사용자가 배포 및 해당 구성 요소 리소스에서 변경할 수 있는 사항을 제어할 수 있도록 2일차 작업 정책을 정의합니다. 전체 또는 일부 사용자가 배포에서 실행할 수 있는 허용된 작업 목록을 작성하여, 사용자가 파괴적이거나 비용이 많이 드는 변경을 시작할 수 없도록 합니다. 2일차 작업 정책과 관련된 사용 사례는 절차에 대한 소개입니다.

사용자에게 2일차 작업을 실행하는 권한을 부여할 때, 사용자가 실행할 수 있는 개별 작업을 선택합니다. 제외 목록이 아닌 포함 목록을 생성합니다.

2일차 작업 정책은 언제부터 적용됩니까?

  • 2일차 작업 정책을 정의하지 않은 경우에는 거버넌스가 적용되지 않고 모든 사용자가 모든 작업에 액세스할 수 있습니다. 처음 시작할 때 거버넌스가 없으면, 2일차 정책을 이해하지 않아도 Service BrokerCloud Assembly에서 2일차 작업을 수행할 수 있습니다.
  • 누가 어떤 작업에 액세스할지를 제어할 준비가 되었다고 확정되면, 단일 2일차 작업 정책의 형태로 거버넌스를 추가합니다. 첫 번째 정책이 적용되면 2일차 작업 정책이 Service BrokerCloud Assembly의 모든 사용자에게 적용됩니다. 따라서 첫 번째 정책이 true인 사용자만 선택한 작업을 실행할 수 있습니다. 다른 모든 사용자는 제외됩니다. 작업 정책이 신뢰할 수 있는 사용자를 포함하기 때문에 제외됩니다. 다른 모든 사용자를 제외하면 거버넌스 목표에 맞게 정책을 만들 수 있습니다.
  • 다른 사용자에게 권한을 부여하려면, 이들에게 선택한 작업을 실행할 권한을 부여하는 정책을 만들어야 합니다.

정책을 생성할 때 2일차 작업 정책을 정의하는 방식은 공유 상태를 고려해야 합니다.

2일차 작업 정책이 적용될 때 포커스를 두기 위해 범위, 역할 및 배포 조건을 구성할 수 있습니다. 이러한 구성은 정책이 적용되는 배포 및 정책 적용 시 작업을 실행할 수 있는 사용자를 제어합니다.

  • 정책이 적용되는 배포.
    • 범위는 정책이 조직 수준 또는 프로젝트 수준의 배포 중 어디에 적용되는지를 결정합니다.
    • 배포 조건은 정책의 범위를 배포의 특정 측면으로 좁힙니다.
  • 배포에 대한 작업을 실행할 수 있는 사용자.
    • 역할은 선택한 역할의 멤버에게(선택한 범위 및 배포 조건 내에서) 선택된 작업을 실행할 수 있는 권한을 부여합니다. 역할은 프로젝트 관리자, 프로젝트 멤버 또는 명명된 사용자 지정 역할일 수 있습니다.

2일차 정책은 사용자가 배포 또는 구성 요소 리소스에 대한 작업 메뉴를 사용하여 배포를 관리하려고 할 때 적용됩니다.

2일차 작업 정책 사용 사례를 검토하면서 작업도 선택해야 합니다. 클라우드 계정을 지원하는 작업을 선택해야 합니다.

  • 작업은 클라우드에 따라 다릅니다. 사용자에게 변경 권한을 부여하는 경우, 권한이 부여된 사용자가 어떤 클라우드 계정을 배포하는지 고려하여 클라우드별 작업 버전을 모두 선택해야 합니다. 예를 들어 Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize 및 Cloud.Azure.Machine.Resize를 추가하면 해당 시스템의 크기를 조정할 수 있는 권한이 사용자에게 부여됩니다.
  • 클라우드 애그노스틱 작업(예: Cloud.Machine.Resize)은 온보딩 또는 마이그레이션 프로세스가 시스템 유형을 식별할 수 없는 리소스를 수용하기 위해 존재합니다. 사용자에게 클라우드 애그노스틱 작업에 대한 권한을 부여하는 경우 배포된 리소스를 변경하는 클라우드별 작업을 실행할 권한은 부여되지 않습니다. 애그노스틱 작업이 작업 메뉴에 표시될 수 있지만 작업을 실행해도 아무 영향이 없습니다. 다양한 클라우드 플랫폼에 대해 사용자가 작업을 사용할 수 있도록 하려면, 애그노스틱 작업에 대한 권한을 부여하지 말고 클라우드별 작업에 대해서만 권한을 부여해야 합니다.

사전 요구 사항

프로시저

  1. 컨텐츠 및 정책 > 정책 > 정의 > 새 정책 > 2일차 작업 정책을 선택합니다.
  2. 2일차 정책 1을 구성합니다.
    관리자는 사용자가 스냅샷을 요청하는 기능을 제한하여 스토리지 비용을 제어하려고 합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 조직

      이 정책은 조직의 모든 배포에 적용됩니다.

      배포 조건 없음
      적용 유형 소프트

      이 적용 유형을 사용하면 이 정책을 재정의하는 스냅샷 작업과 관련된 다른 정책을 생성할 수 있습니다.

      역할 멤버

      이 역할은 모든 프로젝트 멤버에게 정책을 적용합니다.

    2. 사용자가 실행할 수 있는 작업을 선택하되 스냅샷 작업은 선택하지 않습니다.
      작업을 실행할 권한을 사용자에게 명시적으로 부여합니다. 사용자가 스냅샷 작업을 실행하지 못하도록 하려면, 해당 작업을 선택하지 않아야 합니다.
    이 시나리오에서는 조직의 프로젝트 멤버 중 누구에게도 스냅샷을 생성할 수 있는 권한이 없습니다. 프로젝트 관리자도 마찬가지입니다. 다음 단계에서는 프로젝트 관리자에게 스냅샷을 생성하고 관리하도록 권한을 부여하는 정책을 생성합니다.
  3. 2일차 정책 2를 구성합니다.
    관리자가 프로젝트 관리자에게 스냅샷을 생성하고 관리할 수 있는 기능을 제공하려고 합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 조직

      이 정책은 조직의 모든 배포에 적용됩니다.

      배포 조건 없음
      적용 유형 소프트

      이 적용 유형을 사용하면 이 정책을 재정의하는 스냅샷 작업과 관련된 다른 정책을 생성할 수 있습니다.

      역할 관리자

      이 역할은 프로젝트 관리자에게 정책을 적용합니다.

    2. 관리자가 실행할 스냅샷 작업을 선택합니다.
      프로젝트 관리자에게는 프로젝트 멤버가 실행할 권한이 있는 작업도 실행할 권한이 있습니다. 이들에게 멤버 작업에 대한 사용 권한을 부여할 필요는 없습니다.
    이 시나리오에서는, 스냅샷 관련 작업 및 프로젝트 멤버가 실행할 권한이 있는 모든 작업을 실행할 수 있는 권한이 프로젝트 관리자에게 부여됩니다.
  4. 2일차 정책 3을 구성합니다.
    프로젝트 관리자에게 배포를 사용할 수 없게 만들 수도 있는 작업을 수행하는 개발자가 두 명 있습니다. 개입하지 않고 스냅샷 및 되돌리기 권한을 부여하려고 합니다. 프로젝트 멤버 두 명에게 스냅샷 작업을 사용할 수 있는 권한을 부여합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 프로젝트 MT5

      이 정책은 이 프로젝트와 연결된 배포에 적용됩니다.

      배포 조건 catalogItem equals Multi-tier five machine with LB AND (createdBy equals jan@mycompany.com OR createdBy kris@mycompany.com)

      이 조건 표현식을 기반으로, Jan 또는 Kris가 Multi-tier five machine with LB라는 카탈로그 항목을 배포한 배포만 정책 적용에 고려됩니다.

      적용 유형 하드

      이 적용 유형은 정책이 정의에 따라 적용되도록 합니다.

      역할 멤버

      이 역할은 배포 조건에 정의된 카탈로그 항목에 정책을 적용합니다.

    2. 지정한 사용자가 실행할 스냅샷 작업을 선택합니다.
      프로젝트 관리자에게는 프로젝트 멤버가 실행할 권한이 있는 작업도 실행할 권한이 있습니다.
    이 시나리오에서 Jan과 Kris는 둘 중 한 명이 배포한 Multi-tier 5 Machines with LB 카탈로그 항목에 대한 스냅샷 작업을 사용할 수 있습니다. 프로젝트의 다른 멤버가 배포를 볼 수 있지만, Jan, Kris와 프로젝트 관리자만 스냅샷 작업을 사용할 수 있습니다.

다음에 수행할 작업