您可以定義第 2 天動作原則,以便控制使用者可對部署及其元件資源所做的變更。透過建立所有使用者或部分使用者可在部署上執行的允許動作清單,可以確保使用者無法起始任何破壞性或成本較高的變更。與第 2 天動作原則相關的使用案例是程序的簡介。

當您授權使用者執行第 2 天動作時,請選取他們可執行的個別動作。您正在建立包含清單,而不是排除清單。

第 2 天動作原則何時生效?

  • 如果您未定義任何第 2 天動作原則,則不會套用任何管理,並且所有使用者均可存取全部動作。在您開始時缺乏管理,可確保您和使用者可在 Service BrokerCloud Assembly 中執行第 2 天動作,而無需瞭解第 2 天原則。
  • 確定您已準備好控制哪些人員可以存取哪些動作後,您可以透過一個第 2 天動作原則的形式新增管理。當第一個原則生效時,會針對 Service BrokerCloud Assembly 中的所有使用者強制執行第 2 天動作原則。因此,只有第一個原則為 true 的使用者可以執行選取的動作。所有其他使用者均被排除。因為動作原則包含信任的使用者,所以會被排除。透過排除所有其他使用者,您可以制定原則以符合您的管理目標。
  • 若要授權其他使用者,您必須建立可授權這些使用者執行所選動作的原則。

當您建立原則時,您定義第 2 天動作原則的方式必須將共用狀態考慮在內。

若要聚焦套用第 2 天動作原則的時間,您可以設定範圍、角色和部署準則。這些組態可控制將原則套用到的部署,以及在強制執行原則時可執行動作的使用者。

  • 將原則套用到哪些部署。
    • 範圍決定了是否將原則套用至組織層級或專案層級的部署。
    • 部署準則可將原則的範圍縮小到部署的特定層面。
  • 哪些使用者可在這些部署上執行哪些動作。
    • 角色授與所選角色的成員在所選範圍和部署準則內執行所選動作的權限。角色可以是專案管理員、專案成員或具名自訂角色。

當使用者嘗試使用部署或元件資源上的 [動作] 功能表來管理部署時,會強制執行第 2 天原則。

當您檢閱第 2 天動作原則使用案例時,還必須選取動作。您必須選取支援雲端帳戶的動作。

  • 這些動作特定於雲端。當您授權使用者進行變更時,請考慮授權使用者將部署到的雲端帳戶,並確保您選取所有雲端特定的動作版本。例如,新增 Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize、and Cloud.Azure.Machine.Resize,以授權使用者調整這些機器的大小。
  • 存在非雲端動作 (例如 Cloud.Machine.Resize) 是為了容納上線或移轉程序無法識別機器類型的資源。如果您授權使用者執行與雲端無關的動作,則表明未授權其執行將變更已部署資源的雲端特定動作。與雲端無關的動作可能會顯示在動作功能表中,但執行這些動作不起作用。您應避免授權無關動作,並且僅授權雲端特定的動作,以確保各種雲端平台的使用者可執行這些動作。

必要條件

程序

  1. 選取內容和原則 > 原則 > 定義 > 新增原則 > 第 2 天動作原則
  2. 設定第 2 天原則 1。
    作為管理員,您想要透過限制使用者請求快照的能力來控制儲存成本。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則會套用至您組織中的所有部署。

      部署準則
      強制執行類型 軟性

      此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。

      角色 成員

      此角色會將原則套用至所有專案成員。

    2. 選取使用者可執行的動作,但不選取任何快照動作。
      您可以明確授權使用者執行動作。若要排除使用者執行快照動作,請確保未選取任何動作。
    在此案例中,您組織中的專案成員均無權建立快照。您的專案管理員也無權建立快照。下一步是建立原則,以授權專案管理員建立和管理快照。
  3. 設定第 2 天原則 2。
    做為管理員,您想要為專案管理員提供建立和管理快照的能力。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則會套用到您組織中的所有部署。

      部署準則
      強制執行類型 軟性

      此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。

      角色 管理員

      此角色會將原則套用至專案管理員。

    2. 選取您想讓管理員執行的快照動作。
      專案管理員也有權執行其專案成員有權執行的任何動作。您不需要為他們提供執行成員動作的權限。
    在此案例中,專案管理員有權執行與快照相關的動作,以及其專案成員有權執行的所有動作。
  4. 設定第 2 天原則 3。
    做為專案管理員,您有兩名開發人員正在執行可能會導致部署無法使用的工作。您想要授權他們在無需介入的情況下建立快照並進行還原。您可以授權兩名專案成員使用快照動作。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 專案 MT5

      此原則已套用至與此專案相關聯的部署。

      部署準則 catalogItem equals Multi-tier five machine with LB AND (createdBy equals jan@mycompany.com OR createdBy kris@mycompany.com)

      根據此準則運算式,僅考慮將 Jan 或 Kris 部署了名為 Multi-tier five machine with LB 的目錄項目的部署用於原則強制執行。

      強制執行類型 硬性

      此強制執行類型可確保根據定義強制執行原則。

      角色 成員

      此角色會將原則套用至部署準則中定義的目錄項目。

    2. 選取您想讓指定的使用者執行的快照動作。
      專案管理員也有權執行其專案成員有權執行的任何動作。
    在此案例中,Jan 和 Kris 可以在由其中一人部署的 Multi-tier 5 Machines with LB 目錄項目上使用快照動作。雖然專案的其他成員可以查看部署,但只有 Jan、Kris 和專案管理員能夠使用快照動作。

後續步驟