Políticas de aprovação são um nível de governança que você adiciona para ter controle sobre solicitações de implantação e de ação de Dia 2 antes que elas sejam executadas. Defina políticas de aprovação no Automation Service Broker para que você, ou outros usuários que você designar, possa rever as solicitações antes que recursos sejam consumidos ou destruídos. Os casos de uso de políticas de aprovação neste procedimento são uma introdução que você pode usar ao explorar suas opções de governança.
Se você tiver apenas uma pequena equipe adicionando e implantando itens de catálogo, políticas de aprovação talvez sejam menos úteis. No entanto, à medida que você disponibilizar o catálogo para um grupo maior de desenvolvedores e consumidores gerais, poderá usar essas políticas de aprovação para garantir que alguém analise uma solicitação antes que recursos sejam consumidos ou alterações sejam feitas nos itens provisionados.
Por exemplo, você tem um item de catálogo importante, mas que consome uma quantidade significativa de recursos. Você deseja que um dos seus administradores de TI revise quaisquer solicitações de implantação para garantir que a solicitação seja necessária. Outro exemplo aplica-se a ações de Dia 2. Fazer alterações em uma implantação que é usada por muitas pessoas pode ser devastador. Você deseja que o administrador do projeto que gerencia a implantação dessa equipe revise todas as alterações no item de catálogo implantado.
Quem trabalha com políticas de aprovação ou é afetado por elas
- Administrador do Automation Service Broker. Configura as políticas.
- Consumidores de catálogo. Os usuários que solicitam itens de catálogo ou ações de dia 2 para as quais uma ou mais políticas se aplicam.
- Usuários implantando modelos de nuvem no Automation Assembler. Os usuários que solicitam modelos ou ações de dia 2 no Automation Assembler aos quais uma ou mais políticas são aplicáveis.
- Aprovadores designados. Usuários que devem revisar e, em seguida, aprovar ou rejeitar uma solicitação. Você pode conceder direitos de aprovador a usuários e grupos de usuários selecionados ou escolher entre as funções de aprovador a seguir.
- AD Manager. Usuário do Active Directory com atributos de gerenciador. Consulte Configurar atributos do Active Directory para a função de aprovador do AD Manager
- Administradores de projeto. Os administradores de projetos dentro do escopo da política são atribuídos automaticamente como aprovadores. Se um projeto não tiver um administrador dedicado, a política de aprovação não será aplicada a esse projeto.
- Supervisores de projeto. Membros de projetos dentro do escopo da política que são atribuídos à função de Supervisor. Os direitos de acesso de supervisor são limitados para aprovar e rejeitar solicitações de implantação para um projeto. Se um projeto não tiver um supervisor dedicado, a política de aprovação não será aplicada a esse projeto.
O que acontece quando políticas de aprovação são aplicadas
Várias políticas de aprovação podem ser aplicáveis. As políticas de aprovação são avaliadas, e uma política imposta é aplicada à solicitação. Quando há várias políticas válidas, nas quais os aprovadores são pessoas diferentes, todos os aprovadores são adicionados. Quando você tem várias políticas, é importante entender esse processo. Para obter mais informações, consulte Exemplos de metas e aplicação de políticas de aprovação.
- Políticas de aprovação são definidas.
- Um usuário solicita um item de catálogo ou uma ação de Dia 2. No momento da solicitação, o Automation Service Broker avalia o item de catálogo para ver se alguma política é aplicável.
- Uma política de aprovação é aplicada.
- O cartão de implantação exibe o status. Por exemplo, Criar - Aprovação Pendente.
- Uma notificação por e-mail é enviada ao solicitante. Consulte Como rastrear minhas solicitações que exigem aprovação.
- Uma notificação por e-mail é enviada aos aprovadores. Consulte Como responder a uma solicitação de aprovação.
A implantação não começa implantando e consumindo recursos de infraestrutura, nem faz alterações em um sistema implantado, até que a solicitação seja aprovada. O usuário solicitante é notificado por e-mail de que a solicitação está aguardando aprovação.
- Os aprovadores respondem à solicitação usando a página Aprovações no Automation Service Broker.
- O processo de aprovação está concluído.
- Se a solicitação for rejeitada, o usuário solicitante será notificado, e a solicitação de implantação será cancelada.
- Se a solicitação for aprovada, a implantação continuará.
- É possível que a política imposta seja configurada para aprovar ou rejeitar automaticamente uma solicitação se o aprovador não executar nenhuma ação.
Como posso usar os critérios de implantação
Para limitar a quais itens ou atividades a política se aplica, você pode definir critérios de implantação. Para obter mais informações sobre os critérios, consulte Como configurar critérios de implantação em políticas do Automation Service Broker.
Restrições de políticas de aprovação
- A ação de alteração de concessão não está disponível para inclusão em uma política de aprovação.
- Não é permitido usar recursos personalizados como tipo de recurso nos critérios da política.
Pré-requisitos
- Um aprovador, que pode não ser um Automation Service Broker regular ou usuário Automation Assembler, deve ter uma das seguintes combinações de funções:
- Membro da organização e usuário do Automation Service Broker
- Membro da organização e a função personalizada Gerenciar aprovações
Essas funções fornecem o nível mínimo de permissões e ainda permitem que eles aprovem ou rejeitem uma solicitação.
- Verifique se o servidor de notificação de e-mail está definido. Consulte Adicionar um servidor de e-mail no Automation Service Broker para enviar notificações.
- Se você planeja usar o gerenciador do Active Directory como o tipo de aprovação com base em função, deve usar a integração do Workspace ONE Access VMware Identity Manager configurada para o VMware Aria Automation. Você também deve incluir os atributos do gerenciador do Active Directory nos atributos do usuário. Consulte Configurar atributos do Active Directory para a função de aprovador do AD Manager
Procedimento
Ao revisar o caso de uso de políticas de aprovação e criar sua própria política, consulte a ajuda de sinalização nas principais caixas de texto para obter mais informações.
- Selecione .
- Configure a Política de Aprovação 1.
Como administrador, você tem um item de catálogo importante que também consome uma quantidade significativa dos seus recursos de nuvem. Você deseja que vários gerentes revisem todas as solicitações de implantação para garantir que a solicitação seja realmente necessária e que existam recursos para processá-la.
- Defina quando a política é válida.
Configuração Valor de amostra Escopo Organização Essa política é aplicada a todos os projetos na sua organização.
Critério Catalog Item equals CompanyApplication
- Defina o comportamento de aprovação.
Configuração Valor de amostra Tipo de aprovação Selecione Com base em usuário. Você seleciona os usuários e os grupos de usuários que são os aprovadores da solicitação.
Modo de aprovador Tudo Você deseja que todos os seus gerentes de TI concordam que a solicitação de implantação não desperdiça recursos.
Aprovadores {GroupName1}@YourCompany, {ApproverName1}@YourCompany, {ApproverName2}@YourCompany A solicitação de aprovação é enviada a todos os membros do grupo de usuários. Apenas um membro do grupo deve aprovar a solicitação.
Decisão de expiração automática Rejeitar A possível carga nos seus recursos de nuvem significa que você não deseja implantar inadvertidamente o item sem aprovação.
Gatilho de expiração automática 3 Esse valor deve se estender por um longo período da semana quando os gerentes podem não estar disponíveis.
Ações Deployment.Create
Neste cenário, se qualquer consumidor do catálogo solicitar esse item, o Aprovador 1, o Aprovador 2 e qualquer membro do Grupo de Usuários 1 deverão aprovar a solicitação dentro de 3 dias, ou ela será rejeitada.
- Defina quando a política é válida.
- Configure a Política de Aprovação 2.
Como administrador, você tem vários projetos em que deseja que os administradores de projeto aprovem quaisquer alterações nas implantações que possam ter consequências catastróficas. Por exemplo, excluir a implantação.
- Defina quando a política de aprovação é válida.
Configuração Valor de amostra Escopo Vários ProjetosProject name contains Prod
A política será aplicada a implantações associadas a todos os projetos que corresponderem aos critérios de escopo.
Critério Nenhum - Defina o comportamento de aprovação.
Configuração Valor de amostra Tipo de aprovação Selecione Com base em função. Função de aprovador Administradores de projetos Se um projeto não tiver um administrador dedicado, a política de aprovação não será aplicada a solicitações associadas a esse projeto.
Modo de aprovador Qualquer Decisão de expiração automática Rejeitar Gatilho de expiração automática 7 Ações Deployment.Delete, Deployment.PowerOff, Deployment.Update e qualquer uma das ações de alimentação, reinicialização e exclusão específicas de componentes.
Nesse cenário, quando um membro de um dos projetos com escopo definido envia uma solicitação para executar as ações listadas em uma implantação, a solicitação será rejeitada após sete dias se o administrador do projeto não responder.
- Defina quando a política de aprovação é válida.
- Configure a Política de aprovação 3.
Como administrador, convém manter um pouco de controle sobre o consumo de recursos. Por exemplo, quando um usuário solicita um item de catálogo cujo tamanho é grande, convém avaliar e aprovar a solicitação. O tamanho é definido pelos mapeamentos de tipo.
- Defina quando a política de aprovação é válida.
Configuração Valor de amostra Escopo Organização Critério Resources has any Flavor equals large
- Defina o comportamento de aprovação.
Configuração Valor de amostra Tipo de aprovação Selecione Com base em usuário. Modo de aprovador Qualquer Aprovadores {AdminName}@YourCompany Decisão de expiração automática Rejeitar O possível consumo dos seus recursos de nuvem significa que não convém implantar inadvertidamente o item sem aprovação.
Gatilho de expiração automática 5 Ações Deployment.Create e todas as ações *.Machine.Resize aplicáveis. Por exemplo, Cloud.vSphere.Machine.Resize. Nesse cenário, quando um usuário enviar uma solicitação para uma implantação grande ou para redimensionar uma implantação para grande, a solicitação será recusada após cinco dias se o administrador da nuvem não responder.
- Defina quando a política de aprovação é válida.
O que fazer em seguida
- Para obter mais informações sobre como as políticas de aprovação são processadas, consulte Exemplos de metas e aplicação de políticas de aprovação.
- Para obter mais informações sobre a experiência dos consumidores e aprovadores, consulte Como rastrear minhas solicitações que exigem aprovação e Como responder a uma solicitação de aprovação.