您可以定義第 2 天動作原則,以便控制使用者可對部署及其元件資源所做的變更。透過建立所有使用者或部分使用者可在部署上執行的允許動作清單,可以確保使用者無法起始任何破壞性或成本較高的變更。與第 2 天動作原則相關的使用案例是程序的簡介。
當您授權使用者執行第 2 天動作時,請選取他們可執行的個別動作。您正在建立包含清單,而不是排除清單。
第 2 天動作原則何時生效
- 如果您未定義任何第 2 天動作原則,則不會套用任何管理,並且所有使用者均可存取全部動作。在您開始時缺乏管理,可確保您和使用者可在 Automation Service Broker 和 Automation Assembler 中執行第 2 天動作,而無需瞭解第 2 天原則。
- 確定您已準備好控制哪些人員可以存取哪些動作後,您可以透過一個第 2 天動作原則的形式新增管理。當第一個原則生效時,會針對 Automation Service Broker 和 Automation Assembler 中的所有使用者強制執行第 2 天動作原則。因此,只有第一個原則為 true 的使用者可以執行選取的動作。所有其他使用者均被排除。因為動作原則包含信任的使用者,所以會被排除。透過排除所有其他使用者,您可以制定原則以符合您的管理目標。
- 若要授權其他使用者,您必須建立可授權這些使用者執行所選動作的原則。
部署共用如何影響第 2 天動作原則
專案中的部署共用會影響您設定第 2 天動作權利的方式。如果專案未設定為共用,則只有申請使用者可以看到部署。如果專案共用部署,則專案的所有成員都可以看到部署,並執行第 2 天動作原則授權執行的任何動作。部署共用是在專案中設定的。選取使用者索引標籤。
,然後選取專案,並按一下當您建立原則時,您定義第 2 天動作原則的方式必須將共用狀態考慮在內。
何時套用第 2 天動作原則
- 將原則套用到哪些部署。
- 範圍決定了是否將原則套用至組織層級或專案層級的部署。
- 準則可將原則的範圍縮小到部署的特定層面。
- 哪些使用者可在這些部署上執行哪些動作。
- 角色授與所選角色的成員在所選範圍和準則內執行所選動作的權限。角色可以是專案管理員、專案成員或具名自訂角色。
當使用者嘗試使用部署或元件資源上的 [動作] 功能表來管理部署時,會強制執行第 2 天原則。
在此使用案例中,用於說明第 2 天動作原則的集合,假設您已在專案中啟用部署共用。
選取第 2 天動作
- 這些動作特定於雲端。當您授權使用者進行變更時,請考慮授權使用者將部署到的雲端帳戶,並確保您選取所有雲端特定的動作版本。例如,新增 Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize、and Cloud.Azure.Machine.Resize,以授權使用者調整這些機器的大小。
- 存在非雲端動作 (例如 Cloud.Machine.Resize) 是為了容納上線或移轉程序無法識別機器類型的資源。如果您授權使用者執行與雲端無關的動作,則表明未授權其執行將變更已部署資源的雲端特定動作。與雲端無關的動作可能會顯示在動作功能表中,但執行這些動作不起作用。避免授權無關動作,並且僅授權雲端特定的動作,以確保各種雲端平台的使用者可執行這些動作。
必要條件
- 如需可能動作的清單,請參閱可以對 Automation Service Broker 部署或支援的資源執行哪些動作。
- 如需有關建構部署準則的詳細資訊,請參閱如何在 Automation Service Broker 原則中設定部署準則。
- 在第 2 天原則 4 中使用自訂角色。建立「部署疑難排解」角色,但具有自訂「部署疑難排解」角色中的「管理部署」角色不會依專案限制成員。「管理部署」角色允許受指派對象查看所有部署並執行所有動作。如果「疑難排解部署」角色不包括「管理部署」,則受指派對象會根據其專案成員資格查看部署。如需有關自訂角色的詳細資訊,請參閱自訂角色使用案例。
程序
- 選取 。
- 設定第 2 天原則 1。
作為管理員,您想要透過限制使用者請求快照的能力來控制儲存成本。
- 定義原則的有效時間。
設定 範例值 範圍 組織 此原則會套用至您組織中的所有部署。
準則 無 強制執行類型 軟性 此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。
權利類型 以角色為基礎 角色 成員 此角色會將原則套用至所有專案成員。
- 選取使用者可執行的動作,但不選取任何快照動作。
您可以明確授權使用者執行動作。若要排除使用者執行快照動作,請確保未選取任何動作。
在此案例中,您組織中的專案成員均無權建立快照。您的專案管理員也無權建立快照。下一步是建立原則,以授權專案管理員建立和管理快照。
- 定義原則的有效時間。
- 設定第 2 天原則 2。
做為管理員,您想要為專案管理員提供建立和管理快照的能力。
- 定義原則的有效時間。
設定 範例值 範圍 組織 此原則會套用到您組織中的所有部署。
準則 無 強制執行類型 軟性 此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。
權利類型 以角色為基礎 角色 管理員 此角色會將原則套用至專案管理員。
- 選取您想讓管理員執行的快照動作。
專案管理員也有權執行其專案成員有權執行的任何動作。您不需要為他們提供執行成員動作的權限。
在此案例中,專案管理員有權執行與快照相關的動作,以及其專案成員有權執行的所有動作。
- 定義原則的有效時間。
- 設定第 2 天原則 3。
做為專案管理員,您有兩名開發人員正在執行可能會導致部署無法使用的工作。您想要授權他們在無需介入的情況下建立快照並進行還原。您可以授權兩名專案成員使用快照動作。
- 定義原則的有效時間。
設定 範例值 範圍 專案 MT5 此原則將套用至與此專案相關聯的部署。
準則 Catalog Item equals Multi-tier five machine with LB
根據此準則運算式,僅考慮將名為 Multi-tier five machine with LB 的目錄項目的部署用於原則強制執行。
強制執行類型 硬性 此強制執行類型可確保根據定義強制執行原則。
權利類型 使用者型 使用者 新增使用者。 [email protected], [email protected]
僅考慮將 Jan 或 Kris 已部署目錄項目的部署用於原則強制執行。
- 選取您想讓指定的使用者執行的快照動作。
專案管理員也有權執行其專案成員有權執行的任何動作。
在此案例中,Jan 和 Kris 可以在由其中一人部署的 Multi-tier 5 Machines with LB 目錄項目上使用快照動作。雖然專案的其他成員可以查看部署,但只有 Jan、Kris 和專案管理員能夠使用快照動作。
- 定義原則的有效時間。
- 設定第 2 天原則 4。
作為管理員,您想要為指派給「部署疑難排解員」自訂角色的使用者指派執行大多數第 2 天動作的權限。雖然大多數自訂角色權限跨越各個專案,但使用者在 [部署] 頁面中可看到的內容是以其專案成員資格為基礎。若要查看部署,指派有自訂角色的使用者必須是已進行部署的專案的成員。
- 定義原則的有效時間。
設定 範例值 範圍 組織 準則 無 強制執行類型 軟性 此強制執行類型可讓您建立與覆寫此原則之延伸第 2 天動作相關的其他原則。
權利類型 以角色為基礎 角色 選取部署疑難排解員角色。 - 選取您希望此自訂角色的成員能夠執行的所有動作。
在此案例中,具有「部署疑難排解」角色的所有使用者都可以管理所有部署並且跨專案執行所有選取的第 2 天動作。「管理部署」角色會授與服務管理員對部署的權限,以便他們能夠執行服務管理員可執行的任何動作。如果「部署疑難排解」自訂角色不包括「管理部署」角色,則使用者可以針對屬於其專案的部署執行所有選取的第 2 天動作。
- 定義原則的有效時間。
後續步驟
- 如需有關如何處理和強制執行原則的更多範例,請參閱如何處理 Automation Service Broker原則。
- 設定與您的組織和專案相關的原則。