사용자가 배포 및 해당 구성 요소 리소스에서 변경할 수 있는 사항을 제어할 수 있도록 2일차 작업 정책을 정의합니다. 전체 또는 일부 사용자가 배포에서 실행할 수 있는 허용된 작업 목록을 작성하여, 사용자가 파괴적이거나 비용이 많이 드는 변경을 시작할 수 없도록 합니다. 2일차 작업 정책과 관련된 사용 사례는 절차에 대한 소개입니다.

사용자에게 2일차 작업을 실행하는 권한을 부여할 때, 사용자가 실행할 수 있는 개별 작업을 선택합니다. 제외 목록이 아닌 포함 목록을 생성합니다.

2일차 작업 정책은 언제부터 적용됩니까?

  • 2일차 작업 정책을 정의하지 않은 경우에는 거버넌스가 적용되지 않고 모든 사용자가 모든 작업에 액세스할 수 있습니다. 처음 시작할 때 거버넌스가 없으면, 2일차 정책을 이해하지 않아도 Service BrokerCloud Assembly에서 2일차 작업을 수행할 수 있습니다.
  • 누가 어떤 작업에 액세스할지를 제어할 준비가 되었다고 확정되면, 단일 2일차 작업 정책의 형태로 거버넌스를 추가합니다. 첫 번째 정책이 적용되면 2일차 작업 정책이 Service BrokerCloud Assembly의 모든 사용자에게 적용됩니다. 따라서 첫 번째 정책이 true인 사용자만 선택한 작업을 실행할 수 있습니다. 다른 모든 사용자는 제외됩니다. 작업 정책이 신뢰할 수 있는 사용자를 포함하기 때문에 제외됩니다. 다른 모든 사용자를 제외하면 거버넌스 목표에 맞게 정책을 만들 수 있습니다.
  • 다른 사용자에게 권한을 부여하려면, 이들에게 선택한 작업을 실행할 권한을 부여하는 정책을 만들어야 합니다.

프로젝트에서 배포 공유는 2일차 작업 권한을 구성하는 방법에 영향을 줍니다. 프로젝트가 공유하도록 설정되지 않으면, 요청하는 사용자만 배포를 볼 수 있습니다. 프로젝트가 배포를 공유하는 경우에는 프로젝트의 모든 멤버가 배포를 볼 수 있고 2일차 작업 정책에 따라 실행 권한이 부여된 모든 작업을 실행할 수 있습니다. 배포 공유는 프로젝트에서 구성됩니다. 인프라 > 관리 > 프로젝트를 선택한 다음, 프로젝트를 선택하고 사용자 탭을 클릭합니다.

정책을 생성할 때 2일차 작업 정책을 정의하는 방식은 공유 상태를 고려해야 합니다.

2일차 작업 정책이 적용되는 시기에 중점을 두기 위해 범위, 역할 및 조건을 구성할 수 있습니다. 이러한 구성은 정책이 적용되는 배포 및 정책 적용 시 작업을 실행할 수 있는 사용자를 제어합니다.

  • 정책이 적용되는 배포.
    • 범위는 정책이 조직 수준 또는 프로젝트 수준의 배포 중 어디에 적용되는지를 결정합니다.
    • 조건은 정책의 범위를 배포의 특정 측면으로 좁힙니다.
  • 배포에 대한 작업을 실행할 수 있는 사용자.
    • 역할은 선택한 역할의 멤버에게(선택한 범위 및 조건 내에서) 선택된 작업을 실행할 수 있는 권한을 부여합니다. 역할은 프로젝트 관리자, 프로젝트 멤버 또는 명명된 사용자 지정 역할일 수 있습니다.

2일차 정책은 사용자가 배포 또는 구성 요소 리소스에 대한 작업 메뉴를 사용하여 배포를 관리하려고 할 때 적용됩니다.

이 사용 사례는 2일차 작업 정책 수집을 설명하는 데 사용되며, 프로젝트에서 배포 공유를 사용하도록 설정했다고 가정입니다.

2일차 작업 정책 사용 사례를 검토하면서 작업도 선택해야 합니다. 클라우드 계정을 지원하는 작업을 선택해야 합니다.

  • 작업은 클라우드에 따라 다릅니다. 사용자에게 변경 권한을 부여하는 경우, 권한이 부여된 사용자가 어떤 클라우드 계정을 배포하는지 고려하여 클라우드별 작업 버전을 모두 선택해야 합니다. 예를 들어 Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize 및 Cloud.Azure.Machine.Resize를 추가하면 해당 시스템의 크기를 조정할 수 있는 권한이 사용자에게 부여됩니다.
  • 클라우드 애그노스틱 작업(예: Cloud.Machine.Resize)은 온보딩 또는 마이그레이션 프로세스가 시스템 유형을 식별할 수 없는 리소스를 수용하기 위해 존재합니다. 사용자에게 클라우드 애그노스틱 작업에 대한 권한을 부여하는 경우 배포된 리소스를 변경하는 클라우드별 작업을 실행할 권한은 부여되지 않습니다. 애그노스틱 작업이 작업 메뉴에 표시될 수 있지만 작업을 실행해도 아무 영향이 없습니다. 다양한 클라우드 플랫폼에 대해 사용자가 작업을 사용할 수 있도록 하려면, 애그노스틱 작업에 대한 권한을 부여하지 말고 클라우드별 작업에 대해서만 권한을 부여해야 합니다.

사전 요구 사항

  • 가능한 작업 목록은 Service Broker 배포에서 실행할 수 있는 작업의 내용을 참조하십시오.
  • 배포 조건 구성에 대한 자세한 내용은 Service Broker 정책에서 배포 조건을 구성하는 방법 항목을 참조하십시오.
  • 사용자 지정 역할은 2일차 정책 4에서 사용됩니다. 배포 문제 해결자 역할을 생성하지만 사용자 지정 배포 문제 해결 역할의 배포 관리 역할을 사용하여 프로젝트별로 멤버를 제한하지 않습니다. 배포 관리 역할을 사용하면 담당자가 모든 배포를 확인하고 모든 작업을 실행할 수 있습니다. 배포 문제 해결 역할에 배포 관리가 포함되어 있지 않은 경우에는 담당자가 해당 프로젝트 멤버 자격을 기반으로 배포를 확인합니다. 사용자 지정 역할에 대한 자세한 내용은 사용자 지정 역할 사용 사례를 참조하십시오.

프로시저

  1. 컨텐츠 및 정책 > 정책 > 정의 > 새 정책 > 2일차 작업 정책을 선택합니다.
  2. 2일차 정책 1을 구성합니다.
    관리자는 사용자가 스냅샷을 요청하는 기능을 제한하여 스토리지 비용을 제어하려고 합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 조직

      이 정책은 조직의 모든 배포에 적용됩니다.

      조건 없음
      적용 유형 소프트

      이 적용 유형을 사용하면 이 정책을 재정의하는 스냅샷 작업과 관련된 다른 정책을 생성할 수 있습니다.

      사용 권한 유형 역할 기반
      역할 멤버

      이 역할은 모든 프로젝트 멤버에게 정책을 적용합니다.

    2. 사용자가 실행할 수 있는 작업을 선택하되 스냅샷 작업은 선택하지 않습니다.
      작업을 실행할 권한을 사용자에게 명시적으로 부여합니다. 사용자가 스냅샷 작업을 실행하지 못하도록 하려면, 해당 작업을 선택하지 않아야 합니다.
    이 시나리오에서는 조직의 프로젝트 멤버 중 누구에게도 스냅샷을 생성할 수 있는 권한이 없습니다. 프로젝트 관리자도 마찬가지입니다. 다음 단계에서는 프로젝트 관리자에게 스냅샷을 생성하고 관리하도록 권한을 부여하는 정책을 생성합니다.
  3. 2일차 정책 2를 구성합니다.
    관리자가 프로젝트 관리자에게 스냅샷을 생성하고 관리할 수 있는 기능을 제공하려고 합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 조직

      이 정책은 조직의 모든 배포에 적용됩니다.

      조건 없음
      적용 유형 소프트

      이 적용 유형을 사용하면 이 정책을 재정의하는 스냅샷 작업과 관련된 다른 정책을 생성할 수 있습니다.

      사용 권한 유형 역할 기반
      역할 관리자

      이 역할은 프로젝트 관리자에게 정책을 적용합니다.

    2. 관리자가 실행할 스냅샷 작업을 선택합니다.
      프로젝트 관리자에게는 프로젝트 멤버가 실행할 권한이 있는 작업도 실행할 권한이 있습니다. 이들에게 멤버 작업에 대한 사용 권한을 부여할 필요는 없습니다.
    이 시나리오에서는, 스냅샷 관련 작업 및 프로젝트 멤버가 실행할 권한이 있는 모든 작업을 실행할 수 있는 권한이 프로젝트 관리자에게 부여됩니다.
  4. 2일차 정책 3을 구성합니다.
    프로젝트 관리자에게 배포를 사용할 수 없게 만들 수도 있는 작업을 수행하는 개발자가 두 명 있습니다. 개입하지 않고 스냅샷 및 되돌리기 권한을 부여하려고 합니다. 프로젝트 멤버 두 명에게 스냅샷 작업을 사용할 수 있는 권한을 부여합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 프로젝트 MT5

      이 정책은 이 프로젝트와 연결된 배포에 적용됩니다.

      조건
      Catalog Item equals Multi-tier five machine with LB

      이 조건 표현식을 기반으로, Multi-tier five machine with LB라는 카탈로그 항목에 대한 배포만 정책 시행에 고려됩니다.

      적용 유형 하드

      이 적용 유형은 정책이 정의에 따라 적용되도록 합니다.

      사용 권한 유형 사용자 기반
      사용자 사용자를 추가합니다.
      [email protected], [email protected]

      Jan 또는 Kris가 카탈로그 항목을 배포한 배포만 정책 시행에 고려됩니다.

    2. 지정한 사용자가 실행할 스냅샷 작업을 선택합니다.
      프로젝트 관리자에게는 프로젝트 멤버가 실행할 권한이 있는 작업도 실행할 권한이 있습니다.
    이 시나리오에서 Jan과 Kris는 둘 중 한 명이 배포한 Multi-tier 5 Machines with LB 카탈로그 항목에 대한 스냅샷 작업을 사용할 수 있습니다. 프로젝트의 다른 멤버가 배포를 볼 수 있지만, Jan, Kris와 프로젝트 관리자만 스냅샷 작업을 사용할 수 있습니다.
  5. 2일차 정책 4을 구성합니다.
    관리자는 [배포 문제 해결자] 사용자 지정 역할에 할당된 사용자에게 대부분의 2일차 작업을 실행할 수 있는 권한을 할당하려고 합니다. 대부분의 사용자 지정 역할 권한은 프로젝트 전체에 적용되지만 [배포] 페이지에서 사용자가 볼 수 있는 사항은 사용자의 프로젝트 멤버 자격에 기반합니다. 배포를 보려면 사용자 지정 역할을 할당 받은 사용자가 이것을 배포한 프로젝트의 멤버여야 합니다.
    1. 정책이 유효한 경우를 정의합니다.
      설정 샘플 값
      범위 조직
      조건 없음
      적용 유형 소프트

      이 적용 유형을 사용하면 이 정책을 재정의하는 확장된 2일차 작업과 관련된 다른 정책을 생성할 수 있습니다.

      사용 권한 유형 역할 기반
      역할 배포 문제 해결자 역할을 선택합니다.
    2. 이 사용자 지정 역할의 멤버가 실행할 수 있도록 할 모든 작업을 선택합니다.
    이 시나리오에서는 배포 문제 해결 역할이 있는 모든 사용자가 모든 배포를 관리하고 프로젝트 전체에서 선택한 2일차 작업을 모두 실행할 수 있습니다. 배포 관리 역할은 서비스 관리자가 실행할 수 있는 모든 작업을 실행할 수 있도록 배포에 대한 서비스 관리자 권한을 부여합니다. 배포 문제 해결 사용자 지정 역할에 배포 관리 역할이 포함되지 않은 경우, 사용자는 프로젝트에 속하는 배포에 대해 선택된 모든 2일차 작업을 실행할 수 있습니다.

다음에 수행할 작업