Open Policy Agent

NRIのOpenStandiaが提供するOpen Policy Agent最新情報

バージョンアップ情報
Open Policy Agent情報

バージョンアップ情報

Open Policy Agent情報

Open Policy Agentとは
主な特徴
ユースケース
Open Policy Agentの構成
Open Policy Agentのライセンス
参考情報
オープンソース年間サポートサービス

Open Policy Agentとは

Open Policy Open Policy Agent（OPA）は、元々Styra社で開発された汎用的なポリシーエンジンを持つオープンソースソフトウェアです。ポリシーエンジンはポリシーに違反した情報を発見し、事前に定義されたアクションを実行する機構で、これによりOPAはKubernetesなどの環境全体でポリシーの実施を一元化することが出来ます。

OPAは、Policy as Codeというポリシーをコードとして記述・管理するための宣言型言語（Rego）と、アプリケーションからの問い合わせに対して、ポリシーの評価を行うAPIを提供しています。

OPAをサイドカー、デーモン、ライブラリなどでアプリケーションに統合し、アプリケーション内のリクエスト制御をAPIを介してOPAに問い合わせ、その評価結果からリクエストを制御するアーキテクチャにすることで、アプリケーションからポリシー制御機能を切り離すことが可能となります。このように、OPAによりポリシー制御を分離することで、アプリケーションのコード変更、再デプロイを必要としないポリシー管理や、様々なアプリケーションにおけるポリシー制御を、統一された仕組みで実現することが出来ます。

OPAは、2018年3月にKubernetesなどの開発をホストするCloud Native Computing Foundation（CNCF）にサンドボックスプロジェクトとして参加し、2021年2月にプロジェクトを卒業しました。

主な特徴

機能	詳細
Policy Decoupling	あるアプリケーションがポリシーの判断を必要とする場合、アプリケーションはJSONなどの構造化データをOPAに提供し、OPAはその入力データを評価します。評価結果は任意の構造化データとしてアプリケーションに返し、ポリシーに違反した場合は何らかの処理を実行することが出来ます。
Regoによる記述	OPAは宣言型のクエリ言語であるRegoでポリシーを定義します。Regoはネストされたデータを参照するためのサポートを提供すること、クエリが正確で曖昧さを排除したものであること、命令型の言語と比べてシンプルに記述できること、クエリの最適化によるパフォーマンスの向上ができることが特徴です。
複数環境での利用が可能	OPAは汎用的なポリシーエンジンであり、Kubernetesのみではなく、Docker、Linux、Terraformなどの様々な環境・プロダクトに対して適用することが可能です。またServerとして起動するほか、Goライブラリとしてアプリケーションコードに組み込んだり、対話形式（REPL）でポリシーのテストを実行することも可能です。

ユースケース

OPAはゴールドマンサックス、Netflix、Pinterest、T-Mobileなどを代表とする150以上の企業や組織で利用されています。最も一般的な使用例としては、設定の権限付与とAPIの権限付与で、利用されている環境としてはKubernetes Admission Control環境が全体の半分以上を占めています。

Open Policy Agentの構成

OPAは前述の通り、アプリケーションがポリシーの検証を行う場合は、JSONなどのデータをクエリとしてOPAに渡し、OPAの持つPolicyを元にテスト結果を返します。 PolicyはRegoを使用して定義されたRuleから構成され、1つ以上のRuleを定義したRegoファイルをPolicy Moduleとして、Policy APIを介してOPAに追加できます。
また、OPAで利用するJSONなどの階層型データはDataと呼ばれ、アプリケーションなどの外部からData APIを介してOPAに読み込ませる静的データのBase Documentと、OPAがPolicy（Rule）を元に作成した評価結果であるデータのVirtual Documentの2種類から構成されています。（問い合わせ時の入力データもBase Documentに分類されますが、文脈によってはInput Document、Query Inputと表現されます）