Oracle Cloud Infrastructureドキュメント

ポリシー・アドバイザを使用したポリシーの作成および管理

ポリシー・アドバイザを使用すると、Opsインサイトに対して有効にできるリソースのOCI権限を迅速に確立することができます。ポリシー・アドバイザは、Opsインサイトに必要なポリシーを表示、作成、更新および削除できる一元化された場所です。

ポリシー・アドバイザは、次のポリシーの作成を自動化します。
  • Opsインサイトのユーザーが必要とするポリシー(管理者と読取り専用ユーザーの両方)。
  • Opsインサイト・サービスが適切に機能するために必要なポリシー。
  • デモ・モードを設定するポリシー(オプション)。
ノート

any-userポリシーは、Opsインサイト・サービスに必要なリソース・プリンシパル・ポリシーです。group {name}を含むポリシーは、サービスを有効にしようとするユーザーによって必要です

Opsインサイトは、2025年8月31日以降にセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを非推奨にしています。詳細は、「サービス・プリンシパル・ポリシーの削除」を参照してください。

Opsインサイトの前提条件ポリシーの設定

ルート・コンパートメントにポリシーを作成する権限を持つ管理者として、次のステップに従って、ポリシー・アドバイザで必要な前提条件ポリシーを設定します:
  1. Opsインサイトの概要ページの右上にある「ポリシー・アドバイザ」をクリックします。これにより、ポリシー・アドバイザ・ウィザードが起動します。
  2. 「リソース・アクセス」で、Opsインサイトの「構成」ボタンをクリックします。これらのポリシーにより、Opsインサイト・サービスを使用するために必要な前提条件が提供されます。
  3. Opsインサイト・サービスの前提条件ウィンドウで、前提条件ポリシーにアクセスする必要があるユーザー・グループを選択し、「+ユーザー・グループの追加」をクリックします。必要なすべてのグループをチェック・マークし、「管理者アクセス」または「ユーザー・アクセス」が必要かどうかをチェック・マークします。完了したら、「選択」をクリックします。
  4. Opsインサイト・サービスの前提条件ウィンドウに、構成したユーザー・グループおよびアクセス・レベルが表示されます。この表の右側で、ユーザー・グループがアクセスできるコンパートメントを選択します。すべてのコンパートメントが追加されたら、「変更のプレビューおよび適用」をクリックします。
  5. 「前提条件の完了」ウィンドウでは、適用されるポリシー・ステートメントをプレビューし、「次」をクリックしてそれらを適用できます。
  6. 前提条件ポリシーが適用されると、緑色のチェック・マークが表示され、終了するには「閉じる」をクリックします。前提条件ポリシーが適用されました。

Opsインサイト・サービスのポリシーの設定および管理

ポリシー・アドバイザを使用すると、このアクションを実行するユーザー・グループとサービス自体の両方について、Opsインサイトを使用して分析する必要がある特定のテレメトリ・タイプおよびリソース・タイプに必要なポリシーを付与および変更できます。

ポリシーをポリシー・アドバイザから管理できるテレメトリおよびリソース・タイプのリストを次に示します。
  • データベース
    • OCI上のAutonomous AIデータベース
    • OCI上のベア・メタル、VMおよびExa-DBデータベース
    • 外部データベース(テレメトリ経由):
      • Enterprise Managerの管理対象データベース
      • OCI管理エージェントの管理対象データベース
    • MySQLデータベース
      • MySQL HeatWaveのデータベース・システム
      • 外部MySQL Databaseシステム
  • コンピュート・インスタンスおよびホスト
    • OCI上のインスタンスを計算します
    • 外部ホスト(テレメトリ経由):
      • Enterprise Manager管理ホスト
      • OCI管理エージェントの管理対象ホスト
  • Exadata
    • Exadataシステム(Enterprise Managerを介したテレメトリ)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • ニュース・レポート
特定のポリシーを設定するには、まず、使用するコンパートメントに必要なバケットが作成されていることを確認し、次のステップに従います。
  1. Opsインサイトの概要ページの右上にある「ポリシー・アドバイザ」をクリックします。これにより、ポリシー・アドバイザ・ウィザードが起動します。
  2. 「リソース・アクセス」タブには、Opsインサイトが機能するためにポリシーを適用する必要があるサービスの名前が表示されます。編集するサービスを選択し、「構成」ボタンをクリックします。
  3. Opsインサイト・サービスの前提条件ウィンドウで、ポリシー・アクセスを変更する必要があるユーザー・グループを選択します
    1. ユーザー・グループを追加するには、「+ユーザー・グループの追加」をクリックします。必要なすべてのグループをチェック・マークし、「管理者アクセス」または「ユーザー・アクセス」が必要かどうかをチェック・マークします。完了したら、「選択」をクリックします。
    2. ユーザー・グループを削除するには、アクセス権があるユーザー・グループの右側にある3つのドットを選択し、「削除」を選択すると、表から削除されます。
  4. 選択したサービスの前提条件ウィンドウに、構成したユーザー・グループとアクセス・レベルが表示されます。この表の右側には、ユーザー・グループがアクセスできるコンパートメントが表示されます。
    1. コンパートメントを追加するには、テキスト・ボックスをクリックし、適切なコンパートメントを選択します。
    2. コンパートメントを削除するには、各コンパートメントの右側にある「X」をクリックします。
    すべてのコンパートメントが変更されたら、「変更のプレビューおよび適用」をクリックします。
  5. 「前提条件の完了」ウィンドウでは、適用されるポリシー・ステートメントをプレビューでき、削除される最初のステートメントおよび適用されるポリシー・ステートメントが表示されます。「次」をクリックして適用します。
  6. 前提条件ポリシーが適用されると、緑色のチェック・マークが表示され、終了するには「閉じる」をクリックします。前提条件ポリシーが適用されました。

サービス・プリンシパル・ポリシーの削除

Oracleのベスト・プラクティスは、OCIサービスが潜在的なセキュリティ・リスクをもたらすため、サービス・プリンシパルを使用して顧客のOCIリソースにアクセスしないようにすることです。Opsインサイトは、2025年8月31日以降にセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを非推奨にしています。

非推奨のポリシーが検出された場合、ポリシー・アドバイザは、新しいCRISP形式へのポリシー更新が必要なページの上部にバナーを表示します。既存の非推奨のポリシーを更新するには、「前提条件ポリシーの更新」ボタンをクリックします。追加の「警告」アイコンは、非推奨の文を含む個々のポリシー・グループの横に表示され、ポリシーのアップグレードが実行されるまで、非推奨の文を含むすべてのグループの「構成」ボタンは無効になります。

テナンシに書き込む必要があるOpsインサイト・ポリシー:
非推奨のサービス・プリンシパル・ポリシー 新規ポリシー
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}