Come autorizzare gli utenti della distribuzione alle azioni giorno 2 di Service Broker utilizzando i criteri

È possibile definire i criteri delle azioni giorno 2 affinché sia possibile controllare quali modifiche possono apportare gli utenti alle distribuzioni e alle relative risorse dei componenti. Creando un elenco di azioni consentite che tutti o alcuni utenti possono eseguire nelle distribuzioni, verificare che gli utenti non possano avviare alcuna modifica distruttiva o costosa. I casi d'uso correlati ai criteri delle azioni giorno 2 sono un'introduzione alla procedura.

Quando si autorizzano gli utenti a eseguire le azioni giorno 2, si selezionano le singole azioni che possono essere eseguite. Si crea un elenco di inclusioni e non un elenco di esclusioni.

Quando entra in vigore il criterio delle azioni giorno 2?

Se non è stato definito alcun criterio di azioni giorno 2, non viene applicata alcuna governance e tutti gli utenti possono accedere a tutte le azioni. Questa mancanza di governance iniziale che si sta avviando garantisce che tutti siano in grado di esercitare le due azioni del giorno 2 in Service Broker e Cloud Assembly, senza necessità di comprendere i criteri del giorno 2.
Dopo aver determinato che si è pronti per controllare chi ha accesso a quali azioni, è possibile aggiungere la governance sotto forma di un singolo criterio delle azioni giorno 2. Quando il primo criterio entra in vigore, i criteri delle azioni giorno 2 vengono imposti a tutti gli utenti in Service Broker e Cloud Assembly. Di conseguenza, solo gli utenti per i quali il primo criterio è true possono eseguire le azioni selezionate. Tutti gli altri sono esclusi. Sono esclusi perché i criteri delle azioni includono gli utenti attendibili. Escludendo tutti gli altri, è possibile creare i criteri in modo che corrispondano ai propri obiettivi di governance.
Per autorizzare altri utenti, è necessario creare criteri che autorizzino gli utenti a eseguire le azioni selezionate.

La condivisione della distribuzione nei progetti influisce sulla modalità di configurazione delle autorizzazioni delle azioni giorno 2. Se il progetto non è impostato per la condivisione, solo l'utente richiedente può visualizzare una distribuzione. Se il progetto condivide le distribuzioni, tutti i membri del progetto possono visualizzare la distribuzione ed eseguire tutte le azioni che sono autorizzate a eseguire da un criterio delle azioni giorno 2. La condivisione della distribuzione è configurata in un progetto. Selezionare Infrastruttura > Amministrazione > Progetti, quindi selezionare il progetto e fare clic sulla scheda Utenti.

Quando si creano i criteri, le modalità con cui si definiscono i criteri delle azioni giorno 2 devono tenere conto dello stato di condivisione.

Per focalizzarsi sul momento in cui vengono applicati i criteri delle azioni giorno 2, è possibile configurare l'ambito, il ruolo e i criteri. Queste configurazioni controllano le distribuzioni a cui viene applicato il criterio e chi può eseguire le azioni quando viene imposto il criterio.

Le distribuzioni a cui è applicato il criterio.
- L'ambito determina se il criterio viene applicato alle distribuzioni a livello di organizzazione o di progetto.
- I criteri restringono l'ambito del criterio a determinati aspetti delle distribuzioni.
Chi può eseguire le azioni su tali distribuzioni.
- Il ruolo autorizza i membri del ruolo selezionato, all'interno dell'ambito e dei criteri selezionati, a eseguire le azioni selezionate. Il ruolo può essere amministratore del progetto, membro del progetto o ruolo personalizzato denominato.

I criteri del giorno 2 vengono imposti quando un utente tenta di gestire una distribuzione utilizzando il menu Azioni nella distribuzione o nelle risorse del componente.

In questo caso d'uso, utilizzato per illustrare una raccolta di criteri delle azioni giorno 2, si presuppone che sia stata abilitata la condivisione della distribuzione nel progetto.

Quando si esaminano i casi d'uso delle azioni giorno 2, è necessario selezionare anche le azioni. È necessario selezionare le azioni che supportano gli account cloud.

Le azioni sono specifiche del cloud. Quando si concede l'autorizzazione agli utenti ad apportare modifiche, tenere conto degli account cloud che gli utenti autorizzati distribuiscono e assicurarsi di selezionare tutte le versioni specifiche del cloud delle azioni. Ad esempio, aggiungere Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize e Cloud.Azure.Machine.Resize per autorizzare gli utenti a ridimensionare tali macchine.
Sono disponibili azioni indipendenti dal cloud, ad esempio Cloud.Machine.Resize, per ospitare le risorse in cui il processo di on-boarding o di migrazione non può identificare il tipo di macchina. Se si autorizzano utenti a eseguire azioni indipendenti dal cloud, questi non sono stati autorizzati a eseguire l'azione specifica del cloud che apporta le modifiche alle risorse distribuite. Le azioni indipendenti potrebbero essere visualizzate nel menu azione, ma l'esecuzione delle azioni non avrebbe alcun effetto. È opportuno evitare di autorizzare le azioni indipendenti e autorizzare solo azioni specifiche del cloud per garantire che le azioni siano disponibili agli utenti per varie piattaforme cloud.

Prerequisiti

Per un elenco delle azioni possibili, vedere Quali azioni è possibile eseguire sulle distribuzioni di Service Broker.
Per ulteriori informazioni sulla costruzione dei criteri di distribuzione, vedere Come configurare i criteri di distribuzione in Service Broker utilizzando i criteri.
I ruoli personalizzati vengono utilizzati nel criterio 4 del giorno 2. Creare un ruolo Risolutore problemi distribuzione, ma con il ruolo Gestisci distribuzione nel ruolo personalizzato Risoluzione problemi distribuzione esso non limita i membri in base al progetto. Il ruolo Gestisci distribuzione consente agli assegnatari di visualizzare tutte le distribuzioni ed eseguire tutte le azioni. Se il ruolo Risoluzione problemi distribuzione non include Gestisci distribuzione, gli assegnatari visualizzano le distribuzioni in base all'appartenenza al progetto. Per ulteriori informazioni sui ruoli personalizzati, vedere il caso d'uso del ruolo personalizzato.

Procedura

Selezionare Contenuto e criteri > Criteri > Definizioni > Nuovo criterio > Criterio azioni giorno 2.

Configurare il criterio giorno 2 1.

In qualità di amministratore, si desidera controllare i costi di storage limitando la possibilità degli utenti di richiedere snapshot.

Definire la durata di validità del criterio.

Impostazione	Valore di esempio
Scope	Organizzazione Questo criterio è stato applicato a tutte le distribuzioni nell'organizzazione.
Criteri	Nessuna
Tipo di imposizione	Temporanea Questo tipo di imposizione consente di creare altri criteri correlati alle azioni snapshot che sovrascrivono questo criterio.
Ruolo	Membro Questo ruolo applica il criterio a tutti i membri del progetto.

Selezionare le azioni che gli utenti possono eseguire, ma non selezionare alcuna azione snapshot.
È possibile autorizzare esplicitamente gli utenti a eseguire azioni. Per impedire agli utenti di eseguire azioni snapshot, assicurarsi che le azioni non siano selezionate.

In questo scenario, nessuno dei membri del progetto dell'organizzazione è autorizzato a creare snapshot, compresi gli amministratori del progetto. Il passaggio successivo consiste nel creare un criterio che autorizza gli amministratori del progetto a creare e gestire gli snapshot.

Configurare il criterio giorno 2 2.

In qualità di amministratore, si desidera concedere agli amministratori del progetto la possibilità di creare e gestire gli snapshot.

Definire la durata di validità del criterio.

Impostazione	Valore di esempio
Scope	Organizzazione Questo criterio viene applicato a tutte le distribuzioni nell'organizzazione.
Criteri	Nessuna
Tipo di imposizione	Temporanea Questo tipo di imposizione consente di creare altri criteri correlati alle azioni snapshot che sovrascrivono questo criterio.
Ruolo	Amministratore Questo ruolo applica il criterio agli amministratori del progetto.

Selezionare le azioni snapshot che si desidera vengano eseguite dagli amministratori.
Gli amministratori del progetto sono anche autorizzati a eseguire tutte le azioni che i membri dei loro progetti sono autorizzati a eseguire. Non è necessario concedere loro l'autorizzazione per le azioni dei membri.

In questo scenario, gli amministratori del progetto sono autorizzati a eseguire le azioni relative agli snapshot e tutte le azioni che i relativi membri del progetto sono autorizzati a eseguire.

Configurare il criterio giorno 2 3.

In qualità di amministratore di progetto, si dispone di due sviluppatori che eseguono il lavoro che potenzialmente rende inutilizzabile una distribuzione. Si desidera autorizzarli per gli snapshot e ripristinarli senza l'intervento dell'utente. È possibile autorizzare i due membri del progetto a utilizzare le azioni snapshot.

Definire la durata di validità del criterio.

Impostazione	Valore di esempio
Scope	Progetto MT5 Questo criterio è stato applicato alle distribuzioni associate a questo progetto.
Criteri	Catalog Item equals Multi-tier five machine with LB AND (Created By equals [email protected] OR Created By equals [email protected]) In base a questa espressione di criteri, solo le distribuzioni in cui Jan o Kris hanno distribuito un elemento del catalogo denominato Multi-tier five machine with LB vengono considerate per l'imposizione dei criteri.
Tipo di imposizione	Permanente Questo tipo di imposizione garantisce che il criterio venga imposto in base alla definizione.
Ruolo	Membro Questo ruolo applica il criterio all'elemento del catalogo definito nei criteri di distribuzione.

Selezionare le azioni snapshot che si desidera vengano eseguite dagli utenti specificati.
Gli amministratori del progetto sono anche autorizzati a eseguire tutte le azioni che i membri dei loro progetti sono autorizzati a eseguire.

In questo scenario, Jan e Kris possono utilizzare le azioni snapshot nell'elemento di catalogo Multi-tier 5 Machines with LB distribuito da entrambe. Anche se altri membri del progetto possono visualizzare la distribuzione, solo Jan, Kris e l'amministratore del progetto possono utilizzare le azioni snapshot.

Configurare il criterio giorno 2 4.

L'amministratore desidera assegnare le autorizzazioni per eseguire la maggior parte delle azioni del giorno 2 agli utenti assegnati a un ruolo personalizzato per la risoluzione dei problemi della distribuzione. Mentre la maggior parte delle autorizzazioni dei ruoli personalizzati si estende tra progetti, ciò che utenti possono vedere nella pagina Distribuzioni dipende dalla loro appartenenza al progetto. Per visualizzare le distribuzioni, gli utenti a cui vengono assegnati i ruoli personalizzati devono essere membri dei progetti che li hanno distribuiti.

Definire la durata di validità del criterio.

Impostazione	Valore di esempio
Scope	Organizzazione
Criteri	Nessuna
Tipo di imposizione	Temporanea Questo tipo di imposizione consente di creare altri criteri relativi al giorno 2 esteso che sovrascrivono questo criterio.
Ruolo	Selezionare il ruolo Risolutore problemi distribuzione.

Selezionare tutte le azioni che si desidera che i membri di questo ruolo personalizzato siano in grado di eseguire.

In questo scenario, tutti gli utenti con il ruolo di risoluzione dei problemi della distribuzione possono gestire tutte le distribuzioni ed eseguire tutte le azioni del giorno 2 selezionate nei progetti. Il ruolo Gestisci distribuzioni concede privilegi di amministratore del servizio sulle distribuzioni agli utenti, i quali potranno eseguire tutte le azioni eseguibili da un amministratore del servizio. Se il ruolo personalizzato di risoluzione dei problemi della distribuzione non include il ruolo Gestisci distribuzioni, gli utenti possono eseguire tutte le azioni del giorno 2 selezionate per le distribuzioni che appartengono ai loro progetti.

Operazioni successive

Per ulteriori esempi sulle modalità di elaborazione e imposizione dei criteri, vedere Come vengono elaborati i criteri di Service Broker.
Configurare i criteri pertinenti per le organizzazioni e i progetti.