Descripción de la infraestructura de administración de Azure

Completado

La infraestructura de administración incluye recursos de Azure y grupos de recursos, suscripciones y cuentas. Comprender esta jerarquía le ayuda a organizar los recursos, controlar quién puede acceder a lo que y administrar los costos a medida que crece el uso de Azure.

Recursos y grupos de recursos de Azure

Un recurso es el bloque de construcción básico de Azure. Todo lo que cree, aprovisione o implemente es un recurso. Las máquinas virtuales, las redes virtuales, las bases de datos y los servicios de Azure AI son ejemplos de recursos.

Los grupos de recursos son agrupaciones de recursos. Cada recurso debe pertenecer exactamente a un grupo de recursos. Puede mover algunos recursos entre grupos, pero un recurso solo está asociado a un grupo a la vez. Los grupos de recursos no se pueden anidar y no se pueden cambiar de nombre después de la creación, por lo que elija una convención de nomenclatura clara desde el principio.

Las acciones que se aplican a un grupo de recursos afectan a todos los recursos que contiene. Al eliminar un grupo de recursos, se elimina todo lo que contiene. La concesión o denegación de acceso se aplica a todos sus recursos.

Por ejemplo, si va a configurar un entorno de desarrollo temporal, la agrupación de todos los recursos permite eliminar todo el grupo cuando haya terminado. Si ejecuta varios proyectos, cree un grupo de recursos independiente para cada uno para que cada equipo solo vea y administre sus propios recursos.

No hay reglas difíciles para estructurar grupos de recursos: elija el enfoque que mejor funcione para su situación.

Suscripciones de Azure

En Azure, las suscripciones son una unidad de administración, facturación y escala. Las suscripciones permiten organizar grupos de recursos y controlar la facturación por separado del acceso.

* El uso de Azure requiere una suscripción de Azure. Una suscripción proporciona acceso a los productos y servicios de Azure y actúa como una unidad de facturación. Una suscripción de Azure se vincula a una cuenta de Azure, que es una identidad de Microsoft Entra ID o en un directorio en el que confía Microsoft Entra ID.

Una cuenta puede tener varias suscripciones, pero solo se requiere una. En una cuenta de varias suscripciones, puede configurar diferentes modelos de facturación y directivas de acceso. Hay dos tipos de límites de suscripción:

• Límite de facturación: determina cómo se factura una cuenta de Azure. Puede crear varias suscripciones para distintos requisitos de facturación. Azure genera informes y facturas de facturación independientes para cada suscripción.
• Límite de control de acceso: Azure aplica directivas de administración de acceso en el nivel de suscripción. Por ejemplo, puede crear una suscripción para el trabajo de desarrollo y otra para producción, cada una con diferentes límites de gasto y reglas de acceso.

Creación de una suscripción de Azure adicional

Puede crear suscripciones adicionales para separar:

• Entornos: suscripciones para fases de ciclo de vida, como espacio aislado, desarrollo, prueba y producción. El control de acceso se produce en el nivel de suscripción, lo que hace que sea un límite natural.
• Límites de equipo y carga de trabajo: asigne a cada proyecto su propia suscripción para que los costos sean fáciles de rastrear, o separar los entornos de prueba de los de producción.
• Facturación: cree suscripciones para realizar un seguimiento de los costos por separado, por ejemplo, una para cargas de trabajo de producción y otra para desarrollo y pruebas.

Grupos de administración de Azure

Los recursos se agrupan en grupos de recursos, y estos a su vez, se integran en suscripciones. Para un entorno pequeño, es suficiente. Pero cuando tiene muchas suscripciones en varios equipos o zonas geográficas, necesita una manera de administrar el acceso y las directivas a un nivel superior.

Los grupos de administración de Azure se sitúan por encima de las suscripciones. Las suscripciones se organizan en grupos de administración y se aplican condiciones de gobernanza (como directivas de acceso o reglas de cumplimiento) al grupo. Todas las suscripciones de un grupo de administración heredan automáticamente esas condiciones, al igual que los recursos heredan la configuración de su grupo de recursos. Los grupos de administración pueden anidarse hasta en seis niveles (sin contar el nivel raíz ni el nivel de suscripción), lo que le permite crear una jerarquía que refleje la estructura de la organización.

Cada inquilino de Microsoft Entra tiene un único grupo raíz de inquilino de nivel superior. Todos los demás grupos de administración y suscripciones se agrupan bajo el grupo raíz, permitiendo aplicar políticas de gestión globalmente.

Jerarquía de grupos de administración, suscripciones y grupos de recursos

Puede construir una estructura flexible de grupos de administración y suscripciones para organizar sus recursos en una jerarquía para una gestión unificada de políticas y acceso.

Ejemplos de cómo podría usar grupos de administración:

• Aplicar una directiva en todas las suscripciones. Podría limitar las ubicaciones de las máquinas virtuales a la región Oeste de EE. UU. en un grupo denominado Producción. Esta política se hereda a todas las suscripciones de ese grupo de administración y se aplica a todas las máquinas virtuales en dichas suscripciones. El propietario del recurso o la suscripción no puede invalidarlo, lo que refuerza la gobernanza.
• Conceda acceso a varias suscripciones a la vez. Al colocar suscripciones en un grupo de administración, puede crear una asignación de RBAC de Azure en el grupo. Todos los grupos de administración secundaria, las suscripciones, los grupos de recursos y los recursos subordinados heredan esos permisos; no es necesario crear scripts de RBAC de Azure para cada suscripción individual.

Datos importantes sobre los grupos de administración:

• Un único directorio admite hasta 10 000 grupos de administración.
• Cada grupo de administración y suscripción solo pueden admitir un elemento primario.