Oracle Cloud Infrastructureドキュメント

ポリシー・アドバイザを使用したポリシーの作成および管理

ポリシー・アドバイザを使用すると、Opsインサイトに対して有効にできるリソースのOCI権限を迅速に確立することができます。ポリシー・アドバイザは、Opsインサイトに必要なポリシーを表示、作成、更新および削除できる一元化された場所です。

ポリシー・アドバイザは、次のポリシーの作成を自動化します。
  • Opsインサイトのユーザーが必要とするポリシー(管理者と読取り専用ユーザーの両方)。
  • Opsインサイト・サービスが適切に機能するために必要なポリシー。
  • デモ・モードを設定するポリシー(オプション)。
ノート

any-userポリシーは、Opsインサイト・サービスに必要なリソース・プリンシパル・ポリシーです。group {name}を含むポリシーは、サービスを有効にしようとするユーザーによって必要です

Opsインサイトは、2025年8月31日以降にセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを非推奨にしています。詳細は、「サービス・プリンシパル・ポリシーの削除」を参照してください。

Opsインサイトの前提条件ポリシーの設定

ルート・コンパートメントにポリシーを作成する権限を持つ管理者として、次のステップに従って、ポリシー・アドバイザで必要な前提条件ポリシーを設定します:
  1. Opsインサイトの「概要」ページの「スタート・ガイド」セクションで、「ポリシー・アドバイザ」をクリックします。
  2. 「リソース・アクセス」タブで、Opsインサイトの「構成」をクリックします。これらのポリシーにより、Opsインサイト・サービスを使用するために必要な前提条件が提供されます。
  3. 「Opsインサイト・サービスの前提条件」パネルで、「+ユーザー・グループの追加」をクリックします。
  4. 「ユーザー・グループ」パネルで、必要なユーザー・グループを選択し、必要に応じて「管理者アクセス」または「ユーザー・アクセス」を選択して、「選択」をクリックします。
  5. 「Opsインサイト・サービスの前提条件」パネルで、ユーザー・グループがアクセスできるコンパートメントを選択し、「変更をプレビューして適用」をクリックします。
  6. 「前提条件の完了」パネルで、適用するポリシー・ステートメントを確認し、「適用」をクリックします。
  7. 前提条件ポリシーが適用されると、緑色のチェック・マークが表示されます。「閉じる」をクリックします。

Opsインサイト・サービスのポリシーの設定および管理

ポリシー・アドバイザを使用すると、このアクションを実行するユーザー・グループとサービス自体の両方について、Opsインサイトを使用して分析する必要がある特定のテレメトリ・タイプおよびリソース・タイプに必要なポリシーを付与および変更できます。

ポリシーをポリシー・アドバイザから管理できるテレメトリおよびリソース・タイプのリストを次に示します。
  • データベース
    • OCI上のAutonomous AIデータベース
    • OCI上のベア・メタル、VMおよびExa-DBデータベース
    • 外部データベース(テレメトリ経由):
      • Enterprise Managerの管理対象データベース
      • OCI管理エージェントの管理対象データベース
    • MySQLデータベース
      • MySQL HeatWaveのデータベース・システム
      • 外部MySQL Databaseシステム
  • コンピュート・インスタンスおよびホスト
    • OCI上のインスタンスを計算します
    • 外部ホスト(テレメトリ経由):
      • Enterprise Manager管理ホスト
      • OCI管理エージェントの管理対象ホスト
  • Exadata
    • Exadataのコスト管理
    • Exadataシステム(Enterprise Managerを介したテレメトリ)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • ニュース・レポート
特定のポリシーを設定するには、まず、使用するコンパートメントに必要なバケットが作成されていることを確認し、次のステップに従います:
  1. Opsインサイトの「概要」ページの「スタート・ガイド」セクションで、「ポリシー・アドバイザ」をクリックします。
  2. 「リソース・アクセス」タブで、構成するサービスを選択し、「構成」をクリックします。
  3. 「サービスの前提条件」パネルで:
    • 「+ユーザー・グループの追加」をクリックし、必要なグループを選択します。ユーザー・グループを削除するには、グループの「アクション」メニューをクリックし、「削除」を選択します。
    • ユーザー・グループがアクセスできるコンパートメントを選択します。コンパートメントを削除するには、そのコンパートメントの「X」をクリックします。
    • 必要に応じて、バケットやデータベース・ボールトなどの他のリソースを選択または選択解除します。

    「プレビューおよび変更の適用」をクリックします。

  4. 「前提条件の完了」パネルで、削除して適用するポリシー・ステートメントを確認し、「適用」をクリックします。
  5. 前提条件ポリシーが適用されると、緑色のチェック・マークが表示されます。「閉じる」をクリックします。

サービス・プリンシパル・ポリシーの削除

Oracleのベスト・プラクティスは、OCIサービスが潜在的なセキュリティ・リスクをもたらすため、サービス・プリンシパルを使用して顧客のOCIリソースにアクセスしないようにすることです。Opsインサイトは、2025年8月31日以降にセキュリティ・リスクを表すサービス・プリンシパル・システム・ポリシーを非推奨にしています。

非推奨のポリシーが検出されると、ポリシー・アドバイザによって、新しいCRISP形式へのポリシー更新が必要なページの上部にバナーが表示されます。既存の非推奨のポリシーを更新するには、「前提条件ポリシーの更新」をクリックします。追加の「警告」アイコンは、非推奨の文を含む個々のポリシー・グループの横に表示され、ポリシーのアップグレードが実行されるまで、非推奨の文を含むすべてのグループの「構成」オプションは無効になります。

テナンシに書き込む必要があるOpsインサイト・ポリシー:
非推奨のサービス・プリンシパル・ポリシー 新規ポリシー
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}