Day 2 アクション ポリシーを定義して、展開およびコンポーネント リソースに対してユーザーが実行可能な変更を制御できるようにします。すべてまたは一部のユーザーが展開で実行を許可されたアクションのリストを作成することで、ユーザーが損害や、高コストにつながる変更を開始できないようにします。Day 2 アクション ポリシーに関連する使用事例は、この手順の導入です。

ユーザーに Day 2 アクションを実行する資格を付与する場合は、ユーザーが実行可能なアクションを個別に選択します。除外リストではなく、包含リストを作成することになります。

Day 2 アクション ポリシーが有効になるタイミング

  • Day 2 アクション ポリシーが定義されていない場合、ガバナンスは適用されず、すべてのユーザーがすべてのアクションにアクセスできます。初期段階ではガバナンスがないため、管理者とユーザーは、Day 2 ポリシーを理解しなくても、Service BrokerCloud Assembly で Day 2 アクションを実行できます。
  • アクションにアクセスできるユーザーと、アクセス可能なアクションの制御を決定後、単一の Day 2 アクション ポリシーの形式でガバナンスを追加します。最初のポリシーが有効になると、Service Broker および Cloud Assembly のすべてのユーザーに対して Day 2 アクション ポリシーが適用されます。その結果、最初のポリシーで true に該当するユーザーのみが、選択したアクションを実行できます。その他のユーザーはすべて除外されます。アクション ポリシーに、信頼されたユーザーが含まれているためです。他のユーザーをすべて除外することで、ガバナンスの目的に合わせたポリシーを作成できます。
  • 他のユーザーに資格を付与するには、選択したアクションを実行する資格を付与するポリシーを作成する必要があります。

プロジェクトでの展開の共有は、Day 2 アクション資格の構成方法に影響します。プロジェクトが共有に設定されていない場合、要求したユーザーのみが展開を表示できます。プロジェクトで展開が共有されている場合は、プロジェクトのすべてのメンバーが展開を表示し、Day 2 アクション ポリシーによって実行の資格が付与されたアクションを実行できます。展開の共有は、プロジェクトで構成されます。[インフラストラクチャ] > [管理] > [プロジェクト] の順に選択し、プロジェクトを選択して [ユーザー] タブをクリックします。

ポリシーの作成時、Day 2 アクション ポリシーの定義方法では、共有のステータスが考慮されている必要があります。

Day 2 アクション ポリシーの適用タイミングを考慮するために、範囲、ロール、および基準を設定できます。これらの構成により、ポリシーが適用される展開と、ポリシーが適用された際にアクションを実行できるユーザーが制御されます。

  • ポリシーが適用される展開。
    • [範囲] では、ポリシーを組織レベルまたはプロジェクト レベルのどちらで展開に適用するかを決定します。
    • 基準を使用して、ポリシーの範囲を展開の特定の側面に限定します。
  • これらの展開で実行が可能なユーザーとアクション。
    • [ロール] では、選択した範囲と基準を満たす、選択したロールのメンバーに、選択したアクションを実行する資格が付与されます。ロールは、プロジェクト管理者、プロジェクト メンバー、名前付きカスタム ロールのいずれかにすることができます。

Day 2 ポリシーは、ユーザーが展開またはコンポーネント リソースの [アクション] メニューを使用して展開を管理する際に適用されます。

この使用事例で、Day 2 アクション ポリシーの収集を示します。プロジェクトでは展開の共有が有効になっていることを前提としています。

Day 2 アクション ポリシーの使用事例を確認する際には、アクションを選択する必要があります。現在のクラウド アカウントをサポートするアクションを選択する必要があります。

  • アクションはクラウド固有です。ユーザーに変更が可能になる資格を付与する場合は、資格を付与するユーザーの展開先のクラウド アカウントを考慮し、アクションのクラウド固有のすべてのバージョンを選択していることを確認します。たとえば、ユーザーにマシンのサイズ変更の資格を付与する場合は Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize、Cloud.Azure.Machine.Resize を追加します。
  • Cloud.Machine.Resize などのクラウドに依存しないアクションは、オンボードまたは移行のプロセスでマシン タイプを特定できないリソースに対応するために提供されています。クラウドに依存しないアクションを実行する権限を付与しても、展開済みのリソースに変更を加えるクラウド固有のアクションを実行する資格を付与したことにはなりません。依存しないアクションがアクション メニューに表示されることもありますが、そのアクションを実行しても何も起きません。ユーザーがさまざまなクラウド プラットフォームでアクションを実行できるようにするには、依存しないアクションを付与するのではなく、クラウド固有のアクションのみを付与する必要があります。

前提条件

  • 想定されるアクションのリストについては、Service Broker 環境で実行できるアクションを参照してください。
  • 展開条件の構築については、Service Broker ポリシーでの展開条件の構成方法を参照してください。
  • カスタム ロールは、Day 2 ポリシー 4 で使用されます。展開のトラブルシューティング担当者ロールを作成しますが、カスタムの展開のトラブルシューティング ロールに含まれる展開の管理ロールでは、プロジェクトによるメンバーの制限はありません。展開の管理ロールが割り当てられると、すべての展開を表示し、すべてのアクションを実行できます。展開のトラブルシューティング ロールに展開の管理が含まれていない場合、表示できる展開はプロジェクトのメンバーシップに基づいて決まります。カスタム ロールの詳細については、カスタム ロールの使用事例を参照してください。

手順

  1. [コンテンツおよびポリシー] > [ポリシー] > [定義] > [新規ポリシー] > [Day 2 アクション ポリシー] の順に選択します。
  2. Day 2 ポリシー 1 を構成します。
    管理者は、ユーザーがスナップショットを要求する機能を制限することでストレージ コストを制御したいと考えています。
    1. ポリシーを有効にするタイミングを定義します。
      設定 サンプルの値
      範囲 組織

      このポリシーは、組織内のすべての展開に適用されます。

      基準 なし
      適用タイプ ソフト

      この適用タイプでは、このポリシーをオーバーライドする、このスナップショット アクションに関連するその他のポリシーを作成できます。

      ロール メンバー

      このロールは、すべてのプロジェクト メンバーにポリシーを適用します。

    2. ユーザーが実行できるアクションを選択します。ただし、スナップショットアクションは選択しないでください。
      ユーザーにアクションを実行する資格を明示的に付与します。実行中のスナップショット アクションからユーザーを除外するために、アクションが選択されていないことを確認します。
    このシナリオでは、組織内のいずれのプロジェクト メンバーにもスナップショットを作成する資格が付与されていません。プロジェクト管理者も作成はできません。次の手順で、プロジェクト管理者にスナップショットの作成と管理ができる資格を付与するポリシーを作成します。
  3. Day 2 ポリシー 2 を構成します。
    管理者は、プロジェクト管理者にスナップショットを作成および管理する権限を付与したいと考えています。
    1. ポリシーを有効にするタイミングを定義します。
      設定 サンプルの値
      範囲 組織

      このポリシーは、組織内のすべての展開に適用されます。

      基準 なし
      適用タイプ ソフト

      この適用タイプでは、このポリシーをオーバーライドする、このスナップショット アクションに関連するその他のポリシーを作成できます。

      ロール 管理者

      このロールは、プロジェクト管理者にポリシーを適用します。

    2. 管理者が実行するスナップショット アクションを選択します。
      プロジェクト管理者には、プロジェクトのメンバーが実行する資格が付与されたすべてのアクションを実行できる資格も付与されます。メンバー アクションへの権限を付与する必要はありません。
    このシナリオでは、プロジェクト管理者は、スナップショット関連のアクションと、プロジェクト メンバーが実行する資格を付与されているすべてのアクションを実行する資格を付与されています。
  4. Day 2 ポリシー 3 を構成します。
    プロジェクト管理者が、展開が使用できなくなる可能性がある作業を行う 2 名の開発者について考えています。自分は操作をせずに、スナップショットを作成して元に戻す資格をこの開発者に付与する必要があります。2 名のプロジェクト メンバーにスナップショット アクションを使用する資格を付与します。
    1. ポリシーを有効にするタイミングを定義します。
      設定 サンプルの値
      範囲 Project MT5

      このポリシーは、このプロジェクトに関連付けられている展開に適用されます。

      基準
      Catalog Item equals Multi-tier five machine with LB 
      AND 
          (Created By equals [email protected] 
          OR 
          Created By equals [email protected])

      この条件式に基づいて、Jan または Kris が「Multi-tier five machine with LB」という名前のカタログ アイテムを展開している展開環境に対してのみ、ポリシーの適用が考慮されます。

      適用タイプ ハード

      この適用タイプでは、ポリシーが定義に基づいて確実に適用されます。

      ロール メンバー

      このロールは、展開条件で定義されたカタログ アイテムにポリシーを適用します。

    2. 指定したユーザーが実行するスナップショット アクションを選択します。
      プロジェクト管理者には、プロジェクトのメンバーが実行する資格が付与されたすべてのアクションを実行できる資格も付与されます。
    このシナリオでは、Jan と Kris は、両者のどちらかが展開する Multi-tier 5 Machines with LB カタログ アイテムでスナップショット アクションを使用できます。プロジェクトの他のメンバーも展開を表示できますが、スナップショット アクションを使用できるメンバーは、Jan、Kris、プロジェクト管理者のみです。
  5. Day 2 ポリシー 4 を構成します。
    展開のトラブルシューティング担当者カスタム ロールが割り当てられているユーザーに対して、Day 2 アクションのほとんどを実行する権限を管理者が割り当てる場合を考えます。カスタム ロールのほとんどの権限はプロジェクトに関係なく有効ですが、[展開] 画面に表示されるプロジェクトは、プロジェクトに対するユーザーのメンバーシップに基づいて決まります。展開が表示されるためには、このカスタム ロールが割り当てられているユーザーが、展開されたプロジェクトのメンバーである必要があります。
    1. ポリシーを有効にするタイミングを定義します。
      設定 サンプルの値
      範囲 組織
      基準 なし
      適用タイプ ソフト

      この適用タイプでは、このポリシーをオーバーライドする広範囲の Day 2 アクションに関連する他のポリシーを作成できます。

      ロール [展開のトラブルシューティング担当者] ロールを選択します。
    2. このカスタム ロールのメンバーに実行を許可するすべてのアクションを選択します。
    このシナリオでは、展開のトラブルシューティング ロールを持つすべてのユーザーがすべての展開を管理でき、選択したすべての Day 2 アクションを複数のプロジェクトに対して実行できます。展開の管理ロールは、展開に対するサービス管理者権限を付与することで、サービス管理者が実行できるアクションをすべて実行できるようにします。展開のトラブルシューティング カスタム ロールに展開の管理ロールが含まれていない場合、ユーザーは自分のプロジェクトに属する展開に対して、選択したすべての Day 2 アクションを実行できます。

次のタスク

  • ポリシーの処理方法と適用方法の例については、Service Brokerポリシーの処理方法を参照してください。
  • 組織およびプロジェクトに関連するポリシーを構成します。