Você define as políticas de ação de dia 2 para poder controlar quais alterações seus usuários podem fazer em implantações e seus recursos componentes. Ao criar uma lista de ações permitidas que todos os usuários, ou alguns deles, possam executar em implantações, certifique-se de que os usuários não possam iniciar quaisquer alterações destrutivas ou de alto custo. Os casos de uso relacionados a políticas de ações de Dia 2 são uma introdução ao procedimento.

Quando você autorizar os usuários a executar ações de Dia 2, selecione as ações individuais que podem ser executadas. Você está criando uma lista de inclusão, e não uma lista de exclusão.

Quando uma política de ações de dia 2 entra em vigor?

  • Se você não tiver uma política de ação de Dia 2 definida, nenhuma governança será aplicada, e todos os usuários terão acesso a todas as ações. Essa falta inicial de governança à medida que você começa garante que você e seus usuários possam aplicar as ações de Dia 2 no Service Broker e Cloud Assembly sem a necessidade de compreender as políticas de Dia 2.
  • Depois de determinar que você está pronto para controlar quem tem acesso a quais ações, adicione governança na forma de uma única política de Ação de Dia 2. Quando a primeira política entrar em vigor, as políticas de Ação de Dia 2 serão aplicadas a todos os usuários no Service Broker e no Cloud Assembly. Como resultado, apenas os usuários para os quais a primeira política for verdadeira poderão executar as ações selecionadas. Todos os outros serão excluídos. Eles são excluídos porque as políticas de ações incluem os usuários confiáveis. Ao excluir todos os outros, você é capaz de criar políticas para atender às suas metas de governança.
  • Para autorizar outros usuários, você deve criar políticas que os autorizem a executar as ações selecionadas.

O compartilhamento de implantação em projetos afeta de que forma você configura os direitos de ações de Dia 2. Se o projeto não estiver definido para ser compartilhado, apenas o usuário solicitante poderá ver uma implantação. Se o projeto compartilhar implantações, todos os membros do projeto poderão ver a implantação e executar quaisquer ações que eles tenham o direito de executar com base em uma política de ação de Dia 2. O compartilhamento de implantação é configurado em um projeto. Selecione Infraestrutura > Administração > Projetos e, em seguida, selecione o projeto e clique na guia Usuários.

À medida que as suas políticas são criadas, a maneira como você define as políticas de Ações de Dia 2 deve levar em consideração o status de compartilhamento.

Para enfatizar quando as políticas de Ações de Dia 2 são aplicadas, você pode configurar o escopo, a função e os critérios. Essas configurações controlam a quais implantações a política é aplicada e quem poderá executar as ações quando a política for aplicada.

  • A quais implantações a política é aplicada.
    • O escopo determina se a política é aplicada a implantações no nível da organização ou do projeto.
    • Critérios restringem o escopo da política para aspectos específicos das implantações.
  • Quem pode executar quais ações nessas implantações.
    • A função dá o direito aos membros da função selecionada, dentro do escopo e dos critérios de selecionados, para executar as ações selecionadas. A função pode ser administrador do projeto, membro do projeto ou uma função personalizada nomeada.

As políticas de Dia 2 são aplicadas quando um usuário tenta gerenciar uma implantação usando o menu Ações na implantação ou nos recursos componentes.

Nesse caso de uso, que é usado para ilustrar uma coleção de políticas de ação de Dia 2, presume-se que você tenha habilitado o compartilhamento de implantação no projeto.

Ao revisar o caso de uso de políticas de ações de Dia 2, você também deve selecionar as ações. É necessário selecionar ações que suportem suas contas de nuvem.

  • Ações são específicas da nuvem. Quando você estiver autorizando os usuários a fazer alterações, considere as contas de nuvem nas quais os usuários autorizados estão implantando e certifique-se de selecionar todas as versões específicas para a nuvem dessas ações. Por exemplo, adicione Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize e Cloud.Azure.Machine.Resize para autorizar os usuários a redimensionar essas máquinas.
  • Ações independentes da nuvem, por exemplo, Cloud.Machine.Reresize, existem para acomodar recursos em que o processo de integração ou migração não consegue identificar o tipo de máquina. Se você autorizar aos usuários as ações de nuvem independente, você não terá autorizado a executar a ação específica da nuvem que fará as alterações nos recursos implantados. As ações independente podem aparecer no menu de ações, mas executar as ações não terão efeito. Você deve evitar autorizar as ações independentes e apenas autorizar ações específicas na nuvem para garantir que as ações estejam disponíveis para os usuários para as diversas plataformas de nuvem.

Pré-requisitos

  • Para obter uma lista de ações possíveis, consulte Quais ações posso executar nas implantações do Service Broker.
  • Para obter mais informações sobre como construir critérios de implantação, consulte Como configurar critérios de implantação em políticas do Service Broker.
  • As funções personalizadas são usadas na Política 4 do dia 2. Crie uma função Solução de problemas de implantação, mas, mas, com a função Gerenciar implantação na função personalizada Solução de problemas de implantação, os membros não são limitados por projeto. A função Gerenciar implantação permite que os responsáveis vejam todas as implantações e executem todas as ações. Se a função Solução de problemas de implantação não incluir Gerenciar implantação, os participantes verão as implantações com base na sua associação no projeto. Para obter mais informações sobre as funções personalizadas, consulte Caso de uso de função personalizada.

Procedimento

  1. Selecione Conteúdo e Políticas > Políticas > Definições > Nova Política > Política de Ações do Dia 2.
  2. Configure a Política 2 de Dia 1.
    Como administrador, você deseja controlar os custos de armazenamento restringindo a capacidade dos usuários de solicitar snapshots.
    1. Defina quando a política é válida.
      Configuração Valor de amostra
      Escopo Organização

      Essa política é aplicada a todas as implantações na sua organização.

      Critério Nenhum
      Tipo de aplicação Flexível

      Esse tipo de aplicação permite que você crie outras políticas relacionadas às ações de snapshot que substituem essa política.

      Tipo de direito Baseado em função
      Função Membro

      Essa função aplica a política a todos os membros do projeto.

    2. Selecione as ações que os usuários podem executar, mas não selecione nenhuma ação de snapshot.
      Você autoriza explicitamente os usuários a executar ações. Para impedir que os usuários executem ações de snapshot, certifique-se de que essas ações não estejam selecionadas.
    Nesse cenário, nenhum dos membros do projeto na sua organização tem o direito de criar snapshots. Nem os administradores de projetos podem fazer isso. Sua próxima etapa é criar uma política que autorize os administradores do projeto a criar e gerenciar snapshots.
  3. Configure a Política 2 de Dia 2.
    Como administrador, você deseja oferecer aos administradores de projetos a capacidade de criar e gerenciar snapshots.
    1. Defina quando a política é válida.
      Configuração Valor de amostra
      Escopo Organização

      Essa política é aplicada a todas as implantações na sua organização.

      Critério Nenhum
      Tipo de aplicação Flexível

      Esse tipo de aplicação permite que você crie outras políticas relacionadas às ações de snapshot que substituem essa política.

      Tipo de direito Baseado em função
      Função Administrador

      Essa função aplica a política aos administradores de projetos.

    2. Selecione as ações de snapshot que você deseja que os administradores executem.
      Os administradores de projetos também têm o direito de executar quaisquer ações que os membros de seus projetos tenham direito de executar. Você não precisa dar a eles permissão para ações de membros.
    Nesse cenário, os administradores de projetos têm o direito de executar as ações relacionadas a snapshots e todas as ações que os membros de seus projetos têm o direito de executar.
  4. Configure a Política 2 de Dia 3.
    Como administrador de projeto, você tem dois desenvolvedores que estão realizando trabalho que torna potencialmente uma implantação inutilizável. Você quer autorizá-los a tirar um snapshot e reverter sem a sua intervenção. Você autoriza os dois membros do projeto a usar as ações de snapshot.
    1. Defina quando a política é válida.
      Configuração Valor de amostra
      Escopo Projeto MT5

      Essa política é aplicada a implantações associadas a este projeto .

      Critério
      Catalog Item equals Multi-tier five machine with LB

      Com base nessa expressão de critério, apenas as implementações para um item de catálogo denominado Máquina multicamada cinco com LB são consideradas para aplicação de políticas.

      Tipo de aplicação Rígida

      Esse tipo de aplicação garante que a política seja imposta com base na definição.

      Tipo de direito Com base no usuário
      Usuários Adicione usuários.
      [email protected], [email protected]

      Apenas as implantações onde Jan ou Kris implantaram um item de catálogo são consideradas para a aplicação da política.

    2. Selecione as ações de snapshot que você deseja que os usuários especificados executem.
      Os administradores de projetos também têm o direito de executar quaisquer ações que os membros de seus projetos tenham direito de executar.
    Nesse cenário, Jan e Kris podem usar as ações de snapshot no item de catálogo "Multi-tier 5 Machines with LB" que um deles pode implantar. Embora outros membros do projeto possam ver a implantação, apenas Jan, Kris e o administrador do projeto podem usar as ações de snapshot.
  5. Configure a Política 2 de Dia 4.
    Como administrador, você deve atribuir as permissões para executar a maioria das ações de dia 2 aos usuários atribuídos a uma função personalizada de Solução de problemas de implantação. A maioria das permissões de função personalizadas abrangem vários projetos, mas o que os usuários podem ver na página implantações depende da associação do projeto. Para ver as implantações, os usuários que receberam as funções personalizadas devem ser membros dos projetos que as implantaram.
    1. Defina quando a política é válida.
      Configuração Valor de amostra
      Escopo Organização
      Critério Nenhum
      Tipo de aplicação Flexível

      Esse tipo de aplicação permite a criação de outras políticas relacionadas ao dia 2 estendido que substituem esta política.

      Tipo de direito Baseado em função
      Função Selecione a função Solução de problemas de implantação.
    2. Selecione todas as ações que você deseja que os membros dessa função personalizada possam executar.
    Nesse cenário, todos os usuários com a função de Solução de problemas de implantação podem gerenciar todas as implantações e executar todas as ações de dia 2 selecionadas nos projetos. A função Gerenciar implantações concede privilégios de administrador de serviço nas implantações para que eles possam executar qualquer ação que um administrador de serviço possa executar. Se a função personalizada Solução de problemas de implantação não incluir a função Gerenciar implantações, os usuários poderão executar todas as ações de dia 2 selecionadas para as implantações pertencentes a seus projetos.

O que Fazer Depois