Cómo autorizar a los usuarios de implementación a ejecutar las acciones del día 2 de Automation Service Broker mediante directivas

Las directivas de acción del día 2 se definen para poder controlar los cambios que los usuarios puedan realizar en las implementaciones y sus recursos de componentes. Al crear una lista de acciones permitidas que todos los usuarios (o algunos de ellos) pueden ejecutar en las implementaciones, se garantiza que los usuarios no puedan iniciar ningún cambio destructivo o costoso. Los casos prácticos relacionados con las directivas de acción del día 2 representan una introducción al procedimiento.

Al autorizar a los usuarios para que ejecuten acciones del día 2, debe seleccionar las acciones individuales que pueden ejecutar. Se creará una lista de inclusión, no una de exclusión.

Cuándo entra en vigor una directiva de acciones del día 2

Si no se definieron directivas de acción del día 2, no se aplicará ninguna gobernanza y todos los usuarios podrán acceder a todas las acciones. Esta falta de gobernanza inicial cuando se empieza garantiza que usted y los usuarios podrán ejecutar las acciones del día 2 en Automation Service Broker y Automation Assembler sin necesidad de comprender las directivas del día 2.
Después de determinar que está preparado para controlar quién podrá acceder a acciones específicas, la gobernanza se agrega como una única directiva de acción del día 2. Cuando la primera directiva entra en vigor, las directivas de acción del día 2 se aplican para todos los usuarios de Automation Service Broker y Automation Assembler. Por ello, solo los usuarios para los que la primera directiva tiene un valor de true pueden ejecutar las acciones seleccionadas. Se excluyen a todos los demás usuarios Se excluyen debido a que las directivas de acciones son usuarios de confianza. Al excluir a todos los demás usuarios, podrá diseñar las directivas para que coincidan con sus objetivos de gobernanza.
Para autorizar a otros usuarios, debe crear directivas que les autoricen a ejecutar las acciones que seleccione.

Cómo afecta el uso compartido de la implementación a las directivas de acciones del día 2

El uso compartido de implementaciones en proyectos afecta al modo en el que se configuran las autorizaciones de acciones del día 2. Si el proyecto no está configurado para compartir, solo el usuario que realice la solicitud podrá ver una implementación. Si el proyecto comparte implementaciones, todos los miembros del proyecto pueden ver la implementación y ejecutar las acciones para las que tienen autorización a ejecutar en una directiva de acción del día 2. El uso compartido de implementaciones se configura en un proyecto. Seleccione Infraestructura > Administración > Proyectos, elija el proyecto y haga clic en la pestaña Usuarios.

A medida que se crean las directivas, la forma en la que se definen las directivas de acción del día 2 debe tener en cuenta el estado de uso compartido.

Cuándo se aplican directivas de acciones del día 2

Para centrarse en el momento en el que se aplican las directivas de acción del día 2, puede configurar el ámbito, la función y los criterios. Estos ajustes determinan las implementaciones en las que se aplica la directiva y quién puede ejecutar las acciones cuando se aplica la directiva.

Las implementaciones en las que se aplica la directiva.
- El ámbito determina si la directiva se aplica en las implementaciones en el nivel de organización o de proyecto.
- Los criterios restringen el ámbito de la directiva a aspectos específicos de las implementaciones.
Los usuarios que pueden ejecutar acciones específicas en esas implementaciones.
- La función autoriza a los miembros de una función seleccionada, dentro del ámbito y los criterios seleccionados, a ejecutar las acciones seleccionadas. La función puede ser administrador de proyectos, miembro de proyecto o un rol personalizado con nombre.

Las directivas del día 2 se aplican cuando un usuario intenta administrar una implementación mediante el menú Acciones en la implementación o en los recursos del componente.

En este caso práctico, el cual se utiliza para explicar una recopilación de directivas de acción del día 2, se asume que se habilitó el uso compartido de implementaciones en el proyecto.

Seleccionar acciones del día 2

Al revisar el caso práctico de directivas de acción del día 2, también debe seleccionar las acciones. Debe seleccionar las acciones que admitan las cuentas de nube.

Las acciones son específicas de la nube. Al autorizar a los usuarios a realizar cambios, tenga en cuenta qué cuentas en la nube están implementando los usuarios autorizados y asegúrese de seleccionar todas las versiones de las acciones específicas de la nube. Por ejemplo, agregue Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize y Cloud.Azure.Machine.Resize para autorizar a los usuarios a cambiar el tamaño de esas máquinas.
Las acciones independientes de la nube (por ejemplo, Cloud.Machine.Resize) existen para alojar recursos en los que los procesos de incorporación o migración no puede identificar el tipo de máquina. Si autoriza a los usuarios para que realicen acciones independientes de la nube, no estarán autorizados a ejecutar la acción específica de la nube que realizará los cambios en los recursos implementados. Las acciones independientes pueden aparecer en el menú de acciones, pero la ejecución de las acciones no tiene ningún efecto. Evite autorizar las acciones independientes y autorice solo aquellas acciones específicas de la nube a fin de garantizar que estén disponibles para los usuarios de sus diversas plataformas de nube.

Requisitos previos

Para obtener una lista de posibles acciones, consulte Acciones que se pueden ejecutar en las implementaciones de recursos admitidos de Automation Service Broker.
Para obtener más información sobre la construcción de criterios de implementación, consulte Cómo se configuran los criterios de implementación en las directivas de Automation Service Broker.
Las funciones personalizadas se utilizan en la directiva 4 del día 2. Se puede crear una función de solución de problemas de implementación, pero con la función de administración de implementaciones en la función de solución de problemas de implementación personalizada no se limitan los miembros por proyecto. La función de administración de implementaciones permite que los usuarios asignados puedan ver todas las implementaciones y ejecutar todas las acciones. Si la función de solución de problemas de implementación no incluye administrar implementaciones, los usuarios asignados verán implementaciones según su pertenencia a un proyecto. Para obtener más información sobre las funciones personalizadas, consulte el caso práctico de función personalizada.

Procedimiento

Seleccione Contenido y directivas > Directivas > Definiciones > Nueva directiva > Directiva de acción del día 2.

Configure la directiva del día 2 número 1.

Como administrador, desea controlar los costes de almacenamiento mediante la restricción de la capacidad de los usuarios de solicitar instantáneas.

Determine cuándo la directiva es válida.

Ajuste	Valor de ejemplo
Ámbito	Organización Esta directiva se aplica en todas las implementaciones de la organización.
Criterios	Ninguna
Tipo de aplicación	Poco estricta Este tipo de aplicación le permite crear otras directivas relacionadas con las acciones de instantáneas que reemplazan esta directiva.
Tipo de autorización	Basado en funciones
Función	Miembro Esta función aplica la directiva en todos los miembros del proyecto.

Seleccione las acciones que los usuarios pueden ejecutar, pero no seleccione ninguna acción de instantánea.
Debe autorizar de forma explícita a los usuarios para que ejecuten acciones. Para impedir a los usuarios ejecutar acciones de instantáneas, asegúrese de que las acciones no estén seleccionadas.

En este escenario, ninguno de los miembros del proyecto de la organización está autorizado para crear instantáneas. Los administradores de proyectos tampoco tienen esta autorización. El siguiente paso consiste en crear una directiva que autorice a los administradores de proyectos a crear y administrar instantáneas.

Configure la directiva del día 2 número 2.

Como administrador, desea otorgar a los administradores de proyectos la capacidad de crear y administrar instantáneas.

Determine cuándo la directiva es válida.

Ajuste	Valor de ejemplo
Ámbito	Organización Esta directiva se aplica a todas las implementaciones de la organización.
Criterios	Ninguna
Tipo de aplicación	Poco estricta Este tipo de aplicación le permite crear otras directivas relacionadas con las acciones de instantáneas que reemplazan esta directiva.
Tipo de autorización	Basado en funciones
Función	Administrador Esta función aplica la directiva en los administradores de proyectos.

Seleccione las acciones de instantánea que desea que los administradores ejecuten.
Los administradores de proyectos también están autorizados para ejecutar las acciones que los miembros de los proyectos están autorizados para ejecutar. No es necesario otorgarles permiso para ejecutar las acciones de los miembros.

En este escenario, los administradores de proyectos están autorizados para ejecutar las acciones relacionadas con las instantáneas, así como todas las acciones que los miembros del proyecto están autorizados para ejecutar.

Configure la directiva del día 2 número 3.

Como administrador del proyecto, dos de sus desarrolladores están trabajando en algo que podría hacer que una implementación no se pueda utilizar. Desea autorizarlos para crear instantáneas y realizar reversiones sin su intervención. Autoriza a los dos miembros del proyecto para que usen acciones de instantánea.

Determine cuándo la directiva es válida.

Ajuste	Valor de ejemplo
Ámbito	MT5 de proyecto Esta directiva se aplica a las implementaciones asociadas con este proyecto.
Criterios	Catalog Item equals Multi-tier five machine with LB Según esta expresión de criterios, solo se consideran para la aplicación de la directiva las implementaciones para un elemento de catálogo llamado Multi-tier five machine with LB.
Tipo de aplicación	Estricta Este tipo de aplicación garantiza que la directiva se aplique con base en la definición.
Tipo de autorización	Basado en usuarios
Usuarios	Agregar usuarios. [email protected], [email protected] Solo las implementaciones en las que Jan o Kris implementaron un elemento del catálogo se tienen en cuenta para la aplicación de directivas.

Seleccione las acciones de instantánea que desea que los usuarios especificados ejecuten.
Los administradores de proyectos también están autorizados para ejecutar las acciones que los miembros de los proyectos están autorizados para ejecutar.

En este escenario, Jan y Kris pueden usar las acciones de instantáneas en el elemento del catálogo Multi-tier 5 Machines with LB que alguno de ellos implemente. Aunque otros miembros del proyecto pueden ver la implementación, solo Jan, Kris y el administrador del proyecto pueden utilizar las acciones de instantáneas.

Configure la directiva del día 2 número 4.

Como administrador, es conveniente que asigne permisos para ejecutar la mayoría de las acciones del día 2 a los usuarios que tienen asignada una función personalizada de solucionador de problemas de implementación. Si bien la mayoría de los permisos de funciones personalizadas se aplican a todos los proyectos, lo que los usuarios pueden ver en la página Implementaciones depende de su pertenencia a un proyecto. Para ver las implementaciones, los usuarios que tienen asignadas las funciones personalizadas deben ser miembros de los proyectos que las implementaron.

Determine cuándo la directiva es válida.

Ajuste	Valor de ejemplo
Ámbito	Organización
Criterios	Ninguna
Tipo de aplicación	Poco estricta Este tipo de aplicación permite crear otras directivas relacionadas con el día 2 extendido que reemplazan a esta directiva.
Tipo de autorización	Basado en funciones
Función	Seleccione la función Solucionador de problemas de implementación.

Seleccione todas las acciones que desea que los miembros de esta función personalizada puedan ejecutar.

En este escenario, todos los usuarios con la función de solución de problemas de implementación pueden administrar todas las implementaciones y ejecutar todas las acciones del día 2 seleccionadas en todos los proyectos. La función de administración de implementaciones concede privilegios de administrador de servicios en las implementaciones para ejecutar cualquier acción que un administrador de servicios tenga permitido. Si la función personalizada de solución de problemas de implementación no incluye la función de administración de implementaciones, los usuarios pueden ejecutar todas las acciones del día 2 seleccionadas para las implementaciones pertenecientes a sus proyectos.

Qué hacer a continuación

Para obtener más ejemplos sobre cómo se procesan y se aplican las directivas, consulte Cómo se procesan las directivas de Automation Service Broker.
Configure directivas que sean relevantes para las organizaciones y los proyectos.