Descripción de los ámbitos de implementación

  • 6 minutos

Las máquinas virtuales, los servidores lógicos y las bases de datos de Azure SQL, las cuentas de almacenamiento, las redes virtuales y la mayoría de los demás recursos de Azure deben colocarse en un grupo de recursos. Sin embargo, algunos recursos pueden, o deben, implementarse de una manera diferente. Estos recursos se usan normalmente para controlar el comportamiento del entorno de Azure.

En esta unidad, revisará la jerarquía de la organización de recursos de Azure y verá cómo se podrían implementar determinados recursos en varios ámbitos.

Jerarquía de recursos de Azure

Azure tiene una estructura jerárquica de recursos con varios niveles de administración. Este es un diagrama que muestra cómo la empresa de juguetes podría organizar su entorno de Azure:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Su inquilino corresponde a la instancia de Microsoft Entra. Normalmente, una organización solo tiene una instancia de Microsoft Entra. Esta instancia actúa como la raíz de la jerarquía de recursos.

Los grupos de administración son una manera de organizar las suscripciones de Azure. Cada inquilino tiene un único grupo de administración raíz, y puede establecer su propia jerarquía de grupos de administración en él. Puede crear grupos de administración independientes para las distintas partes de la organización o para las suscripciones que tienen sus propios requisitos de seguridad o gobernanza. Puede aplicar restricciones de control de acceso y directivas a los grupos de administración, y todas las suscripciones siguientes a ese grupo de administración en la jerarquía heredan estas restricciones. Los grupos de administración no se implementan en regiones y no tienen ningún impacto en las ubicaciones de los recursos.

Las suscripciones actúan como cuentas de facturación y contienen recursos y grupos de recursos. Al igual que los grupos de administración, las suscripciones no tienen ninguna ubicación y no restringen dónde se implementan los recursos.

Los grupos de recursos son contenedores lógicos para los recursos. Con los grupos de recursos, puede administrar y controlar los recursos relacionados como una sola unidad. Los recursos como máquinas virtuales, planes de Azure App Service, cuentas de almacenamiento y redes virtuales deben colocarse en un grupo de recursos. Los grupos de recursos se crean en una ubicación para que Azure pueda realizar un seguimiento de los metadatos de los recursos del grupo, pero los recursos dentro del grupo se pueden implementar en otras ubicaciones.

El ejemplo que se ha ilustrado anteriormente es un escenario bastante básico que muestra cómo se pueden usar los grupos de administración. Su organización también podría considerar la posibilidad de implementar una zona de aterrizaje, que es un conjunto de recursos y configuración de Azure que necesita para empezar a trabajar con un entorno de producción de Azure. La zona de aterrizaje de escala empresarial es un enfoque probado para usar suscripciones y grupos de administración para administrar eficazmente los recursos de Azure:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Sea cual sea el modelo que siga, al comprender los distintos niveles de la jerarquía, puede empezar a aplicar controles flexibles sobre cómo se usa y administra el entorno de Azure. Con Bicep, puede administrar estos controles con todas las ventajas de la infraestructura como código.

Nota:

También hay otros recursos que se implementan en ámbitos específicos. Los recursos de extensión se implementan en el ámbito de otro recurso de Azure. Por ejemplo, un bloqueo de recursos es un recurso de extensión, que se implementa en un recurso como una cuenta de almacenamiento.

Ya está familiarizado con la implementación de recursos en grupos de recursos, así que echemos un vistazo a los otros ámbitos de implementación.

Recursos con ámbito de suscripción

Puede implementar recursos en una suscripción cuando:

  • Debe crear un nuevo grupo de recursos. Un grupo de recursos es realmente solo un recurso con ámbito de suscripción.
  • Debe conceder acceso a todos los recursos de una suscripción. Por ejemplo, si el departamento de RR. HH. tiene una suscripción de Azure que contiene todos los recursos de Azure del departamento, puede crear asignaciones de roles para permitir que todos los miembros del departamento de RR. HH. lean el contenido de la suscripción.
  • Está usando Azure Policy y quiere definir o aplicar una directiva a todos los recursos de la suscripción. Por ejemplo, el departamento de I+D de la empresa de juguetes le ha pedido que implemente una directiva que restrinja la lista de SKU de máquina virtual que se pueden crear dentro de la suscripción del equipo.

Recursos con ámbito de grupo de administración

Puede implementar recursos en un grupo de administración cuando:

  • Debe conceder acceso a todos los recursos de las suscripciones que se encuentran en la jerarquía del grupo de administración. Por ejemplo, el equipo de operaciones en la nube podría requerir acceso a todas las suscripciones de la organización. Puede crear una asignación de roles en el grupo de administración raíz, que concede a su equipo de operaciones en la nube acceso a todo lo que hay en Azure.

    Precaución

    Tenga mucho cuidado al conceder acceso a los recursos mediante grupos de administración y, especialmente, el grupo de administración raíz. Recuerde que todos los recursos del grupo de administración de la jerarquía heredan la asignación de roles. Asegúrese de que su organización sigue los procedimientos recomendados para la autenticación y administración de identidades, y que sigue el principio de privilegios mínimos; es decir, no conceda ningún acceso que no sea necesario.

  • Debe aplicar directivas en toda la organización. Por ejemplo, su organización podría tener una directiva según la cual los recursos no se pueden crear en determinadas regiones geográficas, en ninguna circunstancia. Puede aplicar una directiva al grupo de administración raíz que bloqueará la creación de recursos en esa región.

Nota:

Antes de usar grupos de administración por primera vez, debe configurarlos para el entorno de Azure.

Recursos con ámbito de inquilino

Puede implementar recursos en el inquilino cuando:

  • Necesita crear suscripciones de Azure. Cuando se usan grupos de administración, las suscripciones se agrupan en grupos de administración en la jerarquía de recursos, pero una suscripción se implementa como un recurso con ámbito de inquilino.

    Nota:

    No todos los clientes de Azure pueden crear suscripciones mediante la infraestructura como código. Dependiendo de la relación de facturación con Microsoft, es posible que esto no sea posible. Para más información, consulte Creación de suscripciones de Azure mediante programación.

  • Va a crear o configurar grupos de administración. Azure crea un único grupo de administración raíz al habilitar grupos de administración para el inquilino, y puede crear varios niveles de grupos de administración en él. Puede usar Bicep para definir toda la jerarquía del grupo de administración. También puede asignar suscripciones a grupos de administración.

    Con Bicep, puede enviar implementaciones al ámbito del inquilino. Las implementaciones con ámbito de inquilino requieren un permiso especial. Sin embargo, en la práctica, no es necesario enviar implementaciones con ámbito de inquilino. Resulta más fácil implementar recursos con ámbito de inquilino mediante una plantilla en un ámbito diferente. Veremos cómo hacerlo más adelante en este módulo.

    Sugerencia

    No se pueden crear directivas ni asignaciones de roles en el ámbito del inquilino. Sin embargo, si necesita conceder acceso o aplicar directivas en toda la organización, puede implementar estos recursos en el grupo de administración raíz.

Los identificadores de recursos

Ya está familiarizado con los identificadores de recursos de los recursos que se encuentran dentro de las suscripciones. Por ejemplo, este es un identificador de recurso que representa un grupo de recursos, que es un recurso con ámbito de suscripción:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/resourceGroups/ToyDevelopment

Esta es una representación visual de la misma información:

Screenshot of a Resource ID for a resource group.

Las propias suscripciones tienen sus propios identificadores, como los siguientes:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c

Nota:

Aunque las suscripciones se consideran elementos secundarios de los grupos de administración, sus identificadores de recursos no incluyen un identificador de grupo de administración. Azure realiza un seguimiento de la relación entre las suscripciones y los grupos de administración de una manera diferente de otras relaciones de recursos. Esto le ofrece la flexibilidad de mover suscripciones entre grupos de administración sin tener que cambiar todos los identificadores de recursos.

Cuando se trabaja con recursos en un ámbito de inquilino o grupo de administración, los identificadores de recursos pueden ser un poco diferentes de lo normal. Principalmente siguen el patrón estándar de intercalación del tipo de recurso con la información sobre los recursos específicos. Sin embargo, el formato específico depende del recurso con el que esté trabajando.

Este es un identificador de recurso de ejemplo para un grupo de administración:

/providers/Microsoft.Management/managementGroups/ProductionMG

Tiene un aspecto similar al siguiente:

Screenshot of a Resource ID for a management group.

Nota:

Los grupos de administración tienen un identificador y un nombre para mostrar. El nombre para mostrar es una descripción legible del grupo de administración. Puede cambiar el nombre para mostrar sin que afecte al identificador del grupo de administración.

Cuando se implementa un recurso en un ámbito de grupo de administración, su identificador de recurso incluye el identificador del grupo de administración. Este es un identificador de recurso de ejemplo para una definición de rol que se ha creado en un ámbito de grupo de administración:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Esta es una representación visual del mismo identificador:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

Otra definición de rol podría definirse en un ámbito de suscripción, por lo que su identificador de recurso tiene un aspecto algo diferente:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Esta es una representación visual del mismo identificador:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Ahora que comprende la jerarquía de recursos de Azure y los tipos de recursos que puede implementar en cada ámbito, puede tomar decisiones sobre los ámbitos en los que implementar los recursos. Por ejemplo, puede tomar una decisión informada sobre si debe crear una definición de directiva en el ámbito de un grupo de recursos, una suscripción o un grupo de administración. En la siguiente unidad, aprenderá a crear archivos de Bicep que tienen como destino cada uno de estos ámbitos.