Sie definieren Tag-2-Aktionsrichtlinien, damit Sie steuern können, welche Änderungen Ihre Benutzer an Bereitstellungen und deren Komponentenressourcen vornehmen können. Durch Erstellen einer Liste zulässiger Aktionen, die von allen oder einigen Benutzern bei Bereitstellungen ausgeführt werden können, stellen Sie sicher, dass die Benutzer keine destruktiven oder kostspieligen Änderungen initiieren können. Die Anwendungsbeispiele im Zusammenhang mit Richtlinien für Tag-2-Aktionen dienen als Einführung in den Vorgang.

Wenn Sie Benutzern die Berechtigung für die Ausführung von Tag-2-Aktionen erteilen, wählen Sie die einzelnen Aktionen aus, die sie ausführen können. Sie erstellen eine Aufnahmeliste, keine Ausschlussliste.

Wann tritt eine Richtlinie für Tag-2-Aktionen in Kraft?

  • Wenn Sie keine Tag-2-Aktionsrichtlinien definiert haben, wird keine Governance angewendet, und alle Benutzer haben Zugriff auf alle Aktionen. Dieses anfängliche Fehlen einer Governance stellt sicher, dass Sie und Ihre Benutzer die Tag-2-Aktionen in Service Broker und Cloud Assembly ausführen können, ohne die Tag-2-Richtlinien verstehen zu müssen.
  • Wenn Sie überzeugt davon sind, dass Sie bereit sind, zu steuern, wer Zugriff auf welche Aktionen hat, fügen Sie Governance in Form einer einzigen Tag-2-Aktionsrichtlinie hinzu. Wenn die erste Richtlinie wirksam wird, werden die Tag-2-Aktionsrichtlinien für alle Benutzer in Service Broker und Cloud Assembly erzwungen. Dies führt dazu, dass die Benutzer, auf die die erste Richtlinie zutrifft, die ausgewählten Aktionen ausführen können. Alle anderen sind ausgeschlossen. Sie sind ausgeschlossen, da die Aktionsrichtlinien die vertrauenswürdigen Benutzer enthalten. Indem Sie alle anderen ausschließen, können Sie die Richtlinien so gestalten, dass sie Ihren Governance-Zielen entsprechen.
  • Um anderen Benutzern Berechtigungen zu erteilen, müssen Sie Richtlinien erstellen, die sie zur Ausführung der ausgewählten Aktionen berechtigen.

Die gemeinsame Nutzung von Bereitstellungen in Projekten wirkt sich darauf aus, wie Sie die Berechtigungen für Tag-2-Aktionen konfigurieren. Wenn für das Projekt keine gemeinsame Nutzung festgelegt ist, kann nur der anfordernde Benutzer eine Bereitstellung sehen. Wenn im Projekt Bereitstellungen gemeinsam genutzt werden, können alle Mitglieder des Projekts die Bereitstellung sehen und alle Aktionen ausführen, zu deren Ausführung sie durch eine Tag-2-Aktionsrichtlinie berechtigt sind. Die gemeinsame Nutzung der Bereitstellung wird in einem Projekt konfiguriert. Wählen Sie Infrastruktur > Verwaltung > Projekte, wählen Sie dann das Projekt aus und klicken Sie auf die Registerkarte Benutzer.

Während Sie Ihre Richtlinien erstellen, müssen Sie bei der Art und Weise, wie Sie Richtlinien für Tag-2-Aktionen definieren, den Freigabestatus berücksichtigen.

Um den Zeitpunkt, zu dem Richtlinien für Tag-2-Aktionen angewendet werden, genau zu bestimmen, können Sie den Geltungsbereich, die Rolle und die Kriterien konfigurieren. Diese Konfigurationen steuern, auf welche Bereitstellungen die Richtlinie angewendet wird und wer die Aktionen ausführen kann, wenn die Richtlinie erzwungen wird.

  • Auf welche Bereitstellungen wird die Richtlinie angewendet?
    • Der Geltungsbereich legt fest, ob die Richtlinie auf Bereitstellungen auf Organisations- oder Projektebene angewendet wird.
    • Kriterien schränken den Geltungsbereich der Richtlinie auf bestimmte Bereitstellungsaspekte ein.
  • Wer kann welche Aktionen auf diesen Bereitstellungen ausführen?
    • Die Rolle berechtigt die Mitglieder der ausgewählten Rolle, innerhalb des ausgewählten Geltungsbereichs und im Rahmen der Kriterien die ausgewählten Aktionen auszuführen. Die Rolle kann Projektadministrator, Projektmitglied oder eine benannte benutzerdefinierte Rolle sein.

Tag-2-Richtlinien werden erzwungen, wenn ein Benutzer versucht, eine Bereitstellung mithilfe des Menüs „Aktionen“ der Bereitstellung oder der Komponentenressourcen zu verwalten.

In diesem Anwendungsbeispiel, das zur Veranschaulichung einer Sammlung von Tag-2-Aktionsrichtlinien dient, wird vorausgesetzt, dass Sie die gemeinsame Nutzung der Bereitstellung im Projekt aktiviert haben.

Während Sie das Anwendungsbeispiel „Richtlinien für Tag 2-Aktionen“ durchgehen, müssen Sie auch die Aktionen auswählen. Sie müssen die Aktionen auswählen, die Ihre Cloud-Konten unterstützen.

  • Aktionen sind Cloud-spezifisch. Wenn Sie den Benutzern Berechtigung zum Vornehmen von Änderungen erteilen, berücksichtigen Sie, welche Cloud-Konten die berechtigten Benutzer bereitstellen, und stellen Sie sicher, dass Sie alle Cloud-spezifischen Versionen der Aktionen auswählen. Fügen Sie beispielsweise „Cloud.AWS.EC2.Instance.Resize“, „Cloud.GCP.Machine.Resize“ und „Cloud.Azure.Machine.Resize“ hinzu, um Benutzern die Berechtigung zum Ändern der Größe dieser Maschinen zu erteilen.
  • Cloud-unabhängige Aktionen, z. B. „Cloud.Machine.Resize“, sind vorhanden, um Ressourcen berücksichtigen zu können, bei denen der On-Boarding- oder Migrationsvorgang den Maschinentyp nicht identifizieren kann. Wenn Sie Benutzern die Berechtigung für Cloud-unabhängige Aktionen erteilen, haben Sie ihnen keine Berechtigung zum Ausführen der Cloud-spezifischen Aktion erteilt, mit der die Änderungen an den bereitgestellten Ressourcen vorgenommen werden. Die Cloud-unabhängigen Aktionen werden möglicherweise im Aktionsmenü angezeigt, aber das Ausführen der Aktionen hat keine Auswirkung. Sie sollten die Erteilung von Berechtigungen für Cloud-unabhängige Aktionen vermeiden und nur Berechtigungen für Cloud-spezifische Aktionen erteilen, um sicherzustellen, dass die Aktionen den Benutzern für Ihre unterschiedlichen Cloud-Plattformen zur Verfügung stehen.

Voraussetzungen

  • Eine Liste der möglichen Aktionen finden Sie unter Welche Aktionen kann ich auf Service Broker-Bereitstellungen ausführen?.
  • Weitere Informationen zum Konstruieren von Bereitstellungskriterien finden Sie unter Vorgehensweise zum Konfigurieren von Bereitstellungskriterien in Service Broker-Richtlinien.
  • Benutzerdefinierte Rollen werden in der Tag-2-Richtlinie 4 verwendet. Erstellen Sie eine Rolle vom Typ „Fehlerbehebung bei der Bereitstellung“. Mit der Rolle „Bereitstellung verwalten“ in der benutzerdefinierten Rolle „Fehlerbehebung bei der Bereitstellung“ werden die Mitglieder jedoch nicht projektbezogen eingeschränkt. Die Rolle „Bereitstellung verwalten“ ermöglicht den entsprechenden Personen, alle Bereitstellungen anzuzeigen und alle Aktionen durchzuführen. Wenn die Rolle „Fehlerbehebung bei der Bereitstellung“ die Rolle „Bereitstellung verwalten“ nicht einschließt, werden den entsprechenden Personen Bereitstellungen im Rahmen ihrer jeweiligen Projektmitgliedschaft angezeigt. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Anwendungsbeispiel für benutzerdefinierte Rolle.

Prozedur

  1. Wählen Sie Inhalt und Richtlinien > Richtlinien > Definitionen > Neue Richtlinie > Richtlinie für Tag-2-Aktionen.
  2. Konfigurieren Sie Tag-2-Richtlinie 1.
    Als Administrator möchten Sie die Speicherkosten kontrollieren, indem Sie die Fähigkeit von Benutzern, Snapshots anzufordern, einschränken.
    1. Legen Sie fest, wann die Richtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Organisation

      Diese Richtlinie galt für alle Bereitstellungen in Ihrer Organisation.

      Kriterien Keine
      Erzwingungstyp Weich

      Dieser Erzwingungstyp ermöglicht es Ihnen, andere Richtlinien im Zusammenhang mit den Snapshot-Aktionen zu erstellen, die diese Richtlinie überschreiben.

      Rolle Mitglied

      Diese Rolle wendet die Richtlinie auf alle Projektmitglieder an.

    2. Wählen Sie die Aktionen aus, die die Benutzer ausführen können, wählen Sie jedoch keine Snapshot-Aktionen aus.
      Sie erteilen Benutzern explizit die Berechtigung zum Ausführen von Aktionen. Um Benutzer von der Ausführung von Snapshot-Aktionen auszuschließen, stellen Sie sicher, dass die Aktionen nicht ausgewählt sind.
    In diesem Szenario ist keiner der Projektmitglieder in Ihrer Organisation berechtigt, Snapshots zu erstellen. Auch Ihre Projektadministratoren sind nicht dazu berechtigt. Im nächsten Schritt erstellen Sie eine Richtlinie, die den Projektadministratoren die Berechtigung zum Erstellen und Verwalten von Snapshots erteilt.
  3. Konfigurieren Sie Tag-2-Richtlinie 2.
    Als Administrator möchten Sie den Projektadministratoren die Möglichkeit geben, Snapshots zu erstellen und zu verwalten.
    1. Legen Sie fest, wann die Richtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Organisation

      Diese Richtlinie wird auf alle Bereitstellungen in Ihrer Organisation angewendet.

      Kriterien Keine
      Erzwingungstyp Weich

      Dieser Erzwingungstyp ermöglicht es Ihnen, andere Richtlinien im Zusammenhang mit den Snapshot-Aktionen zu erstellen, die diese Richtlinie überschreiben.

      Rolle Administrator

      Diese Rolle wendet die Richtlinie auf die Projektadministratoren an.

    2. Wählen Sie die Snapshot-Aktionen aus, die die Administratoren ausführen sollen.
      Projektadministratoren sind auch zur Ausführung aller Aktionen berechtigt, zu deren Ausführung die Mitglieder ihrer Projekte berechtigt sind. Sie müssen ihnen keine Berechtigung für Mitgliederaktionen erteilen.
    In diesem Szenario sind die Projektadministratoren berechtigt, die Snapshot-bezogenen Aktionen sowie alle Aktionen, zu deren Ausführung ihre Projektmitglieder berechtigt sind, auszuführen.
  4. Konfigurieren Sie Tag-2-Richtlinie 3.
    Als Projektadministrator haben Sie zwei Entwickler, deren derzeit durchgeführte Arbeiten eine Bereitstellung möglicherweise unbrauchbar machen. Sie möchten ihnen die Berechtigung erteilen, ohne Ihr Eingreifen einen Snapshot zu erstellen und den vorherigen Zustand wiederherzustellen. Sie erteilen den beiden Projektmitgliedern die Berechtigung, die Snapshot-Aktionen zu verwenden.
    1. Legen Sie fest, wann die Richtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Projekt MT5

      Diese Richtlinie galt für Bereitstellungen, die mit diesem Projekt verknüpft sind.

      Kriterien
      Catalog Item equals Multi-tier five machine with LB 
      AND 
          (Created By equals [email protected] 
          OR 
          Created By equals [email protected])

      Basierend auf diesem Kriterienausdruck werden nur die Bereitstellungen, bei denen Jan oder Kris ein Katalogelement mit dem Namen „Multi-tier-five machine with LB“ bereitgestellt haben, für die Richtliniendurchsetzung berücksichtigt.

      Erzwingungstyp Hart

      Dieser Erzwingungstyp stellt sicher, dass die Richtlinie basierend auf der Definition erzwungen wird.

      Rolle Mitglied

      Mit dieser Rolle wird die Richtlinie auf das in den Bereitstellungskriterien definierte Katalogelement angewendet.

    2. Wählen Sie die Snapshot-Aktionen aus, die von den angegebenen Benutzern ausgeführt werden sollen.
      Projektadministratoren sind auch zur Ausführung aller Aktionen berechtigt, zu deren Ausführung die Mitglieder ihrer Projekte berechtigt sind.
    In diesem Szenario können Jan und Kris die Snapshot-Aktionen für das Katalogelement „Multi-tier five machine with LB“ verwenden, das von beiden bereitgestellt wird. Obwohl andere Mitglieder des Projekts die Bereitstellung anzeigen können, können nur Jan, Kris und der Projektadministrator die Snapshot-Aktionen verwenden.
  5. Konfigurieren Sie Tag-2-Richtlinie 4.
    Als Administrator möchten Sie die Berechtigungen zum Ausführen der meisten Tag-2-Aktionen denjenigen Benutzern zuweisen, denen eine benutzerdefinierte Rolle vom Typ „Fehlerbehebung bei Bereitstellungen“ zugewiesen ist. Obwohl die meisten benutzerdefinierten Rollenberechtigungen über Projekte hinweg gelten, basiert der Inhalt, den die Benutzer auf der Seite „Bereitstellungen“ anzeigen können, auf ihrer Projektmitgliedschaft. Um die Bereitstellungen anzeigen zu können, müssen die Benutzer, denen die benutzerdefinierten Rollen zugewiesen wurden, Mitglied der Projekte sein, in denen sie bereitgestellt wurden.
    1. Legen Sie fest, wann die Richtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Organisation
      Kriterien Keine
      Erzwingungstyp Weich

      Dieser Erzwingungstyp ermöglicht es Ihnen, andere Richtlinien im Zusammenhang mit den erweiterten Tag-2-Aktionen zu erstellen, die diese Richtlinie überschreiben.

      Rolle Wählen Sie die Rolle Fehlerbehebung bei Bereitstellungen aus.
    2. Wählen Sie alle Aktionen aus, die die Mitglieder dieser benutzerdefinierten Rolle ausführen können sollen.
    In diesem Szenario können alle Benutzer mit der Rolle „Fehlerbehebung bei der Bereitstellung“ sämtliche Bereitstellungen verwalten und alle ausgewählten Tag-2-Aktionen projektübergreifend ausführen. Die Rolle „Bereitstellungen verwalten“ gewährt Dienstadministratorberechtigungen für Bereitstellungen. Folglich können alle Aktionen durchgeführt werden, die ein Dienstadministrator ausführen kann. Wenn die benutzerdefinierte Rolle „Fehlerbehebung bei der Bereitstellung“ die Rolle „Bereitstellungen verwalten“ nicht enthält, können die Benutzer alle ausgewählten Tag-2-Aktionen der Bereitstellungen durchführen, die zu ihren Projekten gehören.

Nächste Maßnahme