Linux の Automation Suite のインストールガイド

最終更新日時 2025年11月13日

外部 ObjectStore の構成

全般的な構成

Automation Suite では、独自の外部ストレージプロバイダーを利用できます。以下のストレージプロバイダーから選択できます。

Azure
AWS
S3 互換

外部オブジェクトストレージは、次のいずれかの方法で構成できます。

インストール中に設定する。
インストール後に cluster_config.json ファイルを使用します。

注:

署名付き URL を使用しても Automation Suite が正しく機能するためには、Automation Suite クラスター、ブラウザー、すべてのマシン (ワークステーションとロボット端末を含む) から外部 ObjectStore にアクセスできることを確認する必要があります。
キー管理サービスによるサーバー側の暗号化 (SSE-KMS) は、2014 年 1 月 30 日以降に作成されたリージョンにデプロイされた Automation Suite バケットでのみ有効化できます。

SSE-KMS 機能には、純粋な SignV4 API が必要です。2014 年 1 月 30 日より前に作成されたリージョンでは、SignV2 との下位互換性があるため、純粋な SignV4 API は使用されません。したがって、SSE-KMS は、通信に SignV4 を使用するリージョンでのみ機能します。それぞれのリージョンがプロビジョニングされた時期を確認するには、AWS のドキュメントをご覧ください。

次の表に、外部オブジェクトストレージの各プロバイダーを設定するために使用できる

cluster_config.json パラメーターを示します。

パラメーター	Azure	AWS	S3 互換	説明
`external_object_storage.enabled`				独自のオブジェクトストアを使用するかどうかを指定します。設定可能な値: `true` および `false`。
`external_object_storage.create_bucket`				バケットをプロビジョニングするかどうかを指定します。設定可能な値: `true` および `false`。
`external_object_storage.storage_type`				構成するストレージプロバイダーを指定します。この値は大文字と小文字が区別されます。設定可能な値: `azure` および `s3`。注: 多くの S3 ObjectStore では、Automation Suite クラスターからのトラフィックすべてに CORS を設定する必要があります。CORS ポリシーを ObjectStore レベルで設定して、クラスターの FQDN を許可する必要があります。
`external_object_storage.fqdn`				S3 サーバーの FQDN を指定します。AWS インスタンスおよび非インスタンスプロファイルの場合に必要です。
`external_object_storage.port`				S3 ポートを指定します。AWS インスタンスおよび非インスタンスプロファイルの場合に必要です。
`external_object_storage.region`				バケットをホストする AWS リージョンを指定します。AWS インスタンスおよび非インスタンスプロファイルの場合に必要です。
`external_object_storage.access_key`				S3 アカウントのアクセスキーを指定します。AWS 非インスタンスプロファイルの場合にのみ必要です。
`external_object_storage.secret_key`				S3 アカウントのシークレットキーを指定します。AWS 非インスタンスプロファイルの場合にのみ必要です。
`external_object_storage.use_instance_profile`				インスタンスプロファイルを使用するかどうかを指定します。AWS Identity and Access Management (IAM) インスタンスプロファイルは、Amazon Elastic Compute Cloud (EC2) インスタンス上で実行されるアプリケーションやサービスに対し、AWS リソースへのセキュリティで保護されたアクセスを付与します。AWS S3 を選択した場合は、インスタンスプロファイルにより、EC2 インスタンスは、明示的な AWS 資格情報 (アクセスキーなど) をインスタンスに保存することなく、S3 バケットと対話できます。
`external_object_storage.use_managed_identity`				Azure Storage アカウントでマネージド ID を使用します。設定可能な値: `true` および `false`。
`external_object_storage.bucket_name_prefix` ¹				バケット名のプレフィックスを指定します。AWS 非インスタンスプロファイルの場合は任意です。
`external_object_storage.bucket_name_suffix` ²				バケット名のサフィックスを指定します。AWS 非インスタンスプロファイルの場合は任意です。
`external_object_storage.account_key`				Azure アカウントキーを指定します。非マネージド ID を使用する場合にのみ必要です。
`external_object_storage.account_name`				Azure のアカウント名を指定します。
`external_object_storage.azure_fqdn_suffix`				Azure FQDN のサフィックスを指定します。任意パラメーターです。
`external_object_storage.client_id`				Azure クライアント ID を指定します。マネージド ID を使用する場合にのみ必要です。

¹ 署名済み URL アクセスを無効化する場合、この設定は ObjectStore からデータをアップロードまたは取得する以下のアクティビティではサポートされていないことに注意してください。

^{2, 3} 外部オブジェクトストレージを設定する場合、bucket_name_prefix と bucket_name_suffix の両方で、プロバイダーの命名規則に従う必要があります。さらに、サフィックスとプレフィックスの合計長は 25 文字以下でなければならず、プレフィックスの末尾やサフィックスの先頭はハイフン (-) であってはなりません。ハイフン (-) は自動的に追加されているからです。

Automation Suite とのセキュリティで相互運用性のある通信を確保するには、S3 互換の ObjectStore で、次のセキュリティで保護された TLS 暗号スイートを 1 つ以上サポートする必要があります。

TLS 1.3:
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
TLS 1.2:
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

手記：サポートされている暗号スイートのリストは、Go暗号化ライブラリのセキュリティのベストプラクティスと更新に合わせて、時間の経過とともに進化する可能性があります。現在のリストについては、最新の Go ドキュメントをご覧ください。

製品固有の設定

「全般的な構成」セクションで説明しているパラメーターを使用して、Automation Suite の全般的な構成を更新できます。つまり、インストール済みの製品はすべて同じ構成を共有します。1 つ以上の製品を別の構成にする場合は、全般的な構成を上書きできます。その場合、外部オブジェクトストレージを異なる設定で使用する製品を指定し、同じパラメーターを使用して構成を定義するだけです。インストール済みのその他の製品はすべて、引き続き全般的な構成を継承します。

以下の例では、Orchestrator の全般的な構成を上書きする方法を示します。

"external_object_storage": {
  "enabled": false, // <true/false>
  "create_bucket": true, // <true/false>
  "storage_type": "s3", // <s3,azure,aws>
  "fqdn": "",  // <needed in the case of aws instance and non-instance profile>
  "port": 443, // <needed in the case of aws instance and non-instance profile>
  "region": "", 
  "access_key": "", // <needed in the case of aws non instance profile>
  "secret_key": "", // <needed in the case of aws non instance profile>
  "use_managed_identity": false, // <true/false>
  "bucket_name_prefix": "",
  "bucket_name_suffix": "",
  "account_key": "", // <needed only when using non managed identity>
  "account_name": "",
  "azure_fqdn_suffix": "core.windows.net",
  "client_id": "" // <optional field in case of managed identity>
},

"orchestrator": {
  "external_object_storage": {
    "enabled": false, // <true/false>
    "create_bucket": true, // <true/false>
    "storage_type": "s3", // <s3,azure>
    "fqdn": "",  // <needed in the case of aws instance and non-instance profile>
    "port": 443, // <needed in the case of aws instance and non-instance profile>
    "region": "", 
    "access_key": "", // <needed in case of aws non instance profile>
    "secret_key": "", // <needed in case of aws non instance profile>
    "use_managed_identity": false, // <true/false>
    "bucket_name_prefix": "",
    "bucket_name_suffix": "",
    "account_key": "", // <needed only when using non managed identity>
    "account_name": "",
    "azure_fqdn_suffix": "core.windows.net",
    "client_id": "" // <optional field in case of managed identity>
  }
}"external_object_storage": {
  "enabled": false, // <true/false>
  "create_bucket": true, // <true/false>
  "storage_type": "s3", // <s3,azure,aws>
  "fqdn": "",  // <needed in the case of aws instance and non-instance profile>
  "port": 443, // <needed in the case of aws instance and non-instance profile>
  "region": "", 
  "access_key": "", // <needed in the case of aws non instance profile>
  "secret_key": "", // <needed in the case of aws non instance profile>
  "use_managed_identity": false, // <true/false>
  "bucket_name_prefix": "",
  "bucket_name_suffix": "",
  "account_key": "", // <needed only when using non managed identity>
  "account_name": "",
  "azure_fqdn_suffix": "core.windows.net",
  "client_id": "" // <optional field in case of managed identity>
},

"orchestrator": {
  "external_object_storage": {
    "enabled": false, // <true/false>
    "create_bucket": true, // <true/false>
    "storage_type": "s3", // <s3,azure>
    "fqdn": "",  // <needed in the case of aws instance and non-instance profile>
    "port": 443, // <needed in the case of aws instance and non-instance profile>
    "region": "", 
    "access_key": "", // <needed in case of aws non instance profile>
    "secret_key": "", // <needed in case of aws non instance profile>
    "use_managed_identity": false, // <true/false>
    "bucket_name_prefix": "",
    "bucket_name_suffix": "",
    "account_key": "", // <needed only when using non managed identity>
    "account_name": "",
    "azure_fqdn_suffix": "core.windows.net",
    "client_id": "" // <optional field in case of managed identity>
  }
}

Process Mining の BLOB ストレージの資格情報をローテーションする

Automation Suite の Process Mining の BLOB ストレージの資格情報をローテーションするには、保存されているシークレットを新しい資格情報で更新する必要があります。「BLOB ストレージの資格情報をローテーションする」をご覧ください。

Insights の外部 ObjectStore を構成する

Insights の外部 ObjectStore を構成する際に、create_bucket パラメーターが [false] に設定されている場合、Insights に使用する bucket_name 値が Platform の値と同じであることを確認する必要があります。 create_bucket が [true] に設定されている場合、ユーザー側での操作は不要です。

"insights": {
    "enabled": true,
    "external_object_storage": {
      "bucket_name": "<same_as_platform_bucket_name"
    }
  }, "insights": {
    "enabled": true,
    "external_object_storage": {
      "bucket_name": "<same_as_platform_bucket_name"
    }
  },