Mik az Azure-beli felügyeleti csoportok?
Ha szervezete számos Azure-előfizetéssel rendelkezik, szükség lehet egy módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének hatékony kezeléséhez. A felügyeleti csoportok szabályozási hatókört biztosítanak az előfizetések felett. Az előfizetéseket felügyeleti csoportokba rendezheti; a kaszkádolt szabályozási feltételeket öröklődés alapján alkalmazza az összes társított előfizetésre.
A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetésekkel rendelkezik. Az egyetlen felügyeleti csoporton belüli összes előfizetésnek azonban ugyanabban az Azure Active Directory-bérlőben (Azure AD) kell megbíznia.
Alkalmazhat például olyan szabályzatokat egy felügyeleti csoportra, amelyek korlátozzák a virtuális gépek (VM-ek) létrehozásához elérhető régiókat. Ez a szabályzat az összes beágyazott felügyeleti csoportra, előfizetésre és erőforrásra vonatkozik, és csak a jogosult régiókban engedélyezi a virtuális gépek létrehozását.
A felügyeleti csoportok és előfizetések hierarchiája
A felügyeleti csoportok és előfizetések rugalmas szerkezetének létrehozásával hierarchiába rendezheti erőforrásait az egységes szabályzat- és hozzáféréskezeléshez. Az alábbi ábrán egy példa látható szabályozási hierarchia létrehozására felügyeleti csoportok használatával.
A felügyeleti csoportokat és előfizetéseket is tartalmazó gyökérszintű felügyeleti csoport ábrája. Egyes gyermekfelügyeleti csoportok felügyeleti csoportokat, néhány előfizetést tartanak, mások pedig mindkettőt. A mintahierarchiában az egyik példa a felügyeleti csoportok négy szintje, a gyermekszint pedig az összes előfizetés.
Létrehozhat egy olyan hierarchiát, amely egy szabályzatot alkalmaz, például amely korlátozza a virtuális gépek helyét az USA nyugati régiójában a "Corp" nevű felügyeleti csoportban. Ez a szabályzat örökli az összes olyan Nagyvállalati Szerződés (EA) előfizetést, amely a felügyeleti csoport leszármazottja, és az előfizetések alatt lévő összes virtuális gépre érvényes lesz. Ezt a biztonsági szabályzatot az erőforrás vagy az előfizetés tulajdonosa nem módosíthatja, ami jobb szabályozást tesz lehetővé.
Megjegyzés
A felügyeleti csoportok jelenleg nem támogatottak a Cost Management funkcióiban Microsoft Ügyfélszerződés (MCA) előfizetésekhez.
A felügyeleti csoportok használatának másik esete, amikor egyszerre több előfizetéshez szeretne felhasználói hozzáférést biztosítani. Ha több előfizetést helyez át a felügyeleti csoport alá, létrehozhat egy Azure-beli szerepkör-hozzárendelést a felügyeleti csoportban, amely örökli a hozzáférést az összes előfizetéshez. A felügyeleti csoport egyik hozzárendelése lehetővé teszi a felhasználóknak, hogy mindenhez hozzáférhessenek, amire szükségük van, ahelyett, hogy különböző előfizetéseken keresztül szkriptelik az Azure RBAC-t.
A felügyeleti csoportokkal kapcsolatos fontos tudnivalók
- A címtárak legfeljebb 10 000 felügyeleti csoportot támogatnak.
- A felügyeleticsoport-fák legfeljebb hatszintűek lehetnek.
- A korlátozásba nem tartozik bele a gyökérszint és az előfizetés szintje.
- Felügyeleti csoportonként vagy előfizetésenként egy szülő támogatott.
- Minden felügyeleti csoportnak több gyermeke lehet.
- Az egyes címtárakban minden előfizetés és felügyeleti csoport egyetlen hierarchiában található. Tekintse meg A gyökérszintű felügyeleti csoport fontosabb jellemzői című szakaszt.
Az egyes címtárak gyökérszintű felügyeleti csoportja
Minden könyvtárhoz egyetlen legfelső szintű felügyeleti csoport, a gyökérszintű felügyeleti csoport tartozik. A gyökérszintű felügyeleti csoport be van építve a hierarchiába, hogy az összes felügyeleti csoport és előfizetés hozzá legyen osztva. Ez a gyökérszintű felügyeleti csoport lehetővé teszi a globális szabályzatok és az Azure-beli szerepkör-hozzárendelések címtárszinten történő alkalmazását. Az Azure AD globális rendszergazdájának először emelnie kell a jogosultsági szintjét, hogy a Felhasználói hozzáférés adminisztrátora szerepkörrel rendelkezzen a gyökérszintű csoport esetében. A hozzáférés emelése után a rendszergazda bármilyen Azure-szerepkört hozzárendelhet más címtárfelhasználókhoz vagy -csoportokhoz a hierarchia kezeléséhez. Rendszergazdaként hozzárendelheti a fiókját a gyökérszintű felügyeleti csoport tulajdonosaként.
Fontos tények a gyökérszintű felügyeleti csoportról
- Alapértelmezés szerint a gyökérszintű felügyeleti csoport megjelenített neve bérlői gyökércsoport , és felügyeleti csoportként működik. Az azonosító ugyanaz az érték, mint az Azure Active Directory (Azure AD) bérlőazonosítója.
- A megjelenítendő név módosításához a fióknak tulajdonosi vagy közreműködői szerepkörrel kell rendelkeznie a gyökérszintű felügyeleti csoportban. A felügyeleti csoport nevének frissítéséhez lásd: Felügyeleti csoport nevének módosítása .
- A gyökérszintű felügyeleti csoportot a többi felügyeleti csoporttal szemben nem lehet törölni vagy áthelyezni.
- Az összes előfizetés és felügyeleti csoport egyetlen gyökérszintű felügyeleti csoportra oszlik a címtárban.
- A globális felügyelet érdekében a címtár erőforrásai is a gyökérszintű felügyeleti csoport alá kerülnek.
- Az újonnan létrehozott előfizetések alapértelmezés szerint a gyökérszintű felügyeleti csoporthoz tartoznak.
- A gyökérszintű felügyeleti csoport az összes Azure-ügyfél számára látható, de nem mindegyikük rendelkezik hozzáféréssel a kezeléséhez.
- Bárki, aki hozzáféréssel rendelkezik egy adott előfizetéshez, láthatja, hogy az hol helyezkedik el a hierarchiában.
- Senki nem kap alapértelmezés szerint hozzáférést a gyökérszintű felügyeleti csoporthoz. Kizárólag az Azure AD globális rendszergazdái emelhetik meg jogosultsági szintjüket, hogy hozzáférést kapjanak. Miután hozzáfértek a gyökérszintű felügyeleti csoporthoz, a globális rendszergazdák bármilyen Azure-szerepkört hozzárendelhetnek más felhasználókhoz a kezelésükhöz.
Fontos
A gyökérszintű felügyeleti csoport felhasználói hozzáférésének vagy szabályzatának hozzárendelése a címtárban lévő összes erőforrásra vonatkozik. Ezért minden ügyfélnek fel kell mérnie, mire van szüksége ebben a hatókörben. A felhasználói hozzáférések és a szabályzatok hozzárendelései csak ebben a hatókörben lehetnek kötelezőek.
A felügyeleti csoportok kezdeti beállítása
A felügyeleti csoportok használatának megkezdésekor először egy beállítási folyamat történik. A folyamat első lépéseként létrejön a gyökérszintű felügyeleti csoport a címtárban. A csoport létrehozása után a címtárban található összes meglévő előfizetés a gyökérszintű felügyeleti csoport gyermekeként lesz beállítva. A folyamat célja, hogy egy adott címtáron belül csak egy felügyeleticsoport-hierarchia legyen. Az egyetlen hierarchia beállítása lehetővé teszi a rendszergazdai ügyfelek számára globális hozzáférések és szabályzatok alkalmazását, amelyeket a címtárat használó többi ügyfél nem tud megkerülni. A gyökérszintű hozzárendelések a teljes hierarchiára vonatkoznak, amely magában foglalja az összes felügyeleti csoportot, előfizetést, erőforráscsoportot és erőforrást az adott Azure AD bérlőn belül.
Hozzáférés a felügyeleti csoportokhoz
Az Azure felügyeleti csoportjai támogatják az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) az összes erőforrás-hozzáféréshez és szerepkör-definícióhoz. Ezeket az engedélyeket a hierarchiában található összes gyermek erőforrás örökli. Bármely Azure-szerepkör hozzárendelhető egy felügyeleti csoporthoz, amely örökli a hierarchiát az erőforrásokhoz. Az Azure-beli szerepkör virtuálisgép-közreműködője például hozzárendelhető egy felügyeleti csoporthoz. Ez a szerepkör nem rendelkezik művelettel a felügyeleti csoporton, de a felügyeleti csoport összes virtuális gépét örökli.
Az alábbi ábrán a felügyeleti csoportokkal kapcsolatos szerepkörök és támogatott műveletek listája látható.
| Azure-beli szerepkör neve | Létrehozás | Átnevezés | Áthelyezés** | Törlés | Hozzáférés hozzárendelése | Szabályzat hozzárendelése | Olvasás |
|---|---|---|---|---|---|---|---|
| Tulajdonos | X | X | X | X | X | X | X |
| Közreműködő | X | X | X | X | X | ||
| Felügyeleti csoport közreműködője* | X | X | X | X | X | ||
| Olvasó | X | ||||||
| Felügyeleti csoport olvasója* | X | ||||||
| Erőforrás-szabályzat közreműködője | X | ||||||
| Felhasználói hozzáférés rendszergazdája | X | X |
*: A felügyeleti csoport közreműködői és felügyeleticsoport-olvasó szerepkörei lehetővé teszik, hogy a felhasználók csak a felügyeleti csoport hatókörén hajtják végre ezeket a műveleteket.
**: A gyökérszintű felügyeleti csoport szerepkör-hozzárendelései nem szükségesek egy előfizetés vagy felügyeleti csoport áthelyezéséhez és onnan való áthelyezéséhez.
A hierarchián belüli elemek áthelyezésének részleteiért tekintse meg az Erőforrások kezelése felügyeleti csoportokkal című szakaszt.
Egyéni Azure-szerepkördefiníció és -hozzárendelés
A felügyeleti csoportokat hozzárendelhető hatókörként definiálhatja egy Azure-beli egyéni szerepkör-definícióban. Az Egyéni Azure-szerepkör ezután hozzárendelhető az adott felügyeleti csoporthoz és az alatta lévő felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforráshoz. Az egyéni szerepkör minden beépített szerepkörhez hasonlóan örökli a hierarchiát. Az egyéni szerepkörökkel és felügyeleti csoportokkal kapcsolatos korlátozásokról további információt a Korlátozások című témakörben talál.
Példadefiníció
Az egyéni szerepkörök definiálása és létrehozása nem változik a felügyeleti csoportok belefoglalásával. A teljes elérési út használatával definiálhatja a felügyeleti csoportot /providers/Microsoft.Management/managementgroups/{groupId}.
Ne a felügyeleti csoport megjelenítendő nevét, hanem a felügyeleti csoport azonosítóját használja. Ez a gyakori hiba azért fordul elő, mert mindkettő egyénileg definiált mező egy felügyeleti csoport létrehozásakor.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementgroups/delete",
"Microsoft.Management/managementgroups/read",
"Microsoft.Management/managementgroup/write",
"Microsoft.Management/managementgroup/subscriptions/delete",
"Microsoft.Management/managementgroup/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
A szerepkördefiníció és a hozzárendelési hierarchia elérési útjának megszakításával kapcsolatos problémák
A szerepkördefiníciók a felügyeleti csoport hierarchiájában bárhol hozzárendelhetők. A szerepkördefiníció definiálható egy szülő felügyeleti csoportban, miközben a tényleges szerepkör-hozzárendelés megtalálható a gyermek-előfizetésben. Mivel kapcsolat van a két elem között, hibaüzenet jelenik meg, amikor megpróbálja elválasztani a hozzárendelést a definíciójától.
Nézzük meg például egy vizualizáció hierarchiájának egy kis szakaszát.
A diagram a gyökérszintű felügyeleti csoportra összpontosít gyermek kezdőzónákkal és tesztkörnyezet-felügyeleti csoportokkal. A Kezdőzónák felügyeleti csoport két Gyermekfelügyeleti csoport neve Corp és Online, míg a Tesztkörnyezet felügyeleti csoport két gyermek-előfizetéssel rendelkezik.
Tegyük fel, hogy egy egyéni szerepkör van definiálva a Tesztkörnyezet felügyeleti csoportjában. Ezt az egyéni szerepkört ezután hozzárendeli a rendszer a két Tesztkörnyezet-előfizetéshez.
Ha megpróbáljuk áthelyezni az előfizetések egyikét a Corp felügyeleti csoport gyermekének, akkor ez a lépés megszakítja az előfizetési szerepkör hozzárendelésének útvonalát a Tesztkörnyezet felügyeleti csoport szerepkör-definíciójára. Ebben a forgatókönyvben hibaüzenet jelenik meg, amely szerint az áthelyezés nem engedélyezett, mivel az megszakítja ezt a kapcsolatot.
A forgatókönyvet többféleképpen is ki lehet javítani:
- Távolítsa el a szerepkör-hozzárendelést az előfizetésből, mielőtt áthelyezné az előfizetést egy új szülő MG-be.
- Adja hozzá az előfizetést a szerepkördefiníció hozzárendelhető hatóköréhez.
- Módosítsa a hozzárendelhető hatókört a szerepkördefiníción belül. A fenti példában frissítheti a hozzárendelhető hatóköröket a Tesztkörnyezetből a gyökérszintű felügyeleti csoportra, hogy a definíciót a hierarchia mindkét ága elérhesse.
- Hozzon létre egy másik egyéni szerepkört, amely a másik ágban van definiálva. Ehhez az új szerepkörhöz a szerepkör-hozzárendelést is módosítani kell az előfizetésben.
Korlátozások
A felügyeleti csoportok egyéni szerepköreinek használata esetén korlátozások vonatkoznak.
- Egy új szerepkör hozzárendelhető hatóköreiben csak egy felügyeleti csoportot definiálhat. Ez a korlátozás csökkenti azoknak a helyzeteknek a számát, amelyekben a szerepkördefiníciók és a szerepkör-hozzárendelések megszakadtak. Ez a helyzet akkor fordul elő, ha egy szerepkör-hozzárendeléssel rendelkező előfizetés vagy felügyeleti csoport egy másik szülőre kerül, amely nem rendelkezik a szerepkördefinícióval.
- Az erőforrás-szolgáltató adatsík-műveletei nem határozhatók meg a felügyeleti csoport egyéni szerepköreiben. Ez a korlátozás azért van érvényben, mert késési probléma merült fel az adatsík erőforrás-szolgáltatóinak frissítésével kapcsolatban. Ez a késési probléma már működik, és ezek a műveletek le lesznek tiltva a szerepkördefinícióból a kockázatok csökkentése érdekében.
- Az Azure Resource Manager nem ellenőrzi, hogy a felügyeleti csoport létezik-e a szerepkör-definíció hozzárendelhető hatókörében. Ha elírás vagy helytelen felügyeleti csoportazonosító szerepel a listában, a szerepkördefiníció továbbra is létrejön.
Felügyeleti csoportok és előfizetések áthelyezése
Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének szeretne áthelyezni, három szabályt kell igazként értékelni.
Ha az áthelyezési műveletet hajtja végre, a következőkre van szüksége:
- A felügyeleti csoport írási és szerepkör-hozzárendelési írási engedélyei a gyermek-előfizetéshez vagy felügyeleti csoporthoz.
- Beépített példa szerepkörre: Tulajdonos
- A felügyeleti csoport írási hozzáférése a cél szülő felügyeleti csoporton.
- Beépített példa szerepkörre: Tulajdonos, közreműködő, felügyeleti csoport közreműködője
- A felügyeleti csoport írási hozzáférése a meglévő szülő felügyeleti csoporton.
- Beépített példa szerepkörre: Tulajdonos, közreműködő, felügyeleti csoport közreműködője
Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely az összes új felügyeleti csoporthoz és előfizetéshez, nem kell engedélyekkel rendelkeznie az elemek áthelyezéséhez.
Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepkörrel rendelkezik. Nem helyezheti át olyan felügyeleti csoportba, ahol Közreműködő , mert elveszítené az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van hozzárendelve (nem öröklődik a felügyeleti csoporttól), áthelyezheti azt bármely olyan felügyeleti csoportba, amelyhez a Közreműködő szerepkört rendeli hozzá.
Fontos
Az Azure Resource Manager akár 30 percig is gyorsítótárazza a felügyeleti csoport hierarchiájának részleteit. Emiatt előfordulhat, hogy a felügyeleti csoport áthelyezése nem jelenik meg azonnal a Azure Portal.
Felügyeleti csoportok naplózása tevékenységnaplókkal
A felügyeleti csoportok az Azure-tevékenységnaplóban támogatottak. A felügyeleti csoportokkal kapcsolatos minden eseményre ugyanarról a központi helyről kereshet rá, mint más Azure-erőforrások esetében. Láthatja például egy adott felügyeleti csoport szerepkör-hozzárendeléseit vagy szabályzat-hozzárendelési módosításait.
A Azure Portal kívüli felügyeleti csoportok lekérdezésekor a felügyeleti csoportok céltartománya a következőhöz hasonló: "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Megjegyzés
Az Azure Resource Manager REST API használatával engedélyezheti a felügyeleti csoportok diagnosztikai beállításait, hogy kapcsolódó Azure-tevékenységnapló-bejegyzéseket küldjenek egy Log Analytics-munkaterületre, az Azure Storage-ba vagy az Azure Event Hubba. További információ: Felügyeleti csoport diagnosztikai beállításai – Létrehozás vagy frissítés.
Következő lépések
A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: