Activités d’administrateur de domaine dans l’organisation d’un fournisseur de service

La section suivante répertorie les activités qu'effectue l'administrateur d'un domaine pour la société gérée par un fournisseur de services. Configurez des comptes de service et des comptes dans le cloud à l'aide du portail d'administration dans le cloud. Créez des opérations de pré-mise en service que vous pouvez configurer pour les ressources dans le cloud avant que vos utilisateurs ne les mettent en service ou exécutent des opérations de cycle de vie.

Des normes de processus universelles rigoureuses, une conception de processus pilotée par les données, une gouvernance stricte et une administration centralisée maximisent les avantages de Domain Separation dans Cloud Provisioning and Governance au sein d'une instance unique. Le rôle d'administrateur de domaine doit être strictement limité aux utilisateurs de l'organisation du fournisseur de services et ne pas être affecté aux utilisateurs d'administrateur dans le cloud de l'organisation du client. Cette restriction permet au SP de s'assurer qu'un client n'a pas un accès complet aux données d'autres domaines. Dans la mesure où les données sont souvent partagées entre plusieurs clients, en tant qu'administrateurs de domaine, n'exposez pas ou ne fournissez pas d'autorisations qui pourraient entraîner une fuite de données.

Mettre en service des ressources dans le cloud

• Assurez-vous de mapper les comptes de service pertinents aux comptes dans le cloud de chaque domaine. Par exemple, détecter un abonnement principal à partir du cloud Azure entraine la création d'un ou plusieurs comptes de service enfants dans le même domaine. Cela signifie que tous les comptes de service d'un abonnement principal à partir du cloud Azure doivent appartenir à une seule société et à un seul domaine.

  Connectez-vous à l'aide d'un utilisateur disposant d'un rôle root_admin ou cloud_admin, tout en configurant des comptes dans le cloud et de service et en exécutant une détection pour n'importe quel domaine. Utilisez le sélecteur de domaine lors de l'exécution d'actions telles que la détection ou la création et le mappage de comptes de service et dans le cloud.

  Remarque :

  • Cloud Provisioning and Governance ne prend pas en charge l'option de développement et de réduction du champ d'application du domaine.
  • Pour plus d’informations sur ce à quoi un utilisateur peut et ne peut pas accéder, consultez Champ d’application de domaine

  Un compte de services est un enregistrement sécurisé sur votre instance qui stocke les informations d'identification et d'accès de votre compte fournisseur. Discovery utilise les informations pour accéder à votre compte fournisseur afin d'obtenir des données sur chaque ressource dans chaque centre de données spécifié. Un compte cloud est la représentation logique dans Cloud Provisioning and Governance de l'ensemble ou d'une partie de votre infrastructure cloud gérée. Un compte cloud peut inclure plusieurs comptes de services, y compris des comptes de services de différents fournisseurs. Pour chaque compte de services, vous spécifiez les centres de données à inclure dans le compte cloud.

  Assurez-vous que les clés de gestion et les informations d'identification du compte de service sont propres à chaque domaine et ne sont pas partagées. Pour configurer des comptes dans le cloud et des comptes de service pour plusieurs fournisseurs dans le cloud, effectuez les actions de configuration du jour 1 :

  • Guide de configuration du jour 1 pour Amazon Web Services sur Cloud Provisioning and Governance
  • Guide de configuration du Jour 1 pour Azure sur Cloud Provisioning and Governance
  • Guide de configuration du jour 1 pour Google Cloud Connector sur Cloud Provisioning and Governance
  • Guide de configuration du Jour 1 pour VMware sur Cloud Provisioning and Governance
• API dans le cloud (CAPI) et scripts dans le cloud et modèles de scripts dans le cloud

  La CAPI n'est pas séparée par domaine, car Cloud Provisioning and Governance ne prend en charge la séparation par domaine que pour le niveau 1 (données uniquement) et pas pour le code. Étant donné que la CAPI est configurée dans un domaine global et partagé entre les domaines feuilles, assurez-vous que les scripts ne contiennent pas d'informations sensibles codées en dur telles que les détails du compte, les informations d'identification ou les noms, même dans les commentaires ou les annotations.

  La CAPI vous permet d'intégrer Cloud Provisioning and Governance aux fournisseurs dans le cloud à l'aide des API REST. Les scripts dans le cloud sont des scripts Java simples qui utilisent des fonctionnalités de plateforme. Dans l'application Cloud Provisioning and Governance, l'exécution de script est divisée en scripts dans le cloud et en modèles de script dans le cloud. Utilisez des scripts dans des modèles, des blocs de ressources, des profils de système d'exploitation et utilisez des scripts de politique pour définir des attributs de formulaire de demande. Les scripts de politique ne peuvent pas remplacer les données utilisateur. Les modèles de script dans le cloud sont des exécutables réels transmis pour cibler un ordinateur virtuel pour exécution. Créez d'abord un modèle dans le cloud, puis associez-le à un script cloud.

• Détection dans le cloud

  Les fournisseurs de services utilisent Domain Separation pour séparer les données de chaque client. Les utilisateurs d'un domaine donné peuvent consulter uniquement les données de leurs propres domaines ou de domaines enfants. Les fournisseurs de services contrôlent généralement le domaine de niveau supérieur, ce qui leur donne une visibilité sur les données associées à tous les domaines. Bien que la prise en charge de Domain Separation pour Discovery soit de niveau 2, il n'existe aucune délégation d'administration aux domaines enfants dans Cloud Provisioning and Governance. Les fournisseurs de services doivent conserver le contrôle administratif. En tant que SP, exécutez toujours la détection à partir d'un domaine feuille en vous connectant en tant qu'administrateur de domaine ou en empruntant l'identité d'un administrateur de domaine pour détecter vos ressources dans le cloud.

  Cloud Discovery fournit un assistant qui vous permet de créer et d'exécuter des planifications dans le cloud dans une interface unique. Lorsque vous créez un calendrier avec le gestionnaire de Discovery, vous sélectionnez les comptes à détecter, les informations d'identification pour accéder à ces comptes et les MID Servers pour analyser les ressources. Vous pouvez ensuite afficher les résultats dans la page d'accueil de Discovery et suivre toutes les erreurs qui ont pu se produire.

  Pour plus d'informations, consultez

  • Gestionnaire de découverte
  • Exécuter des détections dans votre réseau
    • Découverte dans le cloud Amazon AWS
    • Découverte dans le cloud Microsoft Azure
    • Détection VMware Cloud
    • Découverte de Google Cloud Platform
    • Détection dans le cloud IBM
• Configurez la gestion des événements pour recevoir des événements externes et générez des alertes en fonction des règles de gestion des événements et des alertes. La visibilité des événements dépend du domaine du compte de service associé. Seuls les utilisateurs appartenant à ce domaine peuvent voir les détails de l'événement pour les événements traités. Les événements qui ne sont pas associés à un compte de service sont visibles par tous les domaines.

  Surveillez l'intégrité des services aux entreprises et de l'infrastructure à l'aide d'une console de gestion unique et réagissez de manière appropriée à tous les problèmes qui surviendront. Event Management fournit une analyse intelligente des événements et des alertes pour garantir la continuité de la performance de vos services aux entreprises. Event Management reçoit et traite les événements via le MID Server.

  Pour plus d'informations, consultez

  • Explorer Gestion des événements
  • Configuration d’Event Management
    • Configurez le service de AWS configuration pour envoyer des notifications d’événements à l’instance ServiceNow
    • Configurez le service d’alerte Microsoft Azure pour mettre à jour automatiquement le CMDB
    • Configurer le Journalisation de Google Stackdriver service pour mettre à jour automatiquement le CMDB
    • Configurer le Événements VMware service pour mettre à jour automatiquement le CMDB

• L'application Cloud Provisioning and Governance prend en charge l'intégration avec les solutions d'offre en continu (également connues sous le nom de gestion des configurations). Créez un fournisseur de gestion des configurations Ansible ou Terraform, puis exécutez Discovery sur le fournisseur pour trouver ses ressources. Pour plus d’informations, consultez Prise en charge de la livraison continue (gestion des configurations) et Créer un type de fournisseur de charge de travail pour chaque nouveau fournisseur de gestion des configurations. Ces informations apparaissent dans le formulaire de catalogue de commandes en tant qu'attributs de gestion que vos utilisateurs peuvent sélectionner lors de la mise en service d'une ressource virtuelle via un fournisseur de gestion des configurations.

• Si vous créez des catalogues basés sur des modèles Terraform et partagez le catalogue avec plusieurs domaines. Effectuez une liste de modules (détection de configuration) dans le domaine global. Le Serveur MID doit être créé dans le domaine global et ne doit être affecté qu'avec l'aptitude Terraform pour sa détection. Cela permet aux SP de partager des catalogues avec plusieurs domaines.

  Avertissement :

  Ne créez pas de Serveur MID global avec des aptitudes différentes de la gestion des configurations pour Terraform.

  Créez un catalogue Terraform commun et partagez-le avec plusieurs clients :

  • Créez un Serveur MID dans le domaine global en tant qu'administrateur global.
  • Créez un fournisseur de configuration Terraform Open Source.
    Remarque :

    Ajoutez uniquement « Terraform » en tant que fournisseur de configuration.
  • Créez un élément de catalogue basé sur un modèle Terraform.

• Cloud Provisioning and Governance prend en charge l'utilisation de règles Now Platform avec des workflows. Les règles sont des ensembles de conditions et d'actions. Si toutes les conditions d'une règle sont évaluées sur true, le système effectue les actions. Si une condition est évaluée sur false, le système n'effectue pas les actions. La création de règles vous aide à suivre les activités et à répondre plus rapidement aux problèmes et à les résoudre. Profitez du cadre de travail des workflows pour automatiser vos opérations du jour 2. Écrivez rapidement un workflow qui communique avec une API cloud ou une ressource particulière. Utilisez SSH, PowerShell ou un outil similaire pour accéder, puis étendre les options du workflow. Pour plus d'informations, consultez Opérations du jour 2 utilisant des workflows.

• Notification et approbation basées sur le budget

  Domain Separation dans Cloud Provisioning and Governance prend en charge la séparation des données des budgets. Vous pouvez affecter des budgets spécifiques au domaine. Affectez un budget à un groupe et à un utilisateur au sein du groupe. Lorsque l'utilisateur ou le groupe atteint le seuil de limite budgétaire, des notifications lui sont envoyées pour l'alerter. Pour plus d'informations, consultez Configurer les budgets.

  • Créer des balises pour les ressources dans le cloud

    Les balises catégorisent les ressources dans le cloud pour fournir des données de suivi et de rapport de facturation plus riches et plus détaillées. Les clés de balise ne sont pas séparées par domaine et sont affichées aux utilisateurs d'autres domaines. La visibilité des balises dépend du domaine de CI associé ou du domaine d'enregistrement de facturation associé. Les balises qui ne sont associées à aucun CI ou enregistrement de facturation sont visibles par tous les administrateurs de domaine. Lorsqu'une balise est créée, elle apparaît dans n'importe quel nouveau catalogue que vous créez. L'administrateur dans le cloud doit choisir les balises qu'il souhaite pour son catalogue.

  • Les données de facturation peuvent être consultées séparément pour chaque domaine. Les tâches de facturation utilisent le domaine du compte de service configuré. Configurez la facturation pour permettre aux administrateurs dans le cloud et aux utilisateurs dans le cloud d'afficher des rapports tels que les données de facturation dans le cloud et l'utilisation des balises dans le cloud sur le tableau de bord de facturation.

    Définissez la tâche planifiée qui utilise régulièrement un MID Server pour télécharger les données de facturation du fournisseur. Cloud Provisioning and Governance enregistre les données dans une table de coûts et utilise les informations pour générer des rapports.

    Pour plus d'informations sur la configuration des calendriers de facturation et le téléchargement des rapports de facturation, consultez :

    • Définir le calendrier de téléchargement des données de facturation AWS
    • Définir le calendrier de téléchargement des données de facturation Azure

Étapes suivantes

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

Pour plus d’informations sur les opérations de Cloud Provisioning and Governance cycle de vie disponibles pour chaque domaine que vous gérez dans votre instance, consultez Portail de l’utilisateur dans le cloud.