Activités d’administrateur de domaine dans l’organisation d’un fournisseur de service

La section suivante répertorie les activités que l’administrateur d’un domaine effectue pour la société gérée par un fournisseur de service. Configurez des comptes de service et des comptes dans le cloud à l’aide du portail d’administration du cloud. Créez des opérations de pré-mise en service que vous pouvez configurer pour les ressources dans le cloud avant que les utilisateurs ne les mettent en service ou n’effectuent des opérations de cycle de vie.

Des normes de processus universelles strictes, une conception des processus basée sur les données, une gouvernance stricte et une administration centralisée maximisent les avantages de la séparation de domaine dans Mise en service et gouvernance du cloud une instance unique. Le rôle d’administrateur de domaine doit être strictement limité aux utilisateurs de l’organisation du fournisseur de service et ne doit pas être affecté aux utilisateurs administrateurs du cloud de l’organisation du client. Cette restriction permet au SP de s’assurer qu’un client n’obtient pas l’accès complet aux données d’un autre domaine. Étant donné que les données sont souvent partagées entre plusieurs clients, en tant qu’administrateurs de domaine, n’exposez pas ou ne fournissez pas d’autorisations qui pourraient entraîner une fuite de données.

Mise en service des ressources dans le cloud

• Assurez-vous de mapper les comptes de service appropriés aux comptes dans le cloud dans chaque domaine. Par exemple, la détection d’un abonnement primaire à partir du cloud Azure crée un ou plusieurs comptes de service enfants qui sont créés dans le même domaine. Cela signifie que tous les comptes de service d’un abonnement principal du cloud Azure doivent appartenir à une seule entreprise et à un seul domaine.

  Connectez-vous à l’aide d’un utilisateur disposant d’un rôle de root_admin ou de cloud_admin, tout en configurant des comptes de cloud et de service et en exécutant la détection pour n’importe quel domaine. Utilisez le sélecteur de domaine lors de l’exécution d’actions telles que la découverte ou la création et le mappage de comptes de cloud et de services.

  Remarque :

  • Mise en service et gouvernance du cloud ne prend pas en charge l’option Développer et réduire le champ d’application de domaine.
  • Pour plus d’informations sur ce à quoi un utilisateur peut et ne peut pas accéder, consultez Champ d’application de domaine

  Un compte de service est un enregistrement sécurisé sur votre instance qui stocke les informations d’identification et d’accès de votre compte fournisseur. Discovery utilise les informations pour accéder à votre compte fournisseur afin d’obtenir des données sur chaque ressource dans chaque centre de données spécifié. Un compte dans le cloud est la représentation logique de Mise en service et gouvernance du cloud tout ou partie de votre infrastructure cloud gérée. Un compte dans le cloud peut inclure plusieurs comptes de service, même des comptes de service de différents fournisseurs. Pour chaque compte de service, vous spécifiez les centres de données à inclure dans le compte dans le cloud.

  Assurez-vous que les clés de gestion et les informations d’identification du compte de service sont uniques à chaque domaine et ne sont pas partagées. Pour configurer des comptes dans le cloud et des comptes de service pour plusieurs fournisseurs dans le cloud, effectuez les actions de configuration du Jour 1 :

  • Guide de configuration du Jour 1 pour Amazon Web Services sur Mise en service et gouvernance du cloud
  • Guide de configuration du Jour 1 pour Azure sur Mise en service et gouvernance du cloud
  • Guide de configuration du jour 1 pour Google Cloud Connector sur Mise en service et gouvernance du cloud
  • Guide de configuration du Jour 1 pour VMware sur Mise en service et gouvernance du cloud
• API dans le cloud (CAPI),Scripts dans le cloud et modèles de script dans le cloud

  CAPI n’est pas séparé par domaine, car la prise en charge de la séparation de domaine dans Mise en service et gouvernance du cloud. Étant donné que CAPI est configuré dans un domaine global et partagé entre les domaines feuilles, assurez-vous que les scripts ne contiennent pas d’informations sensibles codées en dur telles que les détails du compte, les informations d’identification ou les noms, même dans les commentaires ou les annotations.

  CAPI vous permet de vous intégrer Mise en service et gouvernance du cloud à des fournisseurs dans le cloud à l’aide d’API REST. Les scripts cloud sont des scripts Java simples qui utilisent des fonctionnalités de plateforme. Dans l’application, l’exécution Mise en service et gouvernance du cloud de script est divisée en scripts cloud et en modèles de script cloud. Utilisez des scripts dans des modèles, des blocs de ressources, des profils de système d’exploitation et utilisez des scripts de stratégie pour définir les attributs du formulaire de demande. Les scripts de stratégie ne peuvent pas remplacer les données utilisateur. Les modèles de script cloud sont des exécutables réels qui sont transmis à un ordinateur virtuel cible pour exécution. Créez d’abord un modèle dans le cloud, puis associez-le à un script dans le cloud.

• Découverte dans le cloud

  Les fournisseurs de services (SP) utilisent Séparation de domaine pour séparer les données de chaque client. Les utilisateurs d’un domaine donné n’ont de visibilité que sur les données de leurs propres domaines ou des domaines enfants. Les SP contrôlent généralement le domaine de niveau supérieur, ce qui leur donne une visibilité sur les données associées à tous les domaines. Bien que la prise en charge de la séparation de domaine pour Discovery soit considérée comme de niveau 2, il n’existe pas d’administration déléguée aux domaines enfants dans Mise en service et gouvernance du cloud. Les SP doivent conserver le contrôle administratif. En tant que SP, exécutez toujours Découverte à partir d’un domaine feuille en vous connectant ou en empruntant l’identité d’un administrateur de domaine pour détecter vos ressources dans le cloud.

  Découverte dans le cloud fournit un assistant qui vous permet de créer et d’exécuter des calendriers dans le cloud dans une seule interface. Lorsque vous créez un calendrier avec Discovery Manager (Gestionnaire de découverte), vous sélectionnez les comptes à détecter, les informations d’identification permettant d’accéder à ces comptes et les serveurs MID pour analyser les ressources. Vous pouvez ensuite afficher les résultats sur la page d’accueil de Discovery (Découverte) et suivre les erreurs qui ont pu se produire.

  Pour plus d’informations, consultez

  • Gestionnaire de découverte
  • Exécuter des détections dans votre réseau
    • Découverte dans le cloud Microsoft Azure
    • Découverte dans le cloud VMware
    • Découverte de la Google Cloud Platform
    • Découverte IBM Cloud
• Installez et configurez la gestion des événements pour recevoir des événements externes et générer des alertes basées sur les règles de gestion des événements et des alertes. La visibilité des événements dépend du domaine du compte de service associé. Seuls les utilisateurs appartenant à ce domaine peuvent voir les détails de l’événement pour les événements traités. Les événements qui ne sont pas associés à un compte de service sont visibles par tous les domaines.

  Surveillez l’intégrité des services d’entreprise et de l’infrastructure à l’aide d’une console de gestion unique et répondez de manière appropriée aux problèmes qui surviennent. Gestion des événements fournit une analyse intelligente des événements et des alertes pour garantir la continuité des performances de vos services d’entreprise. Gestion des événements reçoit et traite les événements via le serveur MID.

  Pour plus d'informations, consultez

  • Explorer Gestion des événements
  • Configuration de Gestion des événements
    • AWS Découverte pilotée par les événements
    • Configurez le service d’alerte Microsoft Azure pour mettre à jour automatiquement le CMDB
    • Configurer le service de journalisation dans le Google cloud pour mettre à jour automatiquement le CMDB
    • Configurer le Événements VMware service pour mettre à jour automatiquement le CMDB

• L’application prend en charge l’intégration Mise en service et gouvernance du cloud avec des solutions de livraison continue (également connue sous le nom de gestion des configurations). Créez un fournisseur de gestion des configurations Ansible ou Terraform, puis exécutez Détection sur le fournisseur pour trouver ses ressources. Pour plus d’informations, consultez Prise en charge de la livraison continue (gestion des configurations) et Créer un type de fournisseur de charge de travail pour chaque nouveau fournisseur de gestion des configurations. Ces informations apparaissent dans le formulaire de catalogue de commandes en tant qu’attributs de gestion que vos utilisateurs peuvent sélectionner lors de la mise en service d’une ressource virtuelle via un fournisseur de gestion des configurations.

• Si vous créez des catalogues basés sur des modèles Terraform et partagez le catalogue avec plusieurs domaines. Procédez à la liste des modules (découverte de configuration) dans le domaine global. Le Serveur MID doit être créé dans le domaine global et ne doit être affecté qu’avec l’aptitude Terraform pour sa découverte. Cela permet aux SP de partager des catalogues avec plusieurs domaines.

  Avertissement :

  Ne créez pas de global Serveur MID avec une autre aptitude que la gestion des configurations pour Terraform.

  Créez un catalogue Terraform commun et partagez-le avec plusieurs clients :

  • Créez Serveur MID dans le domaine global en tant qu’administrateur général.
  • Créez un fournisseur de configuration Terraform Open Source.
    Remarque :

    Ajoutez uniquement « Terraform » comme fournisseur de configuration.
  • Créez un élément de catalogue basé sur un modèle Terraform.

• Mise en service et gouvernance du cloud prend en charge l’utilisation ServiceNow AI Platform avec des flux secondaires. Les règles sont des ensembles de conditions et d'actions. Si toutes les conditions d'une règle sont évaluées sur true, le système effectue les actions. Si une condition est évaluée comme fausse, le système n’effectue pas les actions. La création de règles vous aide à suivre les activités et à répondre plus rapidement aux problèmes et à les résoudre. Tirez parti du flux secondaire du concepteur de flux pour automatiser vos opérations du Jour 2. Rédigez rapidement un flux secondaire qui communique avec une API Cloud ou une ressource particulière. Utilisez SSH, PowerShell ou un outil similaire pour accéder aux options de flux secondaire et les étendre. Pour plus d’informations, consultez Opérations du jour 2 à l’aide de flux secondaires.

• Notification et approbation basées sur le budget

  Séparation de domaine dans prend en charge la séparation des données des Mise en service et gouvernance du cloud budgets. Vous pouvez attribuer des budgets spécifiques à un domaine. Affectez un budget à un groupe et à un utilisateur au sein du groupe. Lorsque l’utilisateur ou le groupe atteint le seuil de limite budgétaire, des notifications sont envoyées pour l’en avertir. Pour plus d’informations, voir Configurer les budgets

  • Créer des balises pour les ressources dans le cloud

    Les balises catégorisent les ressources dans le cloud pour fournir des données de suivi et de rapport de facturation plus riches et plus détaillées. Les clés de balise ne sont pas séparées par domaine et sont affichées aux utilisateurs d’autres domaines. La visibilité de la balise dépend du domaine CI associé ou du domaine d’enregistrement de facturation associé. Les balises qui ne sont associées à aucun enregistrement de CI ou de facturation sont visibles par tous les administrateurs de domaine. Lorsqu’une balise est créée, elle apparaît dans tout nouveau catalogue que vous créez. L’administrateur cloud doit choisir les balises qu’il souhaite pour son catalogue.

  • Les données de facturation peuvent être consultées séparément pour chaque domaine. Les tâches de facturation utilisent le domaine du compte de service configuré. Configurez la configuration de facturation pour permettre aux administrateurs et aux utilisateurs du cloud d’afficher des rapports tels que les données de facturation dans le cloud et l’utilisation des balises dans le cloud sur le tableau de bord de facturation.

    Définissez la tâche planifiée qui utilise régulièrement un serveur MID pour télécharger les données de facturation du fournisseur. Mise en service et gouvernance du cloud enregistre les données dans une table de coûts et utilise les informations pour générer des rapports.

    Pour en savoir plus sur la configuration des calendriers de facturation et le téléchargement des rapports de facturation, consultez :

    • Définir le calendrier de téléchargement des données de facturation AWS
    • Définir la planification de téléchargement des données de facturation Azure

Étapes suivantes

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

Pour plus d’informations sur les opérations de Mise en service et gouvernance du cloud cycle de vie disponibles pour chaque domaine que vous gérez dans votre instance, consultez Portail de l’utilisateur dans le cloud.