您可以定义实施后操作,以便控制您的用户可对部署及其组件资源进行哪些更改。通过创建全部或部分用户可在部署上运行的允许操作列表,可以确保用户无法进行任何具有破坏性或成本高昂的更改。与实施后操作策略相关的用例介绍了此过程。
授权用户运行实施后操作时,您需要选择他们可以运行的各个操作。您要创建的是包含列表,而不是排除列表。
实施后操作策略何时生效
- 如果未定义任何实施后操作策略,则不会应用任何监管,并且所有用户都有权访问所有操作。在开始之初不应用任何监管,可以确保您和您的用户无需了解实施后操作策略,即可在 Automation Service Broker 和 Automation Assembler 中执行实施后操作。
- 在您确定可以控制哪些用户有权访问哪些操作后,可以采用单个实施后操作策略的形式添加监管。当第一个策略生效后,将对 Automation Service Broker 和 Automation Assembler 中的所有用户执行实施后操作策略。因此,只有符合第一个策略的用户才能运行选定的操作。其他所有用户均排除在外。其他用户之所以排除在外,是因为操作策略包括可信用户。通过排除其他所有用户,您能够创建与您的监管目标相匹配的策略。
- 要授权其他用户,必须创建可授权他们运行所选操作的策略。
部署共享如何影响实施后操作策略
项目中的部署共享会影响配置实施后操作授权的方式。如果未将项目设置为共享,则只有请求用户才能查看部署。如果项目共享部署,则项目的所有成员都可以查看部署,并可根据实施后操作策略运行他们有权运行的任何操作。部署共享在项目中进行配置。选择用户选项卡。
,然后选择项目并单击创建策略时,用于定义实施后操作策略的方式必须考虑到共享状态。
何时应用实施后操作策略
- 策略应用到哪些部署。
- 范围确定了将策略应用到组织还是项目级别的部署。
- 条件可将策略范围缩小到部署的特定方面。
- 哪些用户可以在这些部署上运行哪些操作。
- 角色授权所选角色的成员在选定的范围和条件内运行所选操作。角色可以是项目管理员、项目成员或指定的自定义角色。
当用户尝试使用部署或组件资源上的“操作”菜单管理部署时,将执行实施后操作策略。
此用例假设在项目中启用了部署共享,说明了实施后操作策略的集合。
选择实施后操作
- 操作是特定于云的。当您授权用户进行更改时,请考虑这些授权用户部署到哪些云帐户,并确保您选择操作的所有特定于云的版本。例如,添加 Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize 和 Cloud.Azure.Machine.Resize 可授权用户调整这些计算机的大小。
- 存在 Cloud.Machine.Resize 等云平台无关的操作,以应对载入或迁移过程无法识别计算机类型时的资源。如果您授权用户运行云平台无关的操作,则表明未授权他们运行将对已部署资源进行更改的云特定操作。不可知操作可能会显示在操作菜单中,但运行这些操作不起作用。避免授权运行不可知操作,而只授权云特定操作,以确保各种云平台的用户可以执行操作。
必备条件
- 有关可能操作的列表,请参见可以对 Automation Service Broker 部署或支持的资源运行哪些操作。
- 有关构建部署条件的详细信息,请参见如何在 Automation Service Broker 策略中配置部署条件。
- 在实施后操作策略 4 中使用自定义角色。创建部署故障排除人员角色,但具有自定义部署故障排除角色中的管理部署角色时,不会按项目限制成员。管理部署角色允许被分配用户查看所有部署并运行所有操作。如果部署故障排除角色不包括管理部署,则被分配用户将根据其项目成员资格查看部署。有关自定义角色的详细信息,请参见自定义角色用例。
过程
- 选择 。
- 配置实施后操作策略 1。
作为管理员,您希望通过限制用户请求快照的能力来控制存储成本。
- 定义策略的有效时间。
设置 示例值 范围 组织 此策略将应用于组织中的所有部署。
条件 无 实施类型 软性 此实施类型允许您创建与快照操作相关的其他策略以替代此策略。
授权类型 基于角色 角色 成员 此角色可将策略应用于所有项目成员。
- 选择用户可以运行的操作,但不选择任何快照操作。
您明确授权用户运行操作。要禁止用户运行快照操作,请确保未选择这些操作。
在此场景中,您组织中的任何项目成员都无权创建快照。您的项目管理员也无权创建快照。下一步是创建可让项目管理员创建和管理快照的策略。
- 定义策略的有效时间。
- 配置实施后操作策略 2。
作为管理员,您希望为项目管理员授予创建和管理快照的能力。
- 定义策略的有效时间。
设置 示例值 范围 组织 此策略将应用于组织中的所有部署。
条件 无 实施类型 软性 此实施类型允许您创建与快照操作相关的其他策略以替代此策略。
授权类型 基于角色 角色 管理员 此角色可将策略应用于项目管理员。
- 选择您希望管理员运行的快照操作。
项目管理员还有权运行其项目成员有权运行的任何操作。您无需向其授予成员操作的权限。
在此场景中,项目管理员有权运行与快照相关的操作以及其项目成员有权运行的所有操作。
- 定义策略的有效时间。
- 配置实施后操作策略 3。
作为项目管理员,您有两位开发人员,他们所做的工作可能会导致部署不可用。您希望授予他们无需您的干预,即可进行快照和恢复的权限。您授权两个项目成员使用快照操作。
- 定义策略的有效时间。
设置 示例值 范围 项目 MT5 此策略将应用于与此项目关联的部署。
条件 Catalog Item equals Multi-tier five machine with LB
根据此条件表达式,策略实施时仅考虑名为 Multi-tier five machine with LB 的目录项的部署。
实施类型 硬性 此实施类型可确保根据定义实施策略。
授权类型 基于用户 用户 添加用户。 [email protected], [email protected]
策略实施时仅考虑 Jan 或 Kris 部署了目录项的部署。
- 选择您希望指定用户运行的快照操作。
项目管理员还有权运行其项目成员有权运行的任何操作。
在此场景中,Jan 和 Kris 可以在他们当中任意一个人部署的 Multi-tier 5 Machines with LB 目录项上使用快照操作。尽管项目的其他成员可以看到部署,但只有 Jan、Kris 和项目管理员可以使用快照操作。
- 定义策略的有效时间。
- 配置实施后操作策略 4。
作为管理员,您需要为分配了“部署故障排除人员”自定义角色的用户分配运行大多数实施后操作的权限。虽然大多数自定义角色权限跨越项目,但用户在“部署”页面中可以看到的内容基于其项目成员资格。要查看部署,分配了自定义角色的用户必须是进行了部署的项目的成员。
- 定义策略的有效时间。
设置 示例值 范围 组织 条件 无 实施类型 软性 此实施类型允许您创建与扩展的实施后操作相关的其他策略以替代此策略。
授权类型 基于角色 角色 选择部署故障排除人员角色。 - 选择您希望此自定义角色的成员能够运行的所有操作。
在这种情况下,具有部署故障排除角色的所有用户都可以管理所有部署并跨项目运行所有选定的实施后操作。管理部署角色授予对部署的服务管理员特权,以便他们可以运行服务管理员可运行的任何操作。如果部署故障排除自定义角色不包括管理部署角色,则用户可以对属于其项目的部署运行所有选定的实施后操作。
- 定义策略的有效时间。
后续操作
- 有关如何处理和实施策略的更多示例,请参见如何处理 Automation Service Broker策略。
- 配置与您的组织和项目相关的策略。