Sie definieren Tag-2-Aktionsrichtlinien, damit Sie steuern können, welche Änderungen Ihre Benutzer an Bereitstellungen und deren Komponentenressourcen vornehmen können. Durch Erstellen einer Liste zulässiger Aktionen, die von allen oder einigen Benutzern bei Bereitstellungen ausgeführt werden können, stellen Sie sicher, dass die Benutzer keine destruktiven oder kostspieligen Änderungen initiieren können. Die Anwendungsbeispiele im Zusammenhang mit Richtlinien für Tag-2-Aktionen dienen als Einführung in den Vorgang.
Wenn Sie Benutzern die Berechtigung für die Ausführung von Tag-2-Aktionen erteilen, wählen Sie die einzelnen Aktionen aus, die sie ausführen können. Sie erstellen eine Aufnahmeliste, keine Ausschlussliste.
Wann tritt eine Richtlinie für Tag-2-Aktionen in Kraft?
- Wenn Sie keine Tag-2-Aktionsrichtlinien definiert haben, wird keine Governance angewendet, und alle Benutzer haben Zugriff auf alle Aktionen. Dieses anfängliche Fehlen einer Governance stellt sicher, dass Sie und Ihre Benutzer die Tag-2-Aktionen in Service Broker und Cloud Assembly ausführen können, ohne die Tag-2-Richtlinien verstehen zu müssen.
- Wenn Sie überzeugt davon sind, dass Sie bereit sind, zu steuern, wer Zugriff auf welche Aktionen hat, fügen Sie Governance in Form einer einzigen Tag-2-Aktionsrichtlinie hinzu. Wenn die erste Richtlinie wirksam wird, werden die Tag-2-Aktionsrichtlinien für alle Benutzer in Service Broker und Cloud Assembly erzwungen. Dies führt dazu, dass die Benutzer, auf die die erste Richtlinie zutrifft, die ausgewählten Aktionen ausführen können. Alle anderen sind ausgeschlossen. Sie sind ausgeschlossen, da die Aktionsrichtlinien die vertrauenswürdigen Benutzer enthalten. Indem Sie alle anderen ausschließen, können Sie die Richtlinien so gestalten, dass sie Ihren Governance-Zielen entsprechen.
- Um anderen Benutzern Berechtigungen zu erteilen, müssen Sie Richtlinien erstellen, die sie zur Ausführung der ausgewählten Aktionen berechtigen.
Die gemeinsame Nutzung von Bereitstellungen in Projekten wirkt sich darauf aus, wie Sie die Berechtigungen für Tag-2-Aktionen konfigurieren. Wenn für das Projekt keine gemeinsame Nutzung festgelegt ist, kann nur der anfordernde Benutzer eine Bereitstellung sehen. Wenn im Projekt Bereitstellungen gemeinsam genutzt werden, können alle Mitglieder des Projekts die Bereitstellung sehen und alle Aktionen ausführen, zu deren Ausführung sie durch eine Tag-2-Aktionsrichtlinie berechtigt sind. Die gemeinsame Nutzung der Bereitstellung wird in einem Projekt konfiguriert. Wählen Sie Benutzer.
, wählen Sie dann das Projekt aus und klicken Sie auf die RegisterkarteWährend Sie Ihre Richtlinien erstellen, müssen Sie bei der Art und Weise, wie Sie Richtlinien für Tag-2-Aktionen definieren, den Freigabestatus berücksichtigen.
Um den Zeitpunkt, zu dem Richtlinien für Tag-2-Aktionen angewendet werden, genau zu bestimmen, können Sie den Geltungsbereich, die Rolle und die Kriterien konfigurieren. Diese Konfigurationen steuern, auf welche Bereitstellungen die Richtlinie angewendet wird und wer die Aktionen ausführen kann, wenn die Richtlinie erzwungen wird.
- Auf welche Bereitstellungen wird die Richtlinie angewendet?
- Der Geltungsbereich legt fest, ob die Richtlinie auf Bereitstellungen auf Organisations- oder Projektebene angewendet wird.
- Kriterien schränken den Geltungsbereich der Richtlinie auf bestimmte Bereitstellungsaspekte ein.
- Wer kann welche Aktionen auf diesen Bereitstellungen ausführen?
- Die Rolle berechtigt die Mitglieder der ausgewählten Rolle, innerhalb des ausgewählten Geltungsbereichs und im Rahmen der Kriterien die ausgewählten Aktionen auszuführen. Die Rolle kann Projektadministrator, Projektmitglied oder eine benannte benutzerdefinierte Rolle sein.
Tag-2-Richtlinien werden erzwungen, wenn ein Benutzer versucht, eine Bereitstellung mithilfe des Menüs „Aktionen“ der Bereitstellung oder der Komponentenressourcen zu verwalten.
In diesem Anwendungsbeispiel, das zur Veranschaulichung einer Sammlung von Tag-2-Aktionsrichtlinien dient, wird vorausgesetzt, dass Sie die gemeinsame Nutzung der Bereitstellung im Projekt aktiviert haben.
Während Sie das Anwendungsbeispiel „Richtlinien für Tag 2-Aktionen“ durchgehen, müssen Sie auch die Aktionen auswählen. Sie müssen die Aktionen auswählen, die Ihre Cloud-Konten unterstützen.
- Aktionen sind Cloud-spezifisch. Wenn Sie den Benutzern Berechtigung zum Vornehmen von Änderungen erteilen, berücksichtigen Sie, welche Cloud-Konten die berechtigten Benutzer bereitstellen, und stellen Sie sicher, dass Sie alle Cloud-spezifischen Versionen der Aktionen auswählen. Fügen Sie beispielsweise „Cloud.AWS.EC2.Instance.Resize“, „Cloud.GCP.Machine.Resize“ und „Cloud.Azure.Machine.Resize“ hinzu, um Benutzern die Berechtigung zum Ändern der Größe dieser Maschinen zu erteilen.
- Cloud-unabhängige Aktionen, z. B. „Cloud.Machine.Resize“, sind vorhanden, um Ressourcen berücksichtigen zu können, bei denen der On-Boarding- oder Migrationsvorgang den Maschinentyp nicht identifizieren kann. Wenn Sie Benutzern die Berechtigung für Cloud-unabhängige Aktionen erteilen, haben Sie ihnen keine Berechtigung zum Ausführen der Cloud-spezifischen Aktion erteilt, mit der die Änderungen an den bereitgestellten Ressourcen vorgenommen werden. Die Cloud-unabhängigen Aktionen werden möglicherweise im Aktionsmenü angezeigt, aber das Ausführen der Aktionen hat keine Auswirkung. Sie sollten die Erteilung von Berechtigungen für Cloud-unabhängige Aktionen vermeiden und nur Berechtigungen für Cloud-spezifische Aktionen erteilen, um sicherzustellen, dass die Aktionen den Benutzern für Ihre unterschiedlichen Cloud-Plattformen zur Verfügung stehen.
Voraussetzungen
- Eine Liste der möglichen Aktionen finden Sie unter Welche Aktionen kann ich auf Service Broker-Bereitstellungen ausführen?.
- Weitere Informationen zum Konstruieren von Bereitstellungskriterien finden Sie unter Vorgehensweise zum Konfigurieren von Bereitstellungskriterien in Service Broker-Richtlinien.
- Benutzerdefinierte Rollen werden in der Tag-2-Richtlinie 4 verwendet. Erstellen Sie eine Rolle vom Typ „Fehlerbehebung bei der Bereitstellung“. Mit der Rolle „Bereitstellung verwalten“ in der benutzerdefinierten Rolle „Fehlerbehebung bei der Bereitstellung“ werden die Mitglieder jedoch nicht projektbezogen eingeschränkt. Die Rolle „Bereitstellung verwalten“ ermöglicht den entsprechenden Personen, alle Bereitstellungen anzuzeigen und alle Aktionen durchzuführen. Wenn die Rolle „Fehlerbehebung bei der Bereitstellung“ die Rolle „Bereitstellung verwalten“ nicht einschließt, werden den entsprechenden Personen Bereitstellungen im Rahmen ihrer jeweiligen Projektmitgliedschaft angezeigt. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Anwendungsbeispiel für benutzerdefinierte Rolle.
Prozedur
Nächste Maßnahme
- Weitere Beispiele dafür, wie die Richtlinien verarbeitet und erzwungen werden, finden Sie unter Vorgehensweise zur Verarbeitung von Service Broker-Richtlinien.
- Konfigurieren Sie Richtlinien, die für Ihre Organisationen und Projekte relevant sind.