Informazioni sugli ambiti di distribuzione

  • 6 minuti

Le macchine virtuali, i server logici e i database SQL di Azure, gli account di archiviazione, le reti virtuali e la maggior parte delle altre risorse di Azure devono essere inseriti in un gruppo di risorse. Tuttavia, alcune risorse possono o devono essere distribuite in modo diverso. Queste risorse vengono in genere usate per controllare il comportamento dell'ambiente Azure.

In questa unità si esaminerà la gerarchia dell'organizzazione delle risorse di Azure e si esaminerà il modo in cui alcune risorse potrebbero essere distribuite in vari ambiti.

Gerarchia delle risorse di Azure

Azure ha una struttura di risorse gerarchica con più livelli di gestione. Ecco un diagramma che mostra in che modo l'azienda di giocattoli potrebbe organizzare l'ambiente di Azure:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Il tenant corrisponde all'istanza di Microsoft Entra. Un'organizzazione dispone in genere di una sola istanza di Microsoft Entra. Questa istanza funge da radice della gerarchia di risorse.

I gruppi di gestione consentono di organizzare le sottoscrizioni di Azure. Ogni tenant ha un singolo gruppo di gestione radice, al cui interno è possibile stabilire una propria gerarchia di gruppi di gestione. È possibile creare gruppi di gestione separati per le varie parti dell'organizzazione o per le sottoscrizioni con requisiti specifici di sicurezza o governance. È possibile applicare i criteri e le restrizioni di controllo di accesso ai gruppi di gestione e tutte le sottoscrizioni seguenti ereditano queste restrizioni nel gruppo di gestione nella gerarchia. I gruppi di gestione non vengono distribuiti nelle aree e non hanno alcun impatto sulle posizioni delle risorse.

Le sottoscrizioni fungono da account di fatturazione e contengono gruppi di risorse e risorse. Analogamente ai gruppi di gestione, le sottoscrizioni non hanno una posizione e non prevedono restrizioni per la posizione in cui distribuire le risorse.

I gruppi di risorse sono contenitori logici per le risorse. Con i gruppi di risorse è possibile gestire e controllare le risorse correlate come una singola unità. Le risorse, ad esempio le macchine virtuali, i piani del servizio app di Azure, gli account di archiviazione e le reti virtuali, devono essere inseriti in un gruppo di risorse. I gruppi di risorse vengono creati in una posizione specifica in modo che Azure possa tenere traccia dei metadati per le risorse del gruppo, ma queste ultime possono essere distribuite in altre posizioni.

L'esempio illustrato in precedenza è uno scenario piuttosto semplice che illustra come usare i gruppi di gestione. L'organizzazione potrebbe anche decidere di implementare una zona di destinazione, ovvero un set di risorse di Azure e configurazioni necessarie per iniziare a usare un ambiente di Azure di produzione. La zona di destinazione su scala aziendale è un approccio comprovato all'uso di gruppi di gestione e sottoscrizioni per la gestione efficace delle risorse di Azure:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Indipendentemente dal modello scelto, comprendendo i vari livelli della gerarchia è possibile iniziare ad applicare controlli flessibili sul modo in cui l'ambiente di Azure viene usato e gestito. Usando Bicep, è possibile gestire questi controlli con tutti i vantaggi dell'infrastruttura come codice.

Nota

Esistono anche altre risorse che vengono distribuite in ambiti specifici. Le risorse di estensione vengono distribuite nell'ambito di un'altra risorsa di Azure. Ad esempio, un blocco di risorse è una risorsa di estensione, che viene distribuita in una risorsa, ad esempio un account di archiviazione.

Si ha già familiarità con la distribuzione di risorse nei gruppi di risorse, quindi verranno esaminati gli altri ambiti per la distribuzione.

Risorse con ambito sottoscrizione

È possibile distribuire le risorse in una sottoscrizione quando:

  • È necessario creare un nuovo gruppo di risorse. Un gruppo di risorse è in realtà solo una risorsa con ambito sottoscrizione.
  • È necessario concedere l'accesso a tutte le risorse all'interno di una sottoscrizione. Ad esempio, se il reparto delle risorse umane ha una sottoscrizione di Azure che contiene tutte le sue risorse di Azure, è possibile creare assegnazioni di ruolo per consentire a tutti gli utenti del reparto di leggere il contenuto della sottoscrizione.
  • Si usa Criteri di Azure e si vuole definire o applicare un criterio a tutte le risorse all'interno della sottoscrizione. Ad esempio, il reparto di ricerca e sviluppo dell'azienda di giocattoli chiede di distribuire un criterio che limita l'elenco di SKU di macchine virtuali che è possibile creare all'interno della sottoscrizione del team.

Risorse con ambito gruppo di gestione

È possibile distribuire le risorse in un gruppo di gestione quando:

  • È necessario concedere l'accesso a tutte le risorse all'interno di tutte le sottoscrizioni che rientrano nella gerarchia di gruppi di gestione. Ad esempio, il team delle operazioni cloud potrebbe richiedere l'accesso a ogni sottoscrizione dell'organizzazione. È possibile creare un'assegnazione di ruolo nel gruppo di gestione radice che concede al team l'accesso a tutti gli elementi di Azure.

    Attenzione

    Prestare particolare attenzione quando si concede l'accesso alle risorse usando i gruppi di gestione e soprattutto il gruppo di gestione radice. Tenere presente che ogni risorsa nel gruppo di gestione nella gerarchia eredita l'assegnazione di ruolo. Assicurarsi che l'organizzazione segua le procedure consigliate per la gestione delle identità e l'autenticazione e che segua il principio dei privilegi minimi; ovvero, non concedere alcun accesso non necessario.

  • È necessario applicare criteri all'intera organizzazione. Ad esempio, l'organizzazione potrebbe avere un criterio per cui le risorse non possono essere create in determinate aree geografiche, in nessuna circostanza. Si potrebbe applicare un criterio al gruppo di gestione radice che blocca la creazione di risorse in tale area.

Nota

Prima di usare i gruppi di gestione per la prima volta, configurarli per l'ambiente di Azure.

Risorse con ambito tenant

È possibile distribuire le risorse nel tenant quando:

  • È necessario creare sottoscrizioni di Azure. Quando si usano i gruppi di gestione, le sottoscrizioni risiedono in gruppi di gestione nella gerarchia delle risorse, ma una sottoscrizione viene distribuita come risorsa con ambito tenant.

    Nota

    Non tutti i clienti di Azure possono creare sottoscrizioni usando l'infrastruttura come codice. A seconda della relazione di fatturazione con Microsoft, potrebbe non essere possibile. Per altre informazioni, vedere Creare sottoscrizioni di Azure a livello di codice.

  • Si creano o si configurano gruppi di gestione. Azure crea un singolo gruppo di gestione radice quando si abilitano i gruppi di gestione per il tenant ed è possibile creare più livelli di gruppi di gestione. È possibile usare Bicep per definire l'intera gerarchia dei gruppi di gestione. È anche possibile assegnare sottoscrizioni ai gruppi di gestione.

    Con Bicep è possibile inviare distribuzioni all'ambito del tenant. Le distribuzioni con ambito tenant richiedono un'autorizzazione speciale. In pratica, tuttavia, non è necessario inviare distribuzioni con ambito tenant. È più semplice distribuire le risorse con ambito tenant usando un modello in un ambito diverso. Questa operazione verrà descritta più avanti nel modulo.

    Suggerimento

    Non è possibile creare criteri o assegnazioni di ruolo nell'ambito del tenant. Tuttavia, se è necessario concedere l'accesso o applicare criteri all'intera organizzazione, è possibile distribuire queste risorse nel gruppo di gestione radice.

ID risorsa

Si ha già familiarità con gli ID delle risorse che risiedono all'interno delle sottoscrizioni. Ad esempio, ecco un ID risorsa che rappresenta un gruppo di risorse, ovvero una risorsa con ambito sottoscrizione:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/resourceGroups/ToyDevelopment

Ecco una rappresentazione visiva della stessa informazione:

Screenshot of a Resource ID for a resource group.

Le sottoscrizioni stesse hanno i propri ID, come illustrato di seguito:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c

Nota

Anche se le sottoscrizioni sono considerate elementi figlio dei gruppi di gestione, i relativi ID risorsa non includono un ID gruppo di gestione. Azure tiene traccia della relazione tra sottoscrizioni e gruppi di gestione in modo diverso da altre relazioni tra risorse. È quindi possibile spostare le sottoscrizioni tra gruppi di gestione in modo flessibile, senza dover cambiare tutti gli ID risorsa.

Quando si lavora con le risorse nell'ambito di un gruppo di gestione o di un tenant, gli ID risorsa possono avere un aspetto leggermente diverso dal normale. Seguono principalmente il modello standard di interfoliazione del tipo di risorsa con le informazioni sulle risorse specifiche. Tuttavia, il formato specifico dipende dalla risorsa con cui si sta lavorando.

Ecco un esempio di ID risorsa per un gruppo di gestione:

/providers/Microsoft.Management/managementGroups/ProductionMG

Ecco qual è l'aspetto:

Screenshot of a Resource ID for a management group.

Nota

I gruppi di gestione hanno sia un identificatore che un nome visualizzato. Il nome visualizzato è una descrizione leggibile del gruppo di gestione. È possibile cambiare il nome visualizzato senza influire sull'ID del gruppo di gestione.

Quando una risorsa viene distribuita nell'ambito di un gruppo di gestione, il relativo ID include l'ID del gruppo di gestione. Ecco un ID risorsa di esempio per una definizione di ruolo creata nell'ambito di un gruppo di gestione:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Ecco una rappresentazione visiva dello stesso ID:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

Un'altra definizione di ruolo potrebbe essere definita nell'ambito di una sottoscrizione, per cui il relativo ID risorsa è leggermente diverso:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Ecco una rappresentazione visiva dello stesso ID:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Dopo aver compreso la gerarchia delle risorse di Azure e i tipi di risorse che è possibile distribuire in ogni ambito, è possibile prendere decisioni sugli ambiti in cui distribuire le risorse. È ad esempio possibile scegliere se creare una definizione di criteri nell'ambito di un gruppo di risorse, di una sottoscrizione o di un gruppo di gestione. Nell'unità successiva verrà illustrato come creare file Bicep che hanno come destinazione ognuno di questi ambiti.