Lindungi sumber daya Anda
Sumber daya, grup sumber daya, langganan, grup manajemen, dan penyewa Anda menyusun hierarki sumber daya Anda. Pengaturan di grup manajemen akar, seperti peran kustom Azure atau penetapan kebijakan, dapat memengaruhi setiap sumber daya dalam hierarki sumber daya Anda. Penting untuk melindungi hierarki sumber daya dari perubahan yang dapat berdampak negatif pada semua sumber daya.
Grup manajemen memiliki pengaturan hierarki yang memungkinkan administrator penyewa mengontrol perilaku ini. Artikel ini membahas setiap pengaturan hierarki yang tersedia dan cara mengaturnya.
Izin Azure RBAC untuk pengaturan hierarki
Mengonfigurasi pengaturan hierarki memerlukan operasi penyedia sumber daya berikut pada grup manajemen akar:
Microsoft.Management/managementgroups/settings/write
Microsoft.Management/managementgroups/settings/read
Operasi ini mewakili izin kontrol akses berbasis peran Azure (Azure RBAC). Mereka hanya mengizinkan pengguna untuk membaca dan memperbarui pengaturan hierarki. Mereka tidak menyediakan akses lain ke hierarki grup manajemen atau ke sumber daya dalam hierarki.
Kedua operasi ini tersedia di Administrator Pengaturan Hierarki peran bawaan Azure.
Pengaturan: Tentukan grup manajemen default
Secara default, langganan baru yang Anda tambahkan di penyewa menjadi anggota grup manajemen akar. Jika Anda menetapkan penetapan kebijakan, Azure RBAC, dan konstruksi tata kelola lainnya ke grup manajemen akar, mereka segera memengaruhi langganan baru ini. Untuk alasan ini, banyak organisasi tidak menerapkan konstruksi ini di grup manajemen akar, meskipun itu adalah tempat yang diinginkan untuk menetapkannya. Dalam kasus lain, organisasi menginginkan serangkaian kontrol yang lebih ketat untuk langganan baru tetapi tidak ingin menetapkannya ke semua langganan. Pengaturan ini mendukung kedua kasus penggunaan.
Dengan mengizinkan grup manajemen default untuk langganan baru ditentukan, Anda dapat menerapkan konstruksi tata kelola di seluruh organisasi di grup manajemen akar. Anda dapat menentukan grup manajemen terpisah dengan penetapan kebijakan atau penetapan peran Azure yang lebih cocok untuk langganan baru.
Menentukan grup manajemen default di portal
Masuk ke portal Azure.
Gunakan bilah pencarian untuk mencari dan memilih Grup manajemen.
Pilih grup manajemen akar.
Pilih Pengaturan di sisi kiri halaman.
Pilih tombol Ubah grup manajemen default.
Jika tombol Ubah grup manajemen default tidak tersedia, penyebabnya adalah salah satu kondisi berikut:
- Grup manajemen yang Anda lihat bukan grup manajemen akar.
- Prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.
Pilih grup manajemen dari hierarki Anda, lalu pilih tombol Pilih .
Tentukan grup manajemen default dengan menggunakan REST API
Untuk menentukan grup manajemen default dengan menggunakan REST API, Anda harus memanggil titik akhir Pengaturan Hierarki. Gunakan URI REST API dan format isi berikut. Ganti {rootMgID}
dengan ID grup manajemen akar Anda. Ganti {defaultGroupID}
dengan ID grup manajemen yang akan menjadi grup manajemen default.
REST API URI:
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
Isi permintaan:
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Untuk mengatur kembali grup manajemen default ke grup manajemen akar, gunakan titik akhir yang sama dan atur defaultManagementGroup
ke nilai /providers/Microsoft.Management/managementGroups/{rootMgID}
.
Pengaturan: Memerlukan otorisasi
Setiap pengguna, secara default, dapat membuat grup manajemen baru di penyewa. Admin penyewa mungkin ingin memberikan izin ini hanya kepada pengguna tertentu, untuk menjaga konsistensi dan kesuaian dalam hierarki grup manajemen. Untuk membuat grup manajemen anak, pengguna memerlukan Microsoft.Management/managementGroups/write
operasi pada grup manajemen akar.
Memerlukan otorisasi di portal
Masuk ke portal Azure.
Gunakan bilah pencarian untuk mencari dan memilih Grup manajemen.
Pilih grup manajemen akar.
Pilih Pengaturan di sisi kiri halaman.
Aktifkan tombol Izin untuk membuat grup manajemen baru.
Jika tombol Perlu izin tulis untuk membuat grup manajemen baru tidak tersedia, penyebabnya adalah salah satu kondisi berikut:
- Grup manajemen yang Anda lihat bukan grup manajemen akar.
- Prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.
Memerlukan otorisasi dengan menggunakan REST API
Untuk memerlukan otorisasi dengan menggunakan REST API, panggil titik akhir Pengaturan Hierarki. Gunakan URI REST API dan format isi berikut. Nilai ini adalah Boolean, jadi berikan salah satu true
atau false
untuk nilainya. Nilai true
memungkinkan metode ini melindungi hierarki grup manajemen Anda.
REST API URI:
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
Isi permintaan:
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Untuk menonaktifkan pengaturan, gunakan titik akhir yang sama dan atur requireAuthorizationForGroupCreation
ke nilai false
.
Sampel Azure PowerShell
Azure PowerShell tidak memiliki Az
perintah untuk menentukan grup manajemen default atau memerlukan otorisasi. Sebagai solusinya, Anda dapat menggunakan REST API dengan sampel Azure PowerShell berikut:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Konten terkait
Untuk mempelajari selengkapnya tentang grup manajemen, lihat: