前提条件
- 調査したい組織とプロジェクトへのアクセスがある CircleCI アカウント。
- 個人 API トークン。
- 承認ゲートコントロールを使用する場合は、トークンのユーザーが対象プロジェクトでトリガー/パイプライン権限を持っている必要があります。
読み取り専用分析は標準の個人 API トークンで機能します。承認ゲートコントロールには、トークンのユーザーが対象プロジェクトでトリガー権限を持っていることも必要です。
セットアップ
個人 API トークンを作成する
CircleCI でユーザーアバター → User Settings → Personal API Tokens(app.circleci.com/settings/user/tokens)に移動し、Create New Token をクリックします。
- Token name:
cloudthinker - Expiry date: 有効期間を選択し、ローテーションを計画する
接続の詳細
| フィールド | 説明 | 例 |
|---|---|---|
| CIRCLECI_TOKEN | 接続の認証に使用する個人 API トークン | — |
| CIRCLECI_BASE_URL | クラウドの場合は https://circleci.com、Server または Standalone のインストール URL | https://circleci.com |
CloudThinker はトークンから組織とフォロー中のプロジェクトを解決するため、CircleCI クラウドでは手動での組織 ID やプロジェクト ID の設定は不要です。
必要な権限
個人 API トークンはそれを作成したユーザーのアクセスを継承します。読み取り操作は対象プロジェクトを参照できるユーザーのトークンであれば機能します。コントロール操作には、トークンのユーザーがプロジェクトでトリガー/パイプライン権限を持っていること および CloudThinker での明示的な承認も必要です。エージェントの機能
接続後、エージェントは CircleCI のプロジェクト、パイプライン、ログへの読み取りアクセスを持ちます。| 機能 | 説明 |
|---|---|
| プロジェクト検出 | フォロー中のプロジェクトを一覧表示し、アクティブな組織を解決する |
| パイプライン状態 | プロジェクトの最新パイプライン状態を調査する |
| ワークフローとジョブ | パイプラインのワークフローとそのジョブをレビューする |
| ビルドとテストログ | 失敗のトリアージのためにビルドとテスト出力を取得する |
| パイプラインコントロール | パイプラインの実行、ワークフローの再実行、評価テストの実行、デプロイのロールバック、プロンプトテンプレートの作成 — 承認が必要 |
接続の確認
プロンプト例
トラブルシューティング
401 または 403 Unauthorized
401 または 403 Unauthorized
接続テストは成功するがプロジェクトが表示されない
接続テストは成功するがプロジェクトが表示されない
トークンのユーザーがプロジェクトをフォローしていないか、解決された組織が間違っています。CircleCI で少なくとも 1 つのプロジェクトをフォローしてから、検出を再実行してください。
コントロールアクションが権限エラーで失敗する
コントロールアクションが権限エラーで失敗する
トークンにプロジェクトのトリガー/パイプライン権限がありません。そのプロジェクトでトリガー権限を持つユーザーのトークンを再生成して再接続してください。
使用データやコンポーネントバージョンが返らない
使用データやコンポーネントバージョンが返らない
使用 API は有料プランのみ、コンポーネントバージョンは Server または Standalone のみです。プランティアを確認してください。これは設定エラーではなく、ティア制限です。
セルフホストサーバーが 404 または認証エラーを返す
セルフホストサーバーが 404 または認証エラーを返す
CIRCLECI_BASE_URL がまだ
https://circleci.com に設定されています。Server または Standalone のインストール URL に変更して再接続してください。ロールバックアクションが実行されなかった
ロールバックアクションが実行されなかった
デプロイのロールバックは本番環境に影響する破壊的な操作であり、承認ゲートが必要で、Server または Standalone のみで利用可能です(クラウドのみの組織では利用不可)。プロンプトが表示されたらアクションを承認し、インストールがサポートしていることを確認してください。
セキュリティ
- 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
- デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
- 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
- オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
- コントロールの承認 — ガードレールを外すのではなく、パイプライン、再実行、ロールバックなどの書き込みアクションを承認ゲートに保ってください。
- 正しいベース URL — クラウドの場合は
https://circleci.com、セルフホストの Server または Standalone の場合はインストール URL を使用してください。
関連情報
Jenkins 接続
ビルドパイプライン監視とジョブ分析
承認
承認ゲートアクションの仕組み