Condividi tramite


Gestione dell'accesso alle risorse in Azure

Questo articolo illustra come vengono distribuite le risorse in Azure, a partire dai costrutti fondamentali di risorse, sottoscrizioni e gruppi di risorse di Azure. Si apprenderà quindi come Azure Resource Manager (ARM) distribuisce le risorse.

Informazioni sulle risorse di Azure

In Azure una risorsa è un'entità gestita da Azure. Le macchine virtuali, le reti virtuali e gli account di archiviazione sono tutti esempi di risorse di Azure.

Diagram of a resource.

Informazioni sul gruppo di risorse di Azure

Ogni risorsa in Azure deve appartenere a un gruppo di risorse. Un gruppo di risorse è un contenitore logico che associa più risorse in modo da poterle gestire come singola entità, in base al ciclo di vita e alla sicurezza. Ad esempio, è possibile creare o eliminare risorse come gruppo se le risorse condividono un ciclo di vita simile, ad esempio le risorse per un'applicazione a più livelli. In altre parole, tutti gli elementi creati, gestiti e deprecati insieme sono associati all'interno di un gruppo di risorse.

Diagram of a resource group containing a resource.

La procedura consigliata consiste nell'associare i gruppi di risorse e le risorse che contengono a una sottoscrizione di Azure.

Informazioni sulla sottoscrizione di Azure

Una sottoscrizione di Azure è simile a un gruppo di risorse in quanto si tratta di un contenitore logico che associa i gruppi di risorse e le rispettive risorse. Una sottoscrizione di Azure è tuttavia anche associata ai controlli di Azure Resource Manager. Informazioni su Azure Resource Manager e sulla relativa relazione con le sottoscrizioni di Azure.

Diagram of an Azure subscription.

Informazioni su Azure Resource Manager

In Funzionamento di Azure si apprenderà che Azure include un front-end con servizi che orchestrano le funzioni di Azure. Uno di questi servizi è Azure Resource Manager. Questo servizio ospita l'API RESTful che i client usano per gestire le risorse.

Diagram of Azure Resource Manager.

La figura seguente illustra tre client: Azure PowerShell, il portale di Azure e l'interfaccia della riga di comando di Azure:

Diagram of Azure clients connecting to the Resource Manager REST API.

Anche se questi client si connettono a Resource Manager usando l'API REST, Resource Manager non include funzionalità per gestire direttamente le risorse. La maggior parte dei tipi di risorse in Azure ha invece un proprio provider di risorse.

Diagram of Azure resource providers.

Quando un client invia una richiesta per gestire una risorsa specifica, Azure Resource Manager si connette al provider di risorse per quel tipo di risorsa per completare la richiesta. Se, ad esempio, un client invia una richiesta per gestire una risorsa macchina virtuale, Azure Resource Manager si connette al provider di risorse Microsoft.Compute.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

Azure Resource Manager richiede al client di specificare un identificatore sia per la sottoscrizione che per il gruppo di risorse per gestire la risorsa macchina virtuale.

Dopo aver compreso il funzionamento di Azure Resource Manager, è possibile apprendere come associare una sottoscrizione di Azure ai controlli di Azure Resource Manager. Prima che Azure Resource Manager possa eseguire qualsiasi richiesta di gestione delle risorse, esaminare il set di controlli seguente.

Il primo controllo è che la richiesta deve essere effettuata da un utente convalidato. Inoltre, Azure Resource Manager deve avere una relazione attendibile con Microsoft Entra ID per fornire funzionalità di identità utente.

Diagram of Microsoft Entra ID.

In Microsoft Entra ID è possibile segmentare gli utenti in tenant. Un tenant è un costrutto logico che rappresenta un'istanza sicura e dedicata dell'ID Microsoft Entra associata a un'organizzazione. È anche possibile associare ogni sottoscrizione a un tenant di Microsoft Entra.

A Microsoft Entra tenant associated with a subscription

Ogni richiesta client per gestire una risorsa in una determinata sottoscrizione richiede che l'utente disponga di un account nel tenant Microsoft Entra associato.

Il controllo successivo consiste nel verificare che l'utente abbia autorizzazioni sufficienti per effettuare la richiesta. Le autorizzazioni vengono assegnate agli utenti tramite il controllo degli accessi in base al ruolo di Azure.

Users assigned to Azure roles

Un ruolo di Azure specifica un set di autorizzazioni che un utente può assumere su una risorsa specifica. Quando il ruolo viene assegnato all'utente, tali autorizzazioni vengono applicate. Ad esempio, il ruolo proprietario predefinito consente a un utente di eseguire qualsiasi azione su una risorsa.

Il controllo successivo verifica che la richiesta sia consentita nelle impostazioni specificate per i criteri delle risorse di Azure. I criteri delle risorse di Azure specificano le operazioni consentite per una determinata risorsa. Ad esempio, un criterio delle risorse di Azure può specificare che agli utenti sia consentito distribuire solo un tipo specifico di macchina virtuale.

Azure resource policy

Il controllo successivo consiste nel verificare che la richiesta non superi un limite della sottoscrizione di Azure. Ad esempio, ogni sottoscrizione ha un limite di 980 gruppi di risorse. Se si riceve una richiesta di distribuzione di un altro gruppo di risorse quando è stato raggiunto il limite, verrà negata.

Diagram of Azure resource limits.

Il controllo finale verifica che la richiesta rientri nell'impegno finanziario associato alla sottoscrizione. Se, ad esempio, se la richiesta riguarda la distribuzione di una macchina virtuale, Azure Resource Manager verifica che la sottoscrizione contenga informazioni sufficienti per il pagamento.

Diagram of a financial commitment associated with a subscription.

Riepilogo

In questo articolo si è appreso come viene gestito l'accesso alle risorse in Azure con Azure Resource Manager.

Passaggi successivi

Altre informazioni sull'adozione del cloud Adoption Framework con Microsoft Cloud Adoption Framework per Azure.