ポリシー・アドバイザを使用したポリシーの作成および管理
ポリシー・アドバイザを使用して、Opsインサイトに対して有効にできるリソースに対するOCI権限を迅速に確立します。ポリシー・アドバイザは、Opsインサイトに必要なポリシーを表示、作成、更新および削除できる集中管理された場所です。
ポリシー・アドバイザは、次のポリシーの作成を自動化します。
- Opsインサイトのユーザーが必要とするポリシー(管理者と読取り専用ユーザーの両方)。
- Opsインサイト・サービスが適切に機能するために必要なポリシー。
- デモ・モードを設定するポリシー(オプション)。
ノート
any-userポリシーは、Opsインサイト・サービスに必要なリソース・プリンシパル・ポリシーです。group {name}を含むポリシーは、ユーザーがサービスを有効にしようとしたときに必要です。
Opsインサイトは、2025年8月31日からセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを非推奨にしています。詳細は、サービス・プリンシパル・ポリシーの削除を参照してください。
オペレーション・インサイトの前提条件ポリシーの設定
ルート・コンパートメントにポリシーを作成する機能を持つ管理者は、次のステップに従って、ポリシー・アドバイザで必要な前提条件ポリシーを設定します:
- Opsインサイトの「概要」ページの右上にあるポリシー・アドバイザをクリックします。これにより、ポリシー・アドバイザ・ウィザードが起動します。
- 「リソース・アクセス」で、Opsインサイトの「構成」ボタンをクリックします。これらのポリシーは、Opsインサイト・サービスを使用するために必要な前提条件を提供します。
- Opsインサイト・サービスの前提条件ウィンドウで、前提条件ポリシーにアクセスする必要があるユーザー・グループを選択し、「+ユーザー・グループの追加」をクリックします。すべてのグループを必須としてマークし、管理者アクセスまたはユーザー・アクセスが必要かどうかをチェック・マークします。完了したら、「選択」をクリックします。
- Opsインサイト・サービスの前提条件ウィンドウに、構成したユーザー・グループおよびアクセス・レベルが表示されます。この表の右側で、ユーザー・グループがアクセスできるコンパートメントを選択します。すべてのコンパートメントが追加されたら、「変更のプレビューおよび適用」をクリックします。
- 「前提条件の完了」ウィンドウでは、適用されるポリシー・ステートメントをプレビューし、「次」をクリックして適用できます。
- 前提条件ポリシーが適用されると、緑色のチェック・マークが表示され、「閉じる」をクリックします。前提条件ポリシーが適用されました。
Opsインサイト・サービスのポリシーの設定および管理
ポリシー・アドバイザを使用すると、環境からのOpsインサイトを使用して分析する必要がある特定のテレメトリ・タイプおよびリソース・タイプに必要なポリシー(このアクションを実行するユーザー・グループとサービス自体の両方)を付与および変更できます。
ポリシー・アドバイザからポリシーを管理できるテレメトリおよびリソース・タイプのリストを次に示します。
- データベース
- OCI上の自律型データベース
- OCI上のベア・メタル、VM、Exa-DBデータベース
- 外部データベース(テレメトリ経由):
- Enterprise Managerの管理対象データベース
- OCI管理エージェントの管理対象データベース
- MySQLデータベース
- HeatWave MySQL Databaseシステム
- 外部MySQL Databaseシステム
- コンピュート・インスタンスおよびホスト
- OCI上のインスタンスの計算
- 外部ホスト(テレメトリ経由):
- Enterprise Manager管理ホスト
- OCI管理エージェント管理対象ホスト
- Exadata
- Exadataシステム(Enterprise Managerを介したテレメトリ)
- 専用インフラストラクチャ上のExadata Database Service (ExaDB-D)
- ニュース・レポート
特定のポリシーを設定するには、まず、使用するコンパートメントに必要なバケットが作成されていることを確認し、次のステップに従います。
- Opsインサイトの「概要」ページの右上にあるポリシー・アドバイザをクリックします。これにより、ポリシー・アドバイザ・ウィザードが起動します。
- 「リソース・アクセス」タブには、Opsインサイトの動作にポリシーを適用する必要があるサービスの名前が表示されます。編集するサービスを選択し、「構成」ボタンをクリックします。
- Opsインサイト・サービスの前提条件ウィンドウで、ポリシー・アクセスを変更する必要があるユーザー・グループを選択します
- ユーザー・グループを追加するには、「+ユーザー・グループの追加」をクリックします。すべてのグループを必須としてマークし、管理者アクセスまたはユーザー・アクセスが必要かどうかをチェック・マークします。完了したら、「選択」をクリックします。
- ユーザー・グループを削除するには、アクセス権のあるユーザー・グループの右側にある3つのドットを選択し、「削除」を選択します。これにより、表から削除されます。
- 選択したサービス前提条件ウィンドウに、構成したユーザー・グループおよびアクセス・レベルが表示されます。この表の右側には、ユーザー・グループがアクセスできるコンパートメントが表示されます。
- 区分を追加するには、テキスト・ボックスをクリックし、適切な区分を選択します。
- コンパートメントを削除するには、各コンパートメントの右側にある「X」をクリックします。
- 「前提条件の完了」ウィンドウでは、適用されるポリシー・ステートメントをプレビューし、最初に削除するステートメントおよび適用されるポリシー・ステートメントを表示できます。「次」をクリックして適用します。
- 前提条件ポリシーが適用されると、緑色のチェック・マークが表示され、「閉じる」をクリックします。前提条件ポリシーが適用されました。
サービス・プリンシパル・ポリシーの削除
OCIサービスは、潜在的なセキュリティ・リスクをもたらすため、サービス・プリンシパルを使用して顧客のOCIリソースにアクセスしないでください。これは、Oracleのベスト・プラクティスです。Ops Insightsは、2025年8月31日から始まるセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを廃止しています。非推奨のポリシーが検出されると、ポリシー・アドバイザは、新しいCRISP形式へのポリシー更新を必要とするページの上部にバナーを表示します。既存の非推奨ポリシーを更新するには、「前提条件ポリシーの更新」ボタンをクリックします。非推奨の文を含む個々のポリシー・グループの横に、追加の「警告」アイコンが表示され、ポリシー・アップグレードが実行されるまで、非推奨の文を含むすべてのグループに対して「構成」ボタンが無効になります。
テナンシに書き込む必要があるオペレーション・インサイト・ポリシー:
| 非推奨のサービス・プリンシパル・ポリシー | 新規ポリシー |
|---|---|
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' |
allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'} |
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} |
allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'} |
allow group <group name> to inspect ons-topic in compartment <compartment-name>
|
allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'} |