承認ポリシーはガバナンス レベルのポリシーです。展開および Day 2 アクションの申請が実行される前に、申請に対する制御を行うために追加します。Service Broker で承認ポリシーを定義することで、リソースが使用または破棄前に、承認者または承認者が指定したユーザーが申請を確認できるようにします。本手順では、承認ポリシーの使用事例を紹介し、ガバナンスのオプションについて解説します。
カタログ アイテムの追加と展開を行う小規模なチームのみが対象の場合、承認ポリシーは有用でないことがあります。しかし、大きなグループの開発者や一般的な利用者がカタログを利用できるようにする際には、承認ポリシーを使用することで、リソースの使用前やプロビジョニング済みのアイテムに変更を加える前に申請をチェックすることが可能になります。
たとえば、重要なカタログ アイテムが大量のリソースを使用している場合などです。この場合、IT 管理者に展開のすべての申請の確認を依頼し、申請の必要性を確認する必要があります。Day 2 アクションもこの場合に該当します。多くのユーザーが使用する展開に変更を加えると、非常に大きな影響が発生する可能性があります。この場合、チームの展開を管理するプロジェクト管理者は、カタログ アイテムに対するすべての変更を確認する必要があります。
承認ポリシーを使用するユーザーまたはその影響を受けるユーザー
- Service Broker の管理者。ポリシーを構成します。
- カタログの利用者。1 つ以上のポリシーが適用されるカタログ アイテムまたは Day 2 アクションを申請するユーザーです。
- Cloud Assembly にクラウド テンプレートを展開しているユーザー。1 つ以上のポリシーが適用される Cloud Assembly のテンプレートまたは Day 2 アクションを申請するユーザー。
- 指定された承認者。申請をチェックし、承認または拒否をする必要があるユーザーです。選択したユーザーおよびユーザー グループに承認者権限を付与することも、次の承認者ロールから選択することもできます。
- AD Manager。マネージャ属性を持つ Active Directory ユーザー。AD Manager 承認者ロール用の Active Directory 属性の構成を参照してください。
- プロジェクト管理者。ポリシー範囲内のプロジェクトの管理者は、自動的に承認者として割り当てられます。プロジェクトに専用の管理者が指定されていない場合、そのプロジェクトに承認ポリシーは適用されません。
- プロジェクト スーパーバイザー。スーパーバイザー ロールが割り当てられた、ポリシー範囲内のプロジェクトのメンバー。スーパーバイザーのアクセス権は、プロジェクトの展開申請の承認と拒否のみに制限されます。プロジェクトに専用のスーパーバイザーが指定されていない場合、そのプロジェクトに承認ポリシーは適用されません。
承認ポリシーの適用プロセス
複数の承認ポリシーが適用可能な場合があります。承認ポリシーは評価が行われ、適用可能になったポリシーが申請に適用されます。有効なポリシーが複数あり、各ポリシーの承認者が異なる場合、すべての承認者が追加されます。複数のポリシーがある場合は、このプロセスを理解することが重要です。詳細については、承認ポリシーの目標と適用例を参照してください。
- 承認ポリシーが定義されます。
- ユーザーがカタログ アイテムまたは Day 2 アクションを申請します。申請が行われると、Service Broker はカタログ アイテムを評価し、適用されるポリシーの有無をチェックします。
- 承認ポリシーが適用されます。
- 展開カードにステータスが表示されます。たとえば、「Create - Approval Pending(作成 - 承認保留中)」などです。
- 申請者にメール通知が送信されます。承認が必要な申請を追跡する方法を参照してください。
- 承認者にメール通知が送信されます。承認申請に応答する方法を参照してください。
展開を行う場合、申請が承認されるまでは、インフラストラクチャ リソースの展開および使用が開始されることはなく、展開済みのシステムが変更されることもありません。申請したユーザーに、申請が承認待ちの状態であることが E メールで通知されます。
- 承認者は Service Broker の [承認] 画面を使用して申請に応答します。
- 承認のプロセスは以上で完了です。
- 申請が拒否された場合には、申請したユーザーに通知が行われ、展開の申請はキャンセルされます。
- 申請が承認された場合には、展開が開始されます。
- 承認者がアクションを行わない場合でも、適用されるポリシーが申請を自動的に承認または拒否するように設定することもできます。
展開条件の使用方法
展開条件を定義することによって、ポリシーを適用するアイテムまたはアクティビティを制限できます。展開条件の詳細については、Service Broker ポリシーでの展開条件の構成方法を参照してください。
承認ポリシーの制約
- 承認ポリシーには、リースの変更アクションを含めることはできません。
- ポリシー基準の中でカスタム リソースをリソース タイプとして使用することはサポートされていません。
承認ポリシーの使用事例を参照して、独自のポリシーを作成する場合は、キー テキスト ボックスの Signpost ヘルプを参照して、詳細情報を確認してください。
前提条件
- 承認者は、通常の Service Broker または Cloud Assembly のユーザーではない場合もありますが、次のロールの組み合わせのいずれかを保有している必要があります。
- 組織のメンバーと Service Broker ユーザー
- 組織のメンバーと承認の管理カスタム ロール
これらのロールの権限は最小のレベルですが、申請の承認または拒否を行うことができます。
- メール通知サーバが定義されていることを確認します。通知を送信するメール サーバの Service Broker への追加を参照してください。
- ロールベースの承認タイプとして Active Directory マネージャを使用する場合は、vRealize Automation 用に構成された Workspace One Access と VMware Identity Manager の統合を使用する必要があります。また、ユーザー属性に Active Directory マネージャ属性も含める必要があります。AD Manager 承認者ロール用の Active Directory 属性の構成を参照してください。
手順
次のタスク
- 承認ポリシーがどのように処理されるかの詳細については承認ポリシーの目標と適用例を参照してください。
- 複数レベルの承認がどのように処理されるかの詳細については、Service Broker での複数レベルの承認ポリシーの構成を参照してください。
- 利用者および承認者の処理手順の詳細については、承認が必要な申請を追跡する方法および承認申請に応答する方法を参照してください。