Manajemen akses sumber daya di Azure
Dalam artikel ini, pelajari bagaimana sumber daya disebarkan di Azure, dimulai dengan konstruksi dasar sumber daya, langganan, dan grup sumber daya Azure. Anda kemudian akan mempelajari bagaimana Azure Resource Manager (ARM) menyebarkan sumber daya.
Apa itu sumber daya Azure?
Di Azure, sumber daya adalah suatu entitas yang dikelola oleh Azure. Komputer virtual, jaringan virtual, dan akun penyimpanan adalah semua contoh sumber daya Azure.
Apa yang dimaksud dengan sumber daya Azure?
Setiap sumber daya di Azure harus dimiliki oleh grup sumber daya. Grup sumber daya adalah kontainer logis yang mengaitkan beberapa sumber daya sehingga Anda dapat mengelolanya sebagai satu entitas, berdasarkan siklus hidup dan keamanan. Misalnya, Anda dapat membuat atau menghapus sumber daya sebagai grup jika sumber daya tersebut membagikan siklus hidup yang serupa, seperti sumber daya untuk aplikasi tingkat n. Dengan kata lain, semua yang Anda buat, kelola, dan hentikan bersama-sama dikaitkan dalam grup sumber daya.
Praktik terbaik yang direkomendasikan adalah mengaitkan grup sumber daya, dan sumber daya yang dikandungnya, dengan langganan Azure.
Apa yang dimaksud dengan langganan Azure?
Langganan Azure mirip dengan grup sumber daya karena merupakan kontainer logis yang mengaitkan grup sumber daya dan sumber daya masing-masing. Langganan Azure juga terkait dengan kontrol Azure Resource Manager. Pelajari tentang Azure Resource Manager dan hubungannya dengan langganan Azure.
Apa itu Azure Resource Manager?
Di Bagaimana Cara kerja Azure?, Anda mempelajari bahwa Azure menyertakan ujung depan dengan layanan yang mengatur fungsi Azure. Salah satu layanannya adalah Azure Resource Manager. Layanan ini menghosting RESTful API yang digunakan klien untuk mengelola sumber daya.
Gambar berikut menunjukkan tiga klien: Azure PowerShell, portal Azure, dan Azure CLI:
Meskipun klien ini tersambung ke Resource Manager menggunakan REST API, Resource Manager tidak menyertakan fungsionalitas untuk mengelola sumber daya secara langsung. Sebaliknya, sebagian besar jenis sumber daya di Azure memiliki penyedia sumber daya mereka sendiri.
Saat klien membuat permintaan untuk mengelola sumber daya tertentu, Azure Resource Manager menyambung ke penyedia sumber daya untuk jenis sumber daya tersebut untuk menyelesaikan permintaan. Misalnya, jika klien membuat permintaan untuk mengelola sumber daya mesin virtual, Azure Resource Manager akan menyambung ke penyedia sumber daya Microsoft.Compute.
Azure Resource Manager mengharuskan klien menentukan pengidentifikasi untuk langganan dan grup sumber daya demi keperluan mengelola sumber daya mesin virtual.
Setelah memahami cara kerja Azure Resource Manager, Anda dapat mempelajari cara mengaitkan langganan Azure dengan kontrol Azure Resource Manager. Sebelum Azure Resource Manager dapat menjalankan permintaan pengelolaan sumber daya apa pun, tinjau serangkaian kontrol berikut.
Kontrol pertama adalah bahwa pengguna yang divalidasi harus membuat permintaan. Selain itu, Azure Resource Manager harus memiliki hubungan tepercaya dengan MICROSOFT Entra ID untuk menyediakan fungsionalitas identitas pengguna.
Di ID Microsoft Entra, Anda dapat mengesegmentasi pengguna ke dalam penyewa. Penyewa adalah konstruksi logis yang mewakili instans ID Microsoft Entra yang aman dan khusus yang biasanya dikaitkan dengan organisasi. Anda juga dapat mengaitkan setiap langganan dengan penyewa Microsoft Entra.
Setiap permintaan klien untuk mengelola sumber daya dalam langganan tertentu mengharuskan pengguna memiliki akun di penyewa Microsoft Entra terkait.
Kontrol berikutnya adalah pemeriksaan yang menyatakan pengguna memiliki izin yang cukup untuk membuat permintaan. Izin ditetapkan untuk pengguna menggunakan kontrol akses berbasis peran Azure (Azure RBAC).
Peran Azure menentukan sekumpulan izin yang dapat diambil pengguna pada sumber daya tertentu. Izin tersebut akan diterapkan jika peran telah ditetapkan ke pengguna. Misalnya, peran Pemilik bawaan memungkinkan pengguna untuk menjalankan tindakan apa pun pada sumber daya.
Kontrol berikutnya adalah pemeriksaan bahwa permintaan diizinkan di pengaturan yang ditentukan untuk kebijakan sumber daya Azure. Kebijakan sumber daya Azure menentukan operasi yang diizinkan untuk sumber daya tertentu. Misalnya, kebijakan sumber daya Azure dapat menentukan bahwa pengguna hanya diizinkan menyebarkan jenis mesin virtual tertentu.
Kontrol berikutnya adalah pemeriksaan bahwa permintaan tidak melebihi batas langganan Azure. Misalnya, setiap langganan memiliki batasan sebanyak 980 grup sumber daya per langganan. Tolak jika Anda menerima permintaan untuk menyebarkan grup sumber daya lain saat telah mencapai batas.
Kontrol akhir adalah pemeriksaan untuk memverifikasi bahwa permintaan berada dalam komitmen keuangan yang Anda kaitkan dengan langganan. Misalnya, Azure Resource Manager memverifikasi bahwa langganan memiliki informasi pembayaran yang cukup jika permintaan tersebut bertujuan menyebarkan mesin virtual.
Ringkasan
Pada artikel ini, Anda mempelajari cara akses sumber daya dikelola di Azure menggunakan Azure Resource Manager.
Langkah berikutnya
Pelajari selengkapnya tentang adopsi cloud dengan Microsoft Cloud Adoption Framework untuk Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk