Oracle Cloud Infrastructureドキュメント

権限

Oracle CloudデータベースおよびExadata Cloud Serviceシステムに対してOpsインサイトを有効にするには、次のOracle Cloud Infrastructureサービス権限が必要です。

ノート

非推奨のポリシーが検出されると、ポリシー・アドバイザには、新しいCRISP形式へのポリシー更新が必要なバナーが表示され、更新するには「前提条件ポリシーの更新」ボタンをクリックします。非推奨のポリシーの詳細は、サービス・プリンシパル・ポリシーの削除を参照してください。ポリシー・アドバイザの警告
  • ベア・メタルおよび仮想マシンDBシステムおよびExadata Cloud Service権限: Oracle CloudデータベースのOpsインサイトを有効にするには、必要なベア・メタルおよび仮想マシンDBシステムおよびExadata Cloud Service権限を持っている必要があります。
    ノート

    Exadataインサイトを使用するには、データベースを直接ではなくExadataターゲットを有効にする必要があります。
    opsi-adminsユーザー・グループに、テナンシ内のOracle CloudデータベースのOpsインサイトを有効にする権限を付与するポリシーの例を次に示します:
    ノート

    これらのポリシーもコンパートメント・スコープにできます。 
    allow group opsi-admins to read database-family in tenancy
    Exadataの場合、次のポリシーも必要です:
    ノート

    これらのポリシーもコンパートメント・スコープにできます。 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    特定のベア・メタルおよび仮想マシンDBシステムおよびExadata Cloudサービスのリソース・タイプおよび権限の詳細は、ベース・データベース・サービスのポリシー詳細およびExadata Cloud Serviceインスタンスの詳細を参照してください。

  • ネットワーキング・サービス権限: Opsインサイト・プライベート・エンドポイントを操作し、OpsインサイトとOracle Cloudデータベース間の通信を有効にするには、vnicsリソース・タイプに対するmanage権限と、subnetsリソース・タイプに対するuse権限のいずれかが必要ですnetwork-security-groupsまたはsecurity-listsリソース・タイプ(ネットワーク・セキュリティ・グループを介してネットワーク・アクセスをオープンするか(データベースは同じものを使用するように構成されている必要があります)、またはサブネットに適切なセキュリティ・リスト(データベースが存在するサブネット)が必要です。

    ここでは、必要な権限をopsi-adminsユーザー・グループに付与する個々のポリシーの例を示します: 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    または、ネットワーキング・サービスの集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をopsi-adminsユーザー・グループに付与することもできます: 

    allow group opsi-admins to manage virtual-network-family in tenancy

    ネットワーキング・サービスのリソース・タイプおよび権限の詳細は、コア・サービスの詳細ネットワーキングの項を参照してください。

  • Vaultサービス権限:

    クラウド・データベース資格証明がOCI Vaultサービスに追加されるため、Opsインサイトがメトリック・データ収集のためにそれらを読み取れるようにするポリシーを記述する必要があります。データベース資格証明を指定するときに新しいシークレットを作成するか既存のシークレットを使用して、Oracle CloudデータベースのOpsインサイトを有効にするには、secret-family集約リソース・タイプに対するmanage権限が必要です。

    ここでは、テナンシでシークレットを作成および使用する権限をopsi-adminsユーザー・グループに付与するポリシーの例を示します: 

    allow group opsi-admins to manage secret-family in tenancy

    Opsインサイトに特定のボールト内のデータベース・パスワード・シークレットを読み取る権限を付与するには、Vaultサービスのユーザー・グループ・ポリシーに加えて、次のサービス・ポリシーが必要です:

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    ノート

    コンパートメントABCは、ボールトのコンパートメントです。このコンパートメントは、データベースのコンパートメントと一致する必要はありません。

    Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。