您可以定義第 2 天動作原則,以便控制使用者可對部署及其元件資源所做的變更。透過建立所有使用者或部分使用者可在部署上執行的允許動作清單,可以確保使用者無法起始任何破壞性或成本較高的變更。與第 2 天動作原則相關的使用案例是程序的簡介。

當您授權使用者執行第 2 天動作時,請選取他們可執行的個別動作。您正在建立包含清單,而不是排除清單。

第 2 天動作原則何時生效?

  • 如果您未定義任何第 2 天動作原則,則不會套用任何管理,並且所有使用者均可存取全部動作。在您開始時缺乏管理,可確保您和使用者可在 Service BrokerCloud Assembly 中執行第 2 天動作,而無需瞭解第 2 天原則。
  • 確定您已準備好控制哪些人員可以存取哪些動作後,您可以透過一個第 2 天動作原則的形式新增管理。當第一個原則生效時,會針對 Service BrokerCloud Assembly 中的所有使用者強制執行第 2 天動作原則。因此,只有第一個原則為 true 的使用者可以執行選取的動作。所有其他使用者均被排除。因為動作原則包含信任的使用者,所以會被排除。透過排除所有其他使用者,您可以制定原則以符合您的管理目標。
  • 若要授權其他使用者,您必須建立可授權這些使用者執行所選動作的原則。

專案中的部署共用會影響您設定第 2 天動作權利的方式。如果專案未設定為共用,則只有申請使用者可以看到部署。如果專案共用部署,則專案的所有成員都可以看到部署,並執行第 2 天動作原則授權執行的任何動作。部署共用是在專案中設定的。選取基礎結構 > 管理 > 專案,然後選取專案,並按一下使用者索引標籤。

當您建立原則時,您定義第 2 天動作原則的方式必須將共用狀態考慮在內。

若要聚焦套用第 2 天動作原則的時間,您可以設定範圍、角色和準則。這些組態可控制將原則套用到的部署,以及在強制執行原則時可執行動作的使用者。

  • 將原則套用到哪些部署。
    • 範圍決定了是否將原則套用至組織層級或專案層級的部署。
    • 準則可將原則的範圍縮小到部署的特定層面。
  • 哪些使用者可在這些部署上執行哪些動作。
    • 角色授與所選角色的成員在所選範圍和準則內執行所選動作的權限。角色可以是專案管理員、專案成員或具名自訂角色。

當使用者嘗試使用部署或元件資源上的 [動作] 功能表來管理部署時,會強制執行第 2 天原則。

在此使用案例中,用於說明第 2 天動作原則的集合,假設您已在專案中啟用部署共用。

當您檢閱第 2 天動作原則使用案例時,還必須選取動作。您必須選取支援雲端帳戶的動作。

  • 這些動作特定於雲端。當您授權使用者進行變更時,請考慮授權使用者將部署到的雲端帳戶,並確保您選取所有雲端特定的動作版本。例如,新增 Cloud.AWS.EC2.Instance.Resize、Cloud.GCP.Machine.Resize、and Cloud.Azure.Machine.Resize,以授權使用者調整這些機器的大小。
  • 存在非雲端動作 (例如 Cloud.Machine.Resize) 是為了容納上線或移轉程序無法識別機器類型的資源。如果您授權使用者執行與雲端無關的動作,則表明未授權其執行將變更已部署資源的雲端特定動作。與雲端無關的動作可能會顯示在動作功能表中,但執行這些動作不起作用。您應避免授權無關動作,並且僅授權雲端特定的動作,以確保各種雲端平台的使用者可執行這些動作。

必要條件

  • 如需可能動作的清單,請參閱您可以對 Service Broker 部署執行哪些動作
  • 如需有關建構部署準則的詳細資訊,請參閱如何在 Service Broker 原則中設定部署準則
  • 在第 2 天原則 4 中使用自訂角色。建立「部署疑難排解」角色,但具有自訂「部署疑難排解」角色中的「管理部署」角色不會依專案限制成員。「管理部署」角色允許受指派對象查看所有部署並執行所有動作。如果「疑難排解部署」角色不包括「管理部署」,則受指派對象會根據其專案成員資格查看部署。如需有關自訂角色的詳細資訊,請參閱自訂角色使用案例

程序

  1. 選取內容和原則 > 原則 > 定義 > 新增原則 > 第 2 天動作原則
  2. 設定第 2 天原則 1。
    作為管理員,您想要透過限制使用者請求快照的能力來控制儲存成本。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則會套用至您組織中的所有部署。

      準則
      強制執行類型 軟性

      此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。

      權利類型 以角色為基礎
      角色 成員

      此角色會將原則套用至所有專案成員。

    2. 選取使用者可執行的動作,但不選取任何快照動作。
      您可以明確授權使用者執行動作。若要排除使用者執行快照動作,請確保未選取任何動作。
    在此案例中,您組織中的專案成員均無權建立快照。您的專案管理員也無權建立快照。下一步是建立原則,以授權專案管理員建立和管理快照。
  3. 設定第 2 天原則 2。
    做為管理員,您想要為專案管理員提供建立和管理快照的能力。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則會套用到您組織中的所有部署。

      準則
      強制執行類型 軟性

      此強制執行類型可讓您建立與覆寫此原則之快照動作相關的其他原則。

      權利類型 以角色為基礎
      角色 管理員

      此角色會將原則套用至專案管理員。

    2. 選取您想讓管理員執行的快照動作。
      專案管理員也有權執行其專案成員有權執行的任何動作。您不需要為他們提供執行成員動作的權限。
    在此案例中,專案管理員有權執行與快照相關的動作,以及其專案成員有權執行的所有動作。
  4. 設定第 2 天原則 3。
    做為專案管理員,您有兩名開發人員正在執行可能會導致部署無法使用的工作。您想要授權他們在無需介入的情況下建立快照並進行還原。您可以授權兩名專案成員使用快照動作。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 專案 MT5

      此原則將套用至與此專案相關聯的部署。

      準則
      Catalog Item equals Multi-tier five machine with LB

      根據此準則運算式,僅考慮將名為 Multi-tier five machine with LB 的目錄項目的部署用於原則強制執行。

      強制執行類型 硬性

      此強制執行類型可確保根據定義強制執行原則。

      權利類型 使用者型
      使用者 新增使用者。
      [email protected], [email protected]

      僅考慮將 Jan 或 Kris 已部署目錄項目的部署用於原則強制執行。

    2. 選取您想讓指定的使用者執行的快照動作。
      專案管理員也有權執行其專案成員有權執行的任何動作。
    在此案例中,Jan 和 Kris 可以在由其中一人部署的 Multi-tier 5 Machines with LB 目錄項目上使用快照動作。雖然專案的其他成員可以查看部署,但只有 Jan、Kris 和專案管理員能夠使用快照動作。
  5. 設定第 2 天原則 4。
    作為管理員,您想要為指派給「部署疑難排解員」自訂角色的使用者指派執行大多數第 2 天動作的權限。雖然大多數自訂角色權限跨越各個專案,但使用者在 [部署] 頁面中可看到的內容是以其專案成員資格為基礎。若要查看部署,指派有自訂角色的使用者必須是已進行部署的專案的成員。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織
      準則
      強制執行類型 軟性

      此強制執行類型可讓您建立與覆寫此原則之延伸第 2 天動作相關的其他原則。

      權利類型 以角色為基礎
      角色 選取部署疑難排解員角色。
    2. 選取您希望此自訂角色的成員能夠執行的所有動作。
    在此案例中,具有「部署疑難排解」角色的所有使用者都可以管理所有部署並且跨專案執行所有選取的第 2 天動作。「管理部署」角色會授與服務管理員對部署的權限,以便他們能夠執行服務管理員可執行的任何動作。如果「部署疑難排解」自訂角色不包括「管理部署」角色,則使用者可以針對屬於其專案的部署執行所有選取的第 2 天動作。

下一步