Las directivas de aprobación son un nivel de gobierno que se añade para ejercer control sobre las solicitudes de acción del día 2 e implementación antes de que se ejecuten. Las directivas de aprobación se definen en Automation Service Broker para que usted, u otros que designe, revisen las solicitudes antes de que los recursos se consuman o destruyan. Los casos prácticos de la directiva de aprobación de este procedimiento son una introducción que se puede utilizar a medida que se exploran las opciones de gobierno.

Si solo tiene un equipo pequeño que agrega e implementa elementos del catálogo, es posible que las directivas de aprobación sean menos útiles. Sin embargo, a medida que el catálogo esté disponible para un grupo más grande de desarrolladores y consumidores generales, puede utilizar las directivas de aprobación para asegurarse de que alguien revise una solicitud antes de que se consuman los recursos o que se realicen cambios en los elementos aprovisionados.

Por ejemplo, tiene un elemento del catálogo que es importante, pero que consume una gran cantidad de recursos. Desea que uno de los administradores de TI revise las solicitudes de implementación para asegurarse de que la solicitud sea necesaria. Otro ejemplo se aplica a las acciones del día 2. Realizar cambios en una implementación que muchos utilizan puede ser devastador. Quiere que el administrador del proyecto que gestiona la implementación de ese equipo revise todos los cambios en el elemento del catálogo implementado.

Quién trabaja con las directivas de aprobación o se ve afectado por ellas

  • Administrador de Automation Service Broker. Configura las directivas.
  • Consumidores del catálogo. Usuarios que solicitan elementos del catálogo o acciones de día 2 a las que se aplican una o varias directivas.
  • Usuarios que implementan plantillas de nube en Automation Assembler. Usuarios que solicitan plantillas o acciones del día 2 en Automation Assembler a las que se aplican una o varias directivas.
  • Aprobadores designados. Usuarios que deben revisar y, a continuación, aprobar o rechazar una solicitud. Puede conceder derechos de aprobador a los usuarios o grupos de usuarios seleccionados, o bien puede elegir entre las siguientes funciones de aprobador.
    • Administrador de AD. Usuario de Active Directory con atributos de administrador. Consulte Configurar atributos de Active Directory para la función de aprobador de administrador de AD.
    • Administradores de proyectos. Los administradores de proyectos dentro del ámbito de la directiva se asignan automáticamente como aprobadores. Si un proyecto no tiene un administrador dedicado, la directiva de aprobación no se aplica a ese proyecto.
    • Supervisores de proyectos. Miembros de proyectos dentro del ámbito de directiva que tienen asignada la función de supervisor. Los derechos de acceso de supervisor se limitan a aprobar y rechazar solicitudes de implementación para un proyecto. Si un proyecto no tiene un supervisor dedicado, la directiva de aprobación no se aplica a ese proyecto.

Qué sucede cuando se aplican las directivas de aprobación

Es posible que se apliquen varias directivas de aprobación. Las directivas de aprobación se evalúan, y se aplica una directiva forzada a la solicitud. Cuando existen varias directivas válidas, en las que los aprobadores son personas diferentes, se agregan todos los aprobadores. Cuando existen varias directivas, es importante comprender este proceso. Para obtener más información, consulte Objetivos de directivas de aprobación y ejemplos de aplicación.

  1. Las directivas de aprobación están definidas.
  2. Un usuario solicita un elemento del catálogo o una acción del día 2. En el momento de la solicitud, Automation Service Broker evalúa el elemento del catálogo para ver si se aplica alguna directiva.
  3. Se aplica una directiva de aprobación.
    1. La tarjeta de implementación muestra el estado. Por ejemplo, Crear: aprobación pendiente.
    2. Se envía una notificación por correo electrónico al solicitante. Consulte Cómo realizar un seguimiento de las solicitudes que requieren aprobación.
    3. Se envía una notificación por correo electrónico a los aprobadores. Consulte Cómo se responde a una solicitud de aprobación.

      Hasta que se aprueba la solicitud, la implementación no comienza a implementar o a consumir recursos de infraestructura, ni a realizar cambios en un sistema implementado. El usuario que realiza la solicitud recibe una notificación por correo electrónico que indica que la solicitud está a la espera de aprobación.

    4. Los aprobadores responden a la solicitud mediante la página Aprobaciones en Automation Service Broker.
  4. Se completó el proceso de aprobación.
    1. Si se rechaza la solicitud, se notifica al usuario solicitante y se cancela la solicitud de implementación.
    2. Si se aprueba la solicitud, la implementación continúa.
    3. Es posible que la directiva aplicada se haya configurado para aprobar o rechazar automáticamente una solicitud si el aprobador no realiza ninguna acción.

Cómo se pueden utilizar los criterios de implementación

Para limitar los elementos o las actividades a los que se aplica la directiva, puede definir los criterios de implementación. Para obtener más información sobre los criterios, consulte Cómo se configuran los criterios de implementación en las directivas de Automation Service Broker.

Restricciones de las directivas de aprobación

  • La acción Cambiar concesión no está disponible para incluirla en una directiva de aprobación.
  • No se admite el uso de recursos personalizados como tipo de recurso en los criterios de directiva.

Requisitos previos

  • Un aprobador, que puede que no sea un usuario regular de Automation Service Broker o Automation Assembler, debe tener una de las siguientes combinaciones de funciones:
    • Miembro de la organización y usuario de Automation Service Broker
    • Miembro de la organización y la función personalizada Administrar aprobaciones

    Estas funciones ofrecen el nivel mínimo de permisos y siguen permitiendo que se apruebe o rechace una solicitud.

  • Compruebe que el servidor de notificaciones de correo electrónico esté definido. Consulte Agregar un servidor de correo electrónico en Automation Service Broker para enviar notificaciones.
  • Si tiene pensado utilizar el administrador de Active Directory como tipo de aprobación basado en funciones, debe utilizar la integración de Workspace ONE Access y VMware Identity Manager configurada para VMware Aria Automation. También debe incluir los atributos del administrador de Active Directory en los atributos de usuario. Consulte Configurar atributos de Active Directory para la función de aprobador de administrador de AD.

Procedimiento

Cuando revise el caso de uso de directivas de aprobación y cree su propia directiva, consulte la ayuda de poste indicador en los cuadros de texto clave para obtener más información.

  1. Seleccione Contenido y directivas > Directivas > Definiciones > Nueva directiva > Directiva de aprobación.
  2. Configure la directiva de aprobación 1.
    Como administrador, tiene un elemento de catálogo importante que también consume una gran cantidad de recursos de nube. Desea que varios administradores revisen las solicitudes de implementación para asegurarse de que la solicitud sea realmente necesaria y de que existan recursos para admitirla.
    1. Determine cuándo la directiva es válida.
      Ajuste Valor de ejemplo
      Ámbito Organización

      Esta directiva se aplica a todos los proyectos de la organización.

      Criterios
      Catalog Item equals CompanyApplication
    2. Defina el comportamiento de las aprobaciones.
      Ajuste Valor de ejemplo
      Tipo de aprobación Seleccione Basado en usuarios.

      Seleccione los usuarios y grupos de usuarios que serán los aprobadores de solicitudes.

      Modo de aprobador Todos

      Desea que todos los administradores de TI acepten que la solicitud de implementación no desaprovecha recursos.

      Aprobadores {GroupName1}@YourCompany, {ApproverName1}@YourCompany, {ApproverName2}@YourCompany

      La solicitud de aprobación se envía a todos los miembros del grupo de usuarios. Solo un miembro del grupo debe aprobar la solicitud.

      Decisión de caducidad automática Rechazar

      La posible carga en los recursos de nube significa que no desea implementar sin querer el elemento sin aprobación.

      Activador de caducidad automática 3

      Este valor debe realizarse durante un fin de semana largo cuando es posible que los administradores no estén disponibles.

      Acciones Deployment.Create

    En este escenario, si algún consumidor del catálogo solicita este elemento del catálogo, tanto el aprobador 1 como el aprobador 2, y cualquier miembro del grupo de usuarios 1 deben aprobar la solicitud antes de transcurridos 3 días o, de lo contrario, se rechazará la solicitud.

  3. Configure la directiva de aprobación 2.

    Como administrador, tiene varios proyectos en los que desea que los administradores de proyectos aprueben cualquier cambio en las implementaciones que pueda tener consecuencias catastróficas. Por ejemplo, la eliminación de la implementación.

    1. Determine cuándo la directiva de aprobación es válida.
      Ajuste Valor de ejemplo
      Ámbito
      Varios proyectos
      Project name contains Prod

      La directiva se aplica a las implementaciones asociadas con todos los proyectos que coinciden con los criterios de ámbito.

      Criterios Ninguna
    2. Defina el comportamiento de las aprobaciones.
      Ajuste Valor de ejemplo
      Tipo de aprobación Seleccione Basado en funciones.
      Función de aprobador Administradores de proyectos

      Si un proyecto no tiene un administrador dedicado, la política de aprobación no se aplica a las solicitudes asociadas con ese proyecto.

      Modo de aprobador Cualquiera
      Decisión de caducidad automática Rechazar
      Activador de caducidad automática 7
      Acciones Deployment.Delete, Deployment.PowerOff, Deployment.Update y cualquiera de las acciones de alimentación, reinicio y eliminación específicas de los componentes.

    En este escenario, cuando un miembro de uno de los proyectos dentro del ámbito solicita ejecutar las acciones enumeradas en una implementación, la solicitud se rechaza después de siete días si el administrador del proyecto no responde.

  4. Configure la directiva de aprobación 3.

    Como administrador, le interesa mantener cierto control sobre el uso de recursos. Por ejemplo, si un usuario solicita un elemento del catálogo de gran tamaño, seguramente desee evaluar y aprobar la solicitud. El tamaño se define en las asignaciones de tipo.

    1. Determine cuándo la directiva de aprobación es válida.
      Ajuste Valor de ejemplo
      Ámbito Organización
      Criterios
      Resources has any 
           Flavor equals large
    2. Defina el comportamiento de las aprobaciones.
      Ajuste Valor de ejemplo
      Tipo de aprobación Seleccione Basado en usuarios.
      Modo de aprobador Cualquiera
      Aprobadores {AdminName}@YourCompany
      Decisión de caducidad automática Rechazar

      Debido al posible uso de los recursos de nube, no le interesa que se implemente el elemento sin aprobación de forma accidental.

      Activador de caducidad automática 5
      Acciones Acciones Deployment.Create y posibles acciones *.Machine.Resize aplicables. Por ejemplo, Cloud.vSphere.Machine.Resize.

      En este escenario, cuando un usuario envía una solicitud para una implementación de gran volumen o para aumentar el tamaño de una implementación hasta dimensiones importantes, la solicitud se rechaza después de 5 días si el administrador de nube no responde.

Qué hacer a continuación