您可以定义实施后操作,以便控制您的用户可对部署及其组件资源进行哪些更改。通过创建全部或部分用户可在部署上运行的允许操作列表,可以确保用户无法进行任何具有破坏性或成本高昂的更改。与实施后操作策略相关的用例介绍了此过程。

授权用户运行实施后操作时,您需要选择他们可以运行的各个操作。您要创建的是包含列表,而不是排除列表。

实施后操作策略何时生效?

  • 如果未定义任何实施后操作策略,则不会应用任何监管,并且所有用户都有权访问所有操作。在开始之初不应用任何监管,可以确保您和您的用户无需了解实施后操作策略,即可在 Service BrokerCloud Assembly 中执行实施后操作。
  • 在您确定可以控制哪些用户有权访问哪些操作后,可以采用单个实施后操作策略的形式添加监管。当第一个策略生效后,将对 Service BrokerCloud Assembly 中的所有用户执行实施后操作策略。因此,只有符合第一个策略的用户才能运行选定的操作。其他所有用户均排除在外。其他用户之所以排除在外,是因为操作策略包括可信用户。通过排除其他所有用户,您能够创建与您的监管目标相匹配的策略。
  • 要授权其他用户,必须创建可授权他们运行所选操作的策略。

创建策略时,用于定义实施后操作策略的方式必须考虑到共享状态。

要关注何时应用实施后操作策略,可以配置范围、角色和部署条件。这些配置控制了策略将应用到哪些部署以及在实施策略后谁可以运行操作。

  • 策略应用到哪些部署。
    • 范围确定了将策略应用到组织还是项目级别的部署。
    • 部署条件可将策略范围缩小到部署的特定方面。
  • 哪些用户可以在这些部署上运行哪些操作。
    • 角色授权所选角色的成员在选定的范围和部署条件内运行所选操作。角色可以是项目管理员、项目成员或指定的自定义角色。

当用户尝试使用部署或组件资源上的“操作”菜单管理部署时,将执行实施后操作策略。

在查看实施后操作策略用例时,还必须选择操作。您必须选择支持云帐户的操作。

  • 操作是特定于云的。当您授权用户进行更改时,请考虑这些授权用户部署到哪些云帐户,并确保您选择操作的所有特定于云的版本。例如,添加 Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize 和 Cloud.Azure.Machine.Resize 可授权用户调整这些计算机的大小。
  • 存在 Cloud.Machine.Resize 等云平台无关的操作,以应对载入或迁移过程无法识别计算机类型时的资源。如果您授权用户运行云平台无关的操作,则表明未授权他们运行将对已部署资源进行更改的云特定操作。不可知操作可能会显示在操作菜单中,但运行这些操作不起作用。应避免授权运行不可知操作,而只授权云特定操作,以确保各种云平台的用户可以执行操作。

前提条件

过程

  1. 选择内容和策略 > 策略 > 定义 > 新建策略 > 实施后操作策略
  2. 配置实施后操作策略 1。
    作为管理员,您希望通过限制用户请求快照的能力来控制存储成本。
    1. 定义策略的有效时间。
      设置 示例值
      范围 组织

      此策略将应用于组织中的所有部署。

      部署条件
      实施类型 软性

      此实施类型允许您创建与快照操作相关的其他策略以替代此策略。

      角色 成员

      此角色可将策略应用于所有项目成员。

    2. 选择用户可以运行的操作,但不选择任何快照操作。
      您明确授权用户运行操作。要禁止用户运行快照操作,请确保未选择这些操作。
    在此场景中,您组织中的任何项目成员都无权创建快照。您的项目管理员也无权创建快照。下一步是创建可让项目管理员创建和管理快照的策略。
  3. 配置实施后操作策略 2。
    作为管理员,您希望为项目管理员授予创建和管理快照的能力。
    1. 定义策略的有效时间。
      设置 示例值
      范围 组织

      此策略将应用于组织中的所有部署。

      部署条件
      实施类型 软性

      此实施类型允许您创建与快照操作相关的其他策略以替代此策略。

      角色 管理员

      此角色可将策略应用于项目管理员。

    2. 选择您希望管理员运行的快照操作。
      项目管理员还有权运行其项目成员有权运行的任何操作。您无需向其授予成员操作的权限。
    在此场景中,项目管理员有权运行与快照相关的操作以及其项目成员有权运行的所有操作。
  4. 配置实施后操作策略 3。
    作为项目管理员,您有两位开发人员,他们所做的工作可能会导致部署不可用。您希望授予他们无需您的干预,即可进行快照和恢复的权限。您授权两个项目成员使用快照操作。
    1. 定义策略的有效时间。
      设置 示例值
      范围 项目 MT5

      此策略将应用于与此项目关联的部署。

      部署条件 catalogItem equals Multi-tier five machine with LB AND (createdBy equals jan@mycompany.com OR createdBy kris@mycompany.com)

      根据此条件表达式,策略实施时仅考虑 Jan 或 Kris 部署了名为 Multi-tier five machine with LB 的目录项的部署。

      实施类型 硬性

      此实施类型可确保根据定义实施策略。

      角色 成员

      此角色将策略应用于部署条件中定义的目录项。

    2. 选择您希望指定用户运行的快照操作。
      项目管理员还有权运行其项目成员有权运行的任何操作。
    在此场景中,Jan 和 Kris 可以在他们当中任意一个人部署的 Multi-tier 5 Machines with LB 目录项上使用快照操作。尽管项目的其他成员可以看到部署,但只有 Jan、Kris 和项目管理员可以使用快照操作。

后续步骤