複数の Azure サブスクリプションの整理と管理

サブスクリプションの数が少なければ、その個別管理は比較的簡単です。 しかし、多くのサブスクリプションがある場合はどうでしょうか。 その場合、管理グループ階層を作成すると、サブスクリプションとリソースを管理できます。

Note

Azure 環境内でサブスクリプションを計画するための最初の手順として、リソース組織向けの Azure ランディングゾーンのガイダンスを検討して、規模が大きくなる環境のコンテキストが考慮されていることを確認することをお勧めします

Azure 管理グループ

サブスクリプションについて、Azure 管理グループを使用すると、次のものを効率的に管理できます。

  • Access
  • ポリシー
  • コンプライアンス

各管理グループには 1 つ以上のサブスクリプションが含まれています。

Azure では、管理グループは 1 つの階層に配置されます。 組織の構造やニーズに合わせるために、この階層は Azure Active Directory (Azure AD) テナントで定義します。 最上位のレベルはルート管理グループと呼ばれます。 階層には、最大 6 レベルの管理グループを定義できます。 サブスクリプションを含む管理グループは 1 つだけです。

Azure には、次の 4 つのレベルの管理スコープがあります。

  • 管理グループ
  • サブスクリプション
  • リソース グループ
  • リソース

階層内のいずれかのレベルで任意のアクセスまたはポリシーを適用すると、下位レベルに伝達されます。 リソース所有者またはサブスクリプション所有者は、継承されたポリシーを変更できません。 この制限によりガバナンスを向上させることができます。

この継承モデルを使用すると、各サブスクリプションが適切なポリシーやセキュリティ コントロールに準拠するように、階層内にサブスクリプションを配置できます。

Azure リソースを整理するための 4 つのスコープ レベルを示す図。
図 1: Azure リソースを整理するための 4 つのスコープ レベル。

ルート管理グループに割り当てられたアクセス権やポリシーは、ディレクトリ内のすべてのリソースに適用されます。 このスコープで定義する項目は慎重に検討してください。 割り当ては必要なものだけを含めてください。

管理グループ階層を作成する

管理グループ階層を定義するとき、まず、ルート管理グループを作成します。 次に、ディレクトリ内の既存のすべてのサブスクリプションをルート管理グループに移動します。 新しいサブスクリプションは、最初は常にルート管理グループに入ります。 後で別の管理グループに移動できます。

サブスクリプションを既存の管理グループに移動するとどうなるでしょうか。 サブスクリプションには、それより上位の管理グループ階層からポリシーとロールの割り当てが継承されます。 Azure ワークロードに対して多くのサブスクリプションを設定します。 その後、他のサブスクリプションで共有される Azure サービスを含む他のサブスクリプションを作成します。

Azure 環境が拡張されることが予想されるでしょうか。 その場合は、運用環境と非運用環境用の管理グループをここで作成し、管理グループ レベルで適切なポリシーとアクセス制御を適用する必要があります。 各管理グループに新しいサブスクリプションを追加すると、それらのサブスクリプションによって適切な制御が継承されます。

管理グループの階層の例を示す図。
図 2: 管理グループ階層の例。

ユース ケースの例

管理グループを使用して、さまざまなワークロードを区別する基本的な例には、次のようなものがります。

運用環境と非運用環境のワークロード: 管理グループを使用して、運用環境と非運用環境のサブスクリプション間でさまざまなロールとポリシーをより簡単に管理します。 たとえば、非運用環境のサブスクリプションでは開発者に共同作成者のアクセス権を付与し、運用環境のサブスクリプションでは閲覧者のアクセス権のみを付与します。

内部サービスと外部サービス: 企業では、多くの場合、内部サービスと外部の顧客向けサービスで要件、ポリシー、ロールが異なります。

Azure リソースの整理と管理の詳細については、次のリソースを確認してください。

次のステップ

Azure リソースをデプロイするときに従う推奨される名前付けとタグ付けの規則を確認します。