🏗️aidp-workspace-admin
- ソース
- GitHub で見る ↗
説明
AIDP DataLake インスタンスおよびワークスペースのプロビジョニングと検査を行います。 顧客の VCN/サブネットに接続されたプライベートネットワークワークスペースにも対応しています。 次のような場合に使用: - ワークスペースまたは DataLake インスタンスの作成・一覧取得・詳細取得を行いたい場合 - 新規(例: プライベート)AIDP 環境をセットアップしたい場合 - 顧客の環境設定を複製したい場合 なお、作成・削除操作は保護されており、プロビジョニングの実行前に必ず確認を求めます。
原文を表示
Provision and inspect AIDP DataLake instances and workspaces, including private-network workspaces attached to a customer VCN/subnet. Use when the user wants to create/list/get a workspace or DataLake instance, set up a new (e.g. private) AIDP environment, or replicate a customer setup. Create/delete are guarded — confirm before any provisioning.
ユースケース
- ✓ワークスペースやDataLakeインスタンスを作成・取得したい
- ✓プライベートAIDP環境をセットアップしたい
- ✓顧客の環境設定を複製したい
本文(日本語訳)
aidp-workspace-admin — インスタンス & ワークスペースのプロビジョニング
AIDP コントロールプレーン経由で AIDP DataLake インスタンスおよびワークスペースのプロビジョニングと検査を行います。
IMFA スタイルのプライベートワークスペースセットアップ(詳細フィールドを介して顧客の VCN/サブネットにアタッチされたワークスペース)に対応しています。
MCP サーバーおよび ai-data-engineer-agent リポジトリは不要です。
次のような場合に使用:
- ワークスペースまたは DataLake インスタンスの作成・一覧表示・取得を行う場合
- 新しい AIDP 環境(プライベートネットワークワークスペースを含む)を立ち上げる場合
エンジン — 公式 aidp CLI(コントロールプレーン)
推奨エンジンは Oracle 公式の aidp CLI です。CLI がインストールされていない場合のフォールバックとして oci raw-request を使用します。
どちらも同一の認証で同一のデータプレーン REST API にアクセスします。
コマンドマップについては references/aidp-cli-map.md を、
ベース URL・認証ラダー・非同期/ページネーション/etag の規約・および架空情報禁止ゲートについては
references/oci-raw-request.md を参照してください。
| 操作 | CLI(推奨) | REST フォールバック |
|---|---|---|
| ワークスペース一覧 | aidp workspace list |
GET /workspaces |
| ワークスペース取得(1件) | aidp workspace get --workspace-key <ws> |
GET /workspaces/<ws> |
| 作成 / 更新 / 削除 | aidp workspace create|update|delete |
POST|PUT|DELETE /workspaces[/<ws>] |
| Git フォルダ | aidp workspace create-git-folder |
…/gitRepositories…(プレビュー) |
すべての CLI 呼び出しには --instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region <r> を付与します。
DataLake インスタンスの作成は OCI コントロールプレーン操作(重量級・IAM 管理・課金対象)です。 データプレーン用の
aidpCLI コマンドは存在しないため、以下に示すoci ai-data-platformCLI を使用し、必ずゲート確認を行ってください。
REST ベース: https://aidp.<region>.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/…
認証: --profile DEFAULT (api_key) → 401/403 時は --auth security_token --profile AIDP_SESSION にフォールバック
読み取り操作(安全)
ワークスペースの一覧表示および検査を行います。
20240831/dataLakes(GET /workspaces はコントロールプレーンの疎通確認コール)で LIVE-VERIFIED 200 を確認済みです。
# CLI(推奨): ワークスペース一覧
aidp workspace list --instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region us-ashburn-1
# 1件取得: aidp workspace get --workspace-key <WS> …
# フォールバック(CLI 未インストール時): oci raw-request
oci raw-request --http-method GET \
--target-uri "https://aidp.us-ashburn-1.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/workspaces" \
--profile DEFAULT
ワークスペースの作成
ボディフィールドを指定した aidp workspace create を優先してください。
REST フォールバックは同じ JSON ボディを使用した POST /workspaces です。
プライベートネットワークワークスペース(顧客の VCN/サブネットにアタッチ)の場合は、
ネットワーキングフィールド(例: isPrivateNetworkEnabled、サブネット/NSG の OCID、
freeformTags/definedTags、vectorDbId)を含めてください。
ペイロードはユーザーの実際の OCID を使用して構築してください。絶対に OCID を作り上げないこと。
サブネット/VCN の OCID はユーザーに確認してください。
ボディは .aidp/payloads/ に保存し、実行前に必ず確認を取ってください(references/payloads.md 参照)。
# CLI(推奨) — 解決済みボディを先に表示し、確認後に作成
aidp workspace create --display-name "…" --workspace-type "…" \
--instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region us-ashburn-1
# プライベートネット: --is-private-network-enabled true --subnet-id ocid1.subnet… を追加
# (`aidp help workspace` 参照)
# フォールバック(CLI 未インストール時)
oci raw-request --http-method POST \
--target-uri "https://aidp.us-ashburn-1.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/workspaces" \
--request-body '{"displayName":"…","workspaceType":"…","isPrivateNetworkEnabled":true,"subnetId":"ocid1.subnet…"}' \
--request-headers '{"content-type":"application/json"}' \
--profile DEFAULT
リクエストボディの正確なフィールドはこの環境では UNVERIFIED(未検証) です。 架空情報禁止ゲートに従い、必須フィールドとして断言する前に実際の
201/400レスポンスで確認してください。
DataLake インスタンスの作成 / 削除(ガード付き — OCI コントロールプレーン oci ai-data-platform)
インスタンスのライフサイクルは OCI コントロールプレーンリソース(IAM 管理・ワークリクエスト経由の非同期処理・課金対象)です。
削除は破壊的操作となります。
これはデータプレーンの aidp//dataLakes 呼び出しではありません — OCI CLI の oci ai-data-platform ファミリーを使用してください。
2026-06-10 にライブ検証済み(このコマンドで aidp_agent_e2e → ACTIVE へのプロビジョニングを確認):
# CREATE — 解決済み引数を表示して確認後に実行(ワークリクエストを返す。ACTIVE になるまでポーリング)
oci ai-data-platform ai-data-platform create \
--compartment-id <COMPARTMENT_OCID> \
--display-name "my_aidp" \
--ai-data-platform-type prod \
--default-workspace-name "my_ws" \
--profile DEFAULT --region us-ashburn-1
# 検査 / ポーリング
oci ai-data-platform ai-data-platform get --ai-data-platform-id <OCID> --profile DEFAULT --region us-ashburn-1
# DELETE — 破壊的操作。必ず確認してから実行(クラスター・ワークスペース・すべてを削除)
oci ai-data-platform ai-data-platform delete --ai-data-platform-id <OCID> --profile DEFAULT --region us-ashburn-1
- コンパートメント: どのコンパートメントを使用するかはユーザーに確認してください。黙って自動導出しないこと。
- IAM プリフライト(根拠ベース。ポリシーテキストを作り上げないこと):
インスタンスの作成/削除は対象コンパートメントの OCI IAM によって認可されます。
作成時に
NotAuthorized/404 が返った場合、呼び出しプリンシパルにはそのコンパートメントの AI Data Platform リソースファミリーに対する manage 権限がありません。 テナンシ管理者に必要なポリシーの確認・追加を依頼してください(OCI AIDP ドキュメント参照)。 ポリシー文を自分で断言しないこと。 - 非同期処理: 作成/削除はワークリクエストを返します。
oci ai-data-platform work-request get(またはワークリクエスト一覧)で終端状態になるまでポーリングし、 その後… getで完了を確認してください。
ガードレール
- 破壊的操作およびプロビジョニング操作はゲート付き: 解決済みペイロードを表示し、ユーザーの明示的な承認なしに共有/本番環境での作成・削除を行わないこと。
- ネットワーキング自体(VCN/サブネット/NAT/Service-GW の作成、ACL ホワイトリスト)はスコープ外です(OCI ツールの担当)。 このスキルは既存のネットワークリソースにワークスペースをアタッチするのみです。
- OCID はログに必要最小限しか出力しないこと。コミット済みファイルにハードコードしないこと。
参照
- references/aidp-cli-map.md — スキル → 公式
aidpCLI コマンドマップ(プライマリエンジン) - references/oci-raw-request.md — ベース URL・認証ラダー・各種規約
- references/rest-endpoint-map.md — ライブ検証済みエンドポイントステータス
- references/no-mcp-rest-map.md — MCP なしの完全 REST カバレッジ
原文(English)を表示
aidp-workspace-admin — instance & workspace provisioning
Provision and inspect AIDP DataLake instances and workspaces via the AIDP control-plane. Covers the
IMFA-style private-workspace setup (workspace attached to a customer VCN/subnet via advanced fields). No MCP
server and no ai-data-engineer-agent repo are required.
When to use
- Create / list / get a workspace or DataLake instance.
- Stand up a new AIDP environment (incl. private-network workspace).
Engine — official aidp CLI (control-plane)
Preferred engine is the official Oracle aidp CLI; oci raw-request is the fallback when the CLI isn't
installed. Both hit the same data-plane REST API with the same auth — see
references/aidp-cli-map.md for the command map and
references/oci-raw-request.md for the base URL, auth ladder,
async/pagination/etag conventions, and the no-fabrication gate.
| Op | CLI (preferred) | REST fallback |
|---|---|---|
| List workspaces | aidp workspace list |
GET /workspaces |
| Get one workspace | aidp workspace get --workspace-key <ws> |
GET /workspaces/<ws> |
| Create / update / delete | aidp workspace create|update|delete |
POST|PUT|DELETE /workspaces[/<ws>] |
| Git folder | aidp workspace create-git-folder |
…/gitRepositories… (Preview) |
All CLI calls take --instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region <r>.
DataLake instance creation is OCI control-plane (heavier, IAM-governed, billable) — there is no
data-plane aidp CLI command for it; use the oci ai-data-platform CLI shown below and gate it.
REST base: https://aidp.<region>.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/…
Auth: --profile DEFAULT (api_key) → on 401/403 fall back to --auth security_token --profile AIDP_SESSION
Read operations (safe)
List and inspect workspaces — LIVE-VERIFIED 200 on 20240831/dataLakes (GET /workspaces is the
control-plane sanity call):
# CLI (preferred): list workspaces
aidp workspace list --instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region us-ashburn-1
# get one workspace: aidp workspace get --workspace-key <WS> …
# Fallback (no CLI installed): oci raw-request
oci raw-request --http-method GET \
--target-uri "https://aidp.us-ashburn-1.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/workspaces" \
--profile DEFAULT
Create a workspace
Prefer aidp workspace create with the body fields; the REST fallback is POST /workspaces with the same
JSON body. For a private-network workspace (attached to a customer VCN/subnet), include the networking
fields (e.g. isPrivateNetworkEnabled, subnet/NSG OCIDs, freeformTags/definedTags, vectorDbId). Build
the payload with the user's real OCIDs — never invent them; ask for the subnet/VCN OCIDs. Persist the
body to .aidp/payloads/ and confirm first (references/payloads.md).
# CLI (preferred) — show the resolved body first, then create on confirmation
aidp workspace create --display-name "…" --workspace-type "…" \
--instance-id <DATALAKE_OCID> --auth api_key --profile DEFAULT --region us-ashburn-1
# private-net: add --is-private-network-enabled true --subnet-id ocid1.subnet… (see `aidp help workspace`)
# Fallback (no CLI installed)
oci raw-request --http-method POST \
--target-uri "https://aidp.us-ashburn-1.oci.oraclecloud.com/20240831/dataLakes/<DATALAKE_OCID>/workspaces" \
--request-body '{"displayName":"…","workspaceType":"…","isPrivateNetworkEnabled":true,"subnetId":"ocid1.subnet…"}' \
--request-headers '{"content-type":"application/json"}' \
--profile DEFAULT
The exact request body fields are UNVERIFIED in this env — confirm against a live 201/400 before
asserting them as required, per the no-fabrication gate.
Create / delete a DataLake instance (guarded — OCI control-plane oci ai-data-platform)
Instance lifecycle is an OCI control-plane resource (IAM-governed, async via work-requests, billable;
delete is destructive). It is not a data-plane aidp//dataLakes call — use the OCI CLI
oci ai-data-platform family. Live-verified 2026-06-10 (this command provisioned aidp_agent_e2e →
ACTIVE):
# CREATE — show the resolved args + confirm first (returns a work-request; poll to ACTIVE)
oci ai-data-platform ai-data-platform create \
--compartment-id <COMPARTMENT_OCID> \
--display-name "my_aidp" \
--ai-data-platform-type prod \
--default-workspace-name "my_ws" \
--profile DEFAULT --region us-ashburn-1
# inspect / poll
oci ai-data-platform ai-data-platform get --ai-data-platform-id <OCID> --profile DEFAULT --region us-ashburn-1
# DELETE — destructive, confirm first (removes cluster + workspaces + all)
oci ai-data-platform ai-data-platform delete --ai-data-platform-id <OCID> --profile DEFAULT --region us-ashburn-1
- Compartment: ask the user which compartment — never auto-derive it silently.
- IAM preflight (evidence-based, do not invent policy text): instance create/delete is authorized by OCI
IAM in the target compartment. If create returns
NotAuthorized/404, the calling principal lacks manage rights on the AI Data Platform resource-family there — have the tenancy admin confirm/add the required policy (per OCI AIDP docs); don't assert a specific policy statement yourself. - Async: create/delete return a work request — poll
oci ai-data-platform work-request get(or list work-requests) until terminal, then confirm with… get.
Guardrails
- Destructive/provisioning actions are gated: show the resolved payload, confirm with the user, and never create or delete on a shared/live environment without an explicit go-ahead.
- Networking itself (creating the VCN/subnet/NAT/Service-GW, ACL whitelists) is out of scope — that's OCI tooling. This skill only attaches a workspace to existing network resources.
- Never print OCIDs back in logs beyond what's needed; never hardcode them into committed files.
References
- references/aidp-cli-map.md — skill → official
aidpCLI command map (primary engine) - references/oci-raw-request.md — base URL, auth ladder, conventions
- references/rest-endpoint-map.md — live-verified endpoint status
- references/no-mcp-rest-map.md — full no-MCP REST coverage
原文・著作権は Anthropic および各プラグイン作者に帰属します。日本語訳は Claude API による自動翻訳です。