관리 그룹
관리 그룹은 Azure 구독을 구성하고 관리하는 데 필수적입니다. 구독 수가 증가함에 따라 관리 그룹은 Azure 환경에 중요한 구조를 제공하고 구독을 보다 쉽게 관리할 수 있도록 합니다. 다음 지침을 사용하여 효과적인 관리 그룹 계층 구조를 설정하고 모범 사례에 따라 구독을 구성합니다.
관리 그룹 디자인 고려 사항
Microsoft Entra 테넌트 내의 관리 그룹 구조는 조직 매핑을 지원합니다. 조직에서 대규모로 Azure 채택을 계획할 때 관리 그룹 구조를 철저히 고려합니다.
조직은 특정 팀이 소유하거나 운영하는 서비스를 어떻게 분리하나요?
비즈니스 또는 운영 규정 준수를 위해 별도로 유지해야 하는 특정 기능이 있나요?
관리 그룹을 사용하여 Azure Policy를 통해 정책 및 이니셔티브 할당을 집계할 수 있습니다.
관리 그룹 트리는 최대 6개 수준의 깊이를 지원할 수 있습니다. 이 제한에는 테넌트 루트 수준 또는 구독 수준이 포함되지 않습니다.
Microsoft Entra 테넌트 내에서 사용자 또는 서비스 주체에 관계없이 모든 보안 주체는 새 관리 그룹을 만들 수 있습니다. 이 권한은 관리 그룹 작업에 대한 Azure RBAC(역할 기반 액세스 제어) 권한 부여가 기본적으로 사용되지 않기 때문입니다. 자세한 내용은 리소스 계층 구조를 보호하는 방법을 참조하세요.
모든 새 구독은 기본적으로 테넌트 루트 관리 그룹 아래에 배치됩니다.
해당 기능을 자세히 알아보려면 관리 그룹을 참조하세요.
관리 그룹 권장 사항
관리 그룹 계층 구조는 3~4개 수준을 넘지 않도록 적당히 플랫하게 유지하는 것이 이상적입니다. 이렇게 제한하면 관리 오버헤드 및 복잡성이 줄어듭니다.
조직 구조를 깊게 중첩된 관리 그룹 계층 구조로 복제하지 마세요. 정책 할당 및 청구 목적으로 관리 그룹을 사용합니다. 이 접근 방식은 Azure 랜딩 존 개념 아키텍처에서 의도한 용도로 관리 그룹을 사용해야 합니다. 이 아키텍처는 동일한 관리 그룹 수준에서 동일한 유형의 보안 및 규정 준수가 필요한 워크로드에 대한 Azure 정책을 제공합니다.
호스트할 워크로드 유형을 나타내기 위해 루트 수준 관리 그룹 아래에 관리 그룹을 만듭니다. 이러한 그룹은 워크로드의 보안, 규정 준수, 연결, 기능 요구 사항을 기반으로 합니다. 이 그룹화 구조를 사용하면 관리 그룹 수준에서 Azure 정책 집합을 적용할 수 있습니다. 이 그룹화 구조는 동일한 보안, 규정 준수, 연결, 기능 설정이 필요한 모든 워크로드를 위한 것입니다.
리소스 태그를 사용하여 관리 그룹 계층 구조를 쿼리하고 가로로 이동합니다. 리소스 태그는 Azure Policy를 통해 적용하거나 추가할 수 있습니다. 그러면 복잡한 관리 그룹 계층 구조를 사용하지 않고도 검색 요구 사항에 따라 리소스를 그룹화할 수 있습니다.
사용자가 Azure를 즉시 실험할 수 있도록 최상위 샌드박스 관리 그룹을 만듭니다. 그런 다음 프로덕션 환경에서 아직 허용되지 않을 수 있는 리소스를 실험할 수 있습니다. 샌드박스는 개발, 테스트 및 프로덕션 환경에서 격리를 제공합니다.
공통 플랫폼 정책 및 Azure 역할 할당을 지원하려면 루트 관리 그룹 아래에 플랫폼 관리 그룹을 만듭니다. 이 그룹화 구조를 사용하면 Azure 기초에 사용되는 구독에 다른 정책을 적용할 수 있습니다. 또한 공통 리소스에 대한 청구는 기초 구독 집합 하나로 중앙 집중화됩니다.
루트 관리 그룹 범위에서 수행된 Azure Policy 할당 수를 제한합니다. 이렇게 제한하면 하위 수준 관리 그룹에서 상속된 정책의 디버깅이 최소화됩니다.
정책을 사용하여 관리 그룹 또는 구독 범위에서 규정 준수 요구 사항을 적용하여 정책 기반 거버넌스를 달성합니다.
권한 있는 사용자만 테넌트에서 관리 그룹을 운영할 수 있는지 확인합니다. 관리 그룹 계층 구조 설정에서 Azure RBAC 권한 부여를 사용하도록 설정하여 사용자 권한을 구체화합니다. 기본적으로 모든 사용자는 루트 관리 그룹 아래에 자체 관리 그룹을 만들 권한이 있습니다.
새 구독에 대한 기본 전용 관리 그룹을 구성합니다. 이 그룹은 루트 관리 그룹 아래에 구독이 배치되지 않도록 합니다. 이 그룹은 MSDN(Microsoft Developer Network) 또는 Visual Studio 혜택 및 구독에 적합한 사용자가 있는 경우에 특히 중요합니다. 이러한 유형의 관리 그룹에 적합한 후보는 샌드박스 관리 그룹입니다. 자세한 내용은 설정 - 기본 관리 그룹을 참조하세요.
프로덕션, 테스트, 개발 환경에 대한 관리 그룹을 만들지 마세요. 필요한 경우 이러한 그룹을 동일한 관리 그룹의 다른 구독으로 구분합니다. 이 항목에 대한 추가 지침을 검토하려면 다음을 참조하세요.
Azure 랜딩 존 가속기 및 ALZ-Bicep 리포지토리의 관리 그룹
관리 그룹 구조에 대한 구현에는 다음과 같은 결정이 내려지고 포함되었습니다. 이러한 결정은 AZURE 랜딩 존 가속기 및 ALZ-Bicep 리포지토리의 관리 그룹 모듈의 일부입니다.
참고 항목
관리 그룹 계층 구조는 managementGroups.bicep을 편집 하여 Azure 랜딩 존 bicep 모듈에서 수정할 수 있습니다.
| 관리 그룹 | 설명 |
|---|---|
| 중간 루트 관리 그룹 | 이 관리 그룹은 테넌트 루트 그룹 바로 아래에 있습니다. 조직에서 제공하는 접두사로 만들어, 조직에서 기존 Azure 구독을 계층 구조로 이동할 수 있도록 루트 그룹의 사용을 의도적으로 방지합니다. 또한 향후 시나리오를 사용할 수 있습니다. 이 관리 그룹은 Azure 랜딩 존 가속기에서 만든 다른 모든 관리 그룹의 부모입니다. |
| 플랫폼 | 이 관리 그룹에는 관리, 연결, ID와 같은 모든 플랫폼 자식 관리 그룹이 포함됩니다. |
| 관리 | 이 관리 그룹에는 관리, 모니터링, 보안을 위한 전용 구독이 포함되어 있습니다. 이 구독은 연결된 솔루션 및 Azure Automation 계정을 포함하여 Azure Log Analytics 작업 영역을 호스트합니다. |
| 연결 | 이 관리 그룹에는 연결을 위한 전용 구독이 포함되어 있습니다. 이 구독은 Azure Virtual WAN, Azure Firewall, Azure DNS 프라이빗 영역과 같은 플랫폼에 필요한 Azure 네트워킹 리소스를 호스트합니다. |
| ID | 이 관리 그룹에는 ID에 대한 전용 구독이 포함되어 있습니다. 이 구독은 Windows Server AD DS(Active Directory 도메인 Services) VM(가상 머신) 또는 Microsoft Entra Do기본 Services의 자리 표시자입니다. 또한 구독을 사용하면 랜딩 존 내의 워크로드에 대해 AuthN 또는 AuthZ를 사용할 수 있습니다. ID 구독의 리소스를 강화하고 관리하기 위해 특정 Azure 정책이 할당됩니다. |
| 랜딩 존 | 모든 랜딩 존 자식 관리 그룹에 대한 부모 관리 그룹입니다. 워크로드가 안전하고 규정을 준수하도록 워크로드에 구애받지 않는 Azure 정책이 할당됩니다. |
| 온라인 | 온라인 랜딩 존 전용 관리 그룹입니다. 이 그룹은 직접 인터넷 인바운드/아웃바운드 연결이 필요할 수 있는 워크로드 또는 가상 네트워크가 필요하지 않을 수 있는 워크로드용입니다. |
| Corp | 기업 랜딩 존 전용 관리 그룹입니다. 이 그룹은 연결 구독의 허브를 통해 기업 네트워크와의 연결 또는 하이브리드 연결이 필요한 워크로드용입니다. |
| 샌드박스 | 조직에서 테스트하고 탐색하는 데만 사용할 구독 전용 관리 그룹입니다. 이러한 구독은 기업 및 온라인 랜딩 존에서 안전하게 연결이 끊어집니다. 샌드박스에는 Azure 서비스의 테스트, 탐색, 구성을 사용하도록 할당된 덜 제한적인 정책 집합도 있습니다. |
| 서비스 해제됨 | 취소되는 랜딩 존에 대한 전용 관리 그룹입니다. 취소된 랜딩 존은 30~60일 후에 Azure에서 삭제하기 전에 이 관리 그룹으로 이동됩니다. |
참고 항목
대부분의 조직에서 기본 Corp 및 Online 관리 그룹은 이상적인 시작점을 제공합니다.
일부 조직은 더 추가해야 하는 반면, 또 다른 조직에는 조직과 관련이 없는 조직도 있습니다.
관리 그룹 계층 구조를 변경하려는 경우 요구 사항을 충족하도록 Azure 랜딩 존 아키텍처 조정 지침을 참조하세요.
Azure 랜딩 존 가속기 사용 권한
관리 그룹 작업, 구독 관리 작업, 역할 할당을 실행하려면 전용 SPN(서비스 사용자 이름)이 필요합니다. SPN을 사용하면 상승된 권한이 있는 사용자 수가 줄어들고 최소 권한 지침을 따를 수 있습니다.
루트 수준에서 SPN 액세스 권한을 부여하려면 루트 관리 그룹 범위의 사용자 액세스 관리자 역할이 필요합니다. SPN에 권한이 부여된 후에는 사용자 액세스 관리자 역할을 안전하게 제거할 수 있습니다. 이 방식에서는 SPN만 사용자 액세스 관리자 역할의 일부입니다.
테넌트 수준 작업을 허용하는 루트 관리 그룹 범위에서 이전에 언급한 SPN에 대한 기여자 역할이 필요합니다. 이 권한 수준에서는 SPN을 사용하여 조직 내의 모든 구독에 리소스를 배포하고 관리할 수 있습니다.
다음 단계
대규모 Azure 채택을 계획할 때 구독이 하는 역할에 대해 알아봅니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기