE instances IN
COMPARTMENT <instance_compartment>
- <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
- これらのポリシーは、JMSフリートで個別に監視するOCI Linuxインスタンスがあるコンパートメントごとに適用する必要があります。
拡張機能の実行
JMSでは、フリートで高度な機能を有効にして実行するために特定のポリシーが必要です。
次のポリシーにより、JMSはオブジェクト・ストレージに対する読取り/書込みが可能です:
ALLOW dynamic-group JMS_DYNAMIC_GROUP to MANAGE object-family in compartment Fleet_Compartment
ALLOW group FLEET_MANAGERS to MANAGE object-family in compartment Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS to MANAGE object-family in compartment Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO READ instances in compartment <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins in compartment <instance_compartment>
- <instance_compartment>を、JMSフリートでモニターするOCI Linuxインスタンスを含むコンパートメントの名前に置き換えます。
- これらのポリシーは、JMSフリートで個別に監視するOCI Linuxインスタンスがあるコンパートメントごとに適用する必要があります。