我知道这个问题有点主观。我只是想问一下典型的大型组织如何设置他们的云权限。我对 Azure 实现特别感兴趣。
我是一家大型医疗保健公司的开发人员(20,000 多名员工,1-2,000 名 IT 专业人员)。我们已经推出了自己的 Azure 实施,但几乎没有授予开发人员进入 Azure 门户的权限。如果我需要项目基础设施,我需要提交工单来请求它。一旦我获得了基础设施,我就无法在门户中对其进行任何操作。如果我需要创建一些 Azure Active Directory 应用程序角色,或者如果我想更改我的应用服务(例如启用托管服务标识),我需要向我们的云基础设施团队提交工单。这是典型的情况吗?还是其他大型组织授予开发人员更多权限(尤其是在非生产环境中)?
从开发人员的角度来看,我们的设置很疯狂。我最终编写了 powershell 脚本,并将它们发送给基础设施人员(或有时发送给 Active Directory 管理员),他们最终执行了脚本,却不知道他们在做什么。
我感觉这可能是我们公司文化的产物,但也可能不是。在 Azure 门户中允许开发人员拥有 0 个权限是常见现象吗?
答案1
虽然我没有经历过如此规模的 Azure 实施,但这听起来就像在一个大型、专业化/孤立、流程繁重的 IT 组织中会发生的情况。
- 向流程所有者说明这正在损害您提供解决方案的生产力。
- 审查这些流程及其存在的原因:它们可以减轻哪些风险以及需要涉及哪些专业知识。
- 提出一个折衷方案,比如在开发环境中提供更多访问权限,但不要干涉生产和测试。
- 查找并构建工具来记录和执行开发、测试和生产中完全相同的更改。“基础设施即代码”,如果你想这么称呼的话。
- 通过帮助准确执行变更、维持稳定的环境来建立信任。
你称之为疯狂,其他人却改变了控制权。当只有目录管理员可以编辑角色时,这就是一个安全控制点。新基础设施的审批流程可最大限度地减少账单到来时的成本意外。当不可避免地出现故障且原因不明时,记录变更很重要,以供参考。
是的,对于开发环境来说,这个过程可能太繁重了。不过,在知道某人的运维能力有多强之前,我个人不愿意相信他们进行测试,更不用说产品了。