Vous définissez les stratégies d'action de jour 2 afin de pouvoir contrôler les modifications que vos utilisateurs peuvent apporter aux déploiements et à leurs ressources de composants. Lorsque vous créez une liste d'actions autorisées que certains utilisateurs ou tous les utilisateurs peuvent exécuter sur les déploiements, vous devez vous assurer que les utilisateurs ne peuvent pas initier de modifications destructrices ou coûteuses. Les cas d'utilisation liés aux stratégies d'actions de jour 2 constituent une introduction à cette procédure.

Lorsque vous autorisez les utilisateurs à exécuter des actions de jour 2, vous sélectionnez les actions individuelles qu'ils peuvent exécuter. Vous créez une liste d'inclusion et non une liste d'exclusion.

Quand une stratégie d'actions de jour 2 est-elle effective ?

  • Si aucune stratégie d'action de jour 2 n'est définie, aucune gouvernance n'est appliquée et tous les utilisateurs ont accès à toutes les actions. Ce manque de gouvernance initial au début permet de s'assurer que vous et vos utilisateurs pouvez effectuer les actions de jour deux dans Service Broker et Cloud Assembly sans avoir besoin de comprendre les stratégies de jour 2.
  • Une fois que vous êtes prêt à contrôler qui a accès aux actions, vous ajoutez une gouvernance sous la forme d'une stratégie d'action de jour 2 unique. Lorsque la première stratégie entre en vigueur, les stratégies d'action de jour 2 sont appliquées pour tous les utilisateurs dans Service Broker et Cloud Assembly. Par conséquent, seuls les utilisateurs pour lesquels la première stratégie est vraie peuvent exécuter les actions sélectionnées. Tous les autres sont exclus, Ils sont exclus, car les stratégies d'action incluent les utilisateurs approuvés. En excluant tous les autres utilisateurs, vous pouvez concevoir des stratégies pour qu'elles correspondent à vos objectifs de gouvernance.
  • Pour autoriser d'autres utilisateurs, vous devez créer des stratégies qui les autorisent à exécuter les actions que vous sélectionnez.

Le partage de déploiement dans les projets affecte la manière dont vous configurez les droits des actions de jour 2. Si le projet n'est pas défini pour prendre en charge le partage, seul l'utilisateur à l'origine de la demande peut voir un déploiement. Si le projet partage les déploiements, tous les membres du projet peuvent voir le déploiement et exécuter toutes les actions qu'ils sont autorisés à exécuter par une stratégie d'action de jour 2. Le partage de déploiement est configuré dans un projet. Sélectionnez Infrastructure > Administration > Projets, puis sélectionnez le projet et cliquez sur l'onglet Utilisateurs.

Lorsque vous créez vos stratégies, la manière dont vous définissez les stratégies d'actions de jour 2 doit tenir compte de l'état de partage.

Pour déterminer quand appliquer les stratégies d'actions de jour 2, vous pouvez configurer la portée, le rôle et les critères. Ces configurations contrôlent les déploiements auxquels la stratégie est appliquée et les utilisateurs qui peuvent exécuter les actions selon cette stratégie.

  • Les déploiements auxquels la stratégie est appliquée.
    • La portée détermine si la stratégie est appliquée aux déploiements au niveau de l'organisation ou du projet.
    • Les critères limitent l'étendue de la stratégie à des aspects particuliers des déploiements.
  • Qui peut exécuter des actions sur ces déploiements et lesquelles.
    • Le rôle sélectionné autorise ses membres, selon la portée et les critères sélectionnés, à exécuter les actions sélectionnées. Le rôle peut être administrateur de projet, membre de projet ou rôle personnalisé nommé.

Les stratégies de jour 2 sont appliquées lorsqu'un utilisateur tente de gérer un déploiement à l'aide du menu Actions du déploiement ou des ressources du composant.

Dans ce cas d'utilisation, utilisé pour illustrer un ensemble de stratégies d'action de jour 2, l'hypothèse est que vous avez activé le partage de déploiement dans le projet.

Lorsque vous passez en revue le cas d'utilisation des stratégies d'actions de jour 2, vous devez également sélectionner les actions. Vous devez sélectionner les actions qui prennent en charge vos comptes de cloud.

  • Celles-ci sont spécifiques au cloud. Lorsque vous autorisez les utilisateurs à apporter des modifications, déterminez sur quels comptes de cloud les utilisateurs autorisés effectuent le déploiement et assurez-vous de sélectionner toutes les versions spécifiques au cloud des actions. Par exemple, ajoutez Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize et Cloud.Azure.Machine.Resize pour autoriser les utilisateurs à redimensionner ces machines.
  • Les actions indépendantes du cloud, par exemple Cloud.Machine.Resize, existent pour contenir des ressources où le processus d'intégration ou de migration ne peut pas identifier le type de machine. Si vous autorisez les utilisateurs à accéder aux actions indépendantes du cloud, vous ne les autorisez pas à exécuter l'action spécifique au cloud qui effectuera les modifications sur les ressources déployées. Les actions indépendantes peuvent apparaître dans le menu Action, mais l'exécution des actions n'a aucun effet. Vous devez éviter d'autoriser les actions indépendantes et autoriser uniquement les actions spécifiques au cloud, afin de vous assurer que les actions sont disponibles pour les utilisateurs sur vos différentes plates-formes cloud.

Conditions préalables

  • Pour obtenir la liste des actions possibles, reportez-vous à la section Actions pouvant être exécutées sur les déploiements de Service Broker.
  • Pour plus d'informations sur la génération de critères de déploiement, consultez la section Configuration des critères de déploiement dans les stratégies Service Broker.
  • Les rôles personnalisés sont utilisés dans la stratégie 4 du jour 2. Créez un rôle Dépanneur de déploiements, mais avec le rôle Gérer le déploiement dans le rôle personnalisé Dépannage de déploiement ne limite pas les membres par projet. Le rôle Gérer le déploiement permet aux destinataires de voir tous les déploiements et d'exécuter toutes les actions. Si le rôle Dépannage des déploiements n'inclut pas Gérer les déploiements, les destinataires voient les déploiements en fonction de leur appartenance au projet. Pour plus d'informations sur les rôles personnalisés, reportez-vous à la section Cas d'utilisation des rôles personnalisés.

Procédure

  1. Sélectionnez Contenu et stratégies > Stratégies > Définitions > Nouvelle stratégie > Stratégie d'actions de jour 2.
  2. Configurez la stratégie 1 de jour 2.
    En tant qu'administrateur, vous souhaitez contrôler les coûts de stockage en limitant la capacité des utilisateurs à demander des snapshots.
    1. Définissez les critères de validité de la stratégie.
      Paramètre Exemple de valeur
      Portée Organisation

      Cette stratégie s'applique à tous les déploiements de votre organisation.

      Critères aucune
      Type d'application Soft

      Ce type d'application vous permet de créer d'autres stratégies liées aux actions de snapshot qui remplacent cette stratégie.

      Type de droits Basé sur les rôles
      Rôle Membre

      Ce rôle applique la stratégie à tous les membres du projet.

    2. Sélectionnez les actions que les utilisateurs peuvent exécuter, mais ne sélectionnez aucune action de snapshot.
      Vous autorisez explicitement les utilisateurs à exécuter des actions. Pour empêcher les utilisateurs d'exécuter des actions de snapshot, assurez-vous que les actions ne sont pas sélectionnées.
    Dans ce scénario, aucun membre du projet de votre organisation n'est autorisé à créer des snapshots, ni aucun administrateur de projet. L'étape suivante consiste à créer une stratégie qui autorise les administrateurs de projet à créer et à gérer des snapshots.
  3. Configurez la stratégie 2 de jour 2.
    En tant qu'administrateur, vous souhaitez donner aux administrateurs du projet la possibilité de créer et de gérer des snapshots.
    1. Définissez les critères de validité de la stratégie.
      Paramètre Exemple de valeur
      Portée Organisation

      Cette stratégie s'applique à tous les déploiements de votre organisation.

      Critères aucune
      Type d'application Soft

      Ce type d'application vous permet de créer d'autres stratégies liées aux actions de snapshot qui remplacent cette stratégie.

      Type de droits Basé sur les rôles
      Rôle Administrateur

      Ce rôle applique la stratégie aux administrateurs de projet.

    2. Sélectionnez les actions de snapshot que vous souhaitez que les administrateurs exécutent.
      Les administrateurs de projet sont également autorisés à exécuter toutes les actions que les membres de leurs projets sont autorisés à exécuter. Vous n'avez pas besoin de leur accorder l'autorisation d'effectuer les actions des membres.
    Dans ce scénario, les administrateurs de projet sont autorisés à exécuter les actions liées au snapshot et à toutes les actions que les membres du projet sont autorisés à exécuter.
  4. Configurez la stratégie 3 de jour 2.
    En tant qu'administrateur de projet, vous avez deux développeurs qui effectuent un travail qui rend potentiellement inutilisable un déploiement. Vous souhaitez les autoriser à effectuer un snapshot et le restaurer sans votre intervention. Vous autorisez les deux membres du projet à utiliser les actions de snapshot.
    1. Définissez les critères de validité de la stratégie.
      Paramètre Exemple de valeur
      Portée MT5 du projet

      Cette stratégie est appliquée aux déploiements associés à ce projet.

      Critères
      Catalog Item equals Multi-tier five machine with LB

      En fonction de cette expression de critères, seuls les déploiements pour un élément de catalogue nommé Multi-tier five machine with LB sont pris en compte pour l'application des règles.

      Type d'application Hard

      Ce type d'application garantit que la stratégie est appliquée en fonction de la définition.

      Type de droits Basé sur les utilisateurs
      Utilisateurs Ajouter des utilisateurs.
      [email protected], [email protected]

      Seuls les déploiements dans lesquels Jan ou Kris a déployé un élément de catalogue sont pris en compte pour l'application des règles.

    2. Sélectionnez les actions de snapshot que vous souhaitez que les utilisateurs spécifiés exécutent.
      Les administrateurs de projet sont également autorisés à exécuter toutes les actions que les membres de leurs projets sont autorisés à exécuter.
    Dans ce scénario, Jan et Kris peuvent utiliser les actions de snapshot sur l'élément de catalogue Multi-tier 5 machine with LB qu'ils déploient. Bien que d'autres membres du projet puissent voir le déploiement, seuls Jan, Kris et l'administrateur de projet peuvent utiliser les actions de snapshot.
  5. Configurez la stratégie 4 de jour 2.
    En tant qu'administrateur, vous souhaitez attribuer les autorisations nécessaires pour exécuter la plupart des actions de jour 2 aux utilisateurs auxquels le rôle personnalisé Dépanneur de déploiement est attribué. Bien que la plupart des autorisations des rôles personnalisés s'étendent sur plusieurs projets, ce que les utilisateurs peuvent afficher sur la page Déploiements dépend de leur appartenance à un projet. Pour afficher les déploiements, les utilisateurs auxquels les rôles personnalisés sont attribués doivent être membres des projets qui les ont déployés.
    1. Définissez les critères de validité de la stratégie.
      Paramètre Exemple de valeur
      Portée Organisation
      Critères aucune
      Type d'application Soft

      Ce type d'application vous permet de créer d'autres stratégies liées aux actions de jour 2 étendues qui remplacent cette stratégie.

      Type de droits Basé sur les rôles
      Rôle Sélectionnez le rôle Dépanneur de déploiement.
    2. Sélectionnez toutes les actions dont vous souhaitez que les membres de ce rôle personnalisé puissent exécuter.
    Dans ce scénario, tous les utilisateurs disposant du rôle Dépannage de déploiement peuvent gérer tous les déploiements et exécuter toutes les actions de jour 2 sélectionnées dans les projets. Le rôle Gérer les déploiements accorde les privilèges d'administrateur de service sur les déploiements afin qu'ils puissent exécuter toutes les actions qu'un administrateur de service peut exécuter. Si le rôle personnalisé de dépannage de déploiements n'inclut pas le rôle Gérer les déploiements, les utilisateurs disposant de ce rôle peuvent exécuter toutes les actions de jour 2 sélectionnées pour les déploiements appartenant à leurs projets.

Que faire ensuite