관리 그룹
관리 그룹을 사용하여 Azure 구독을 구성하고 관리합니다. 구독 수가 증가함에 따라 관리 그룹은 Azure 환경에 중요한 구조를 제공하고 구독을 보다 쉽게 관리할 수 있도록 합니다. 다음 지침을 사용하여 효과적인 관리 그룹 계층 구조를 설정하고 모범 사례에 따라 구독을 구성합니다.
관리 그룹 디자인 고려 사항
Microsoft Entra 테넌트 내의 관리 그룹 구조는 조직 매핑을 지원합니다. 조직에서 대규모로 Azure 채택을 계획할 때 관리 그룹 구조를 철저히 고려합니다.
조직에서 특정 팀이 소유하거나 운영하는 서비스를 분리하는 방법을 결정합니다.
비즈니스 요구 사항, 운영 요구 사항, 규정 요구 사항, 데이터 상주, 데이터 보안 또는 데이터 주권 규정 준수와 같은 이유로 별도로 유지해야 하는 특정 함수가 있는지 확인합니다.
관리 그룹을 사용하여 Azure Policy를 통해 정책 및 이니셔티브 할당을 집계합니다.
관리 그룹 작업에 대한 Azure RBAC(역할 기반 액세스 제어) 권한 부여를 사용하도록 설정하여 기본 권한 부여를 재정의합니다. 기본적으로 Microsoft Entra 테넌트 내에서 사용자 계정 또는 서비스 주체와 같은 모든 보안 주체는 새 관리 그룹을 만들 수 있습니다. 자세한 내용은 리소스 계층을 보호하는 방법을 참조 하세요.
또한 다음 사항도 고려해야 합니다.
관리 그룹 트리는 최대 6개 수준의 깊이를 지원할 수 있습니다. 이 제한에는 테넌트 루트 수준 또는 구독 수준이 포함되지 않습니다.
모든 새 구독은 기본적으로 테넌트 루트 관리 그룹 아래에 배치됩니다.
자세한 내용은 관리 그룹을 참조 하세요.
관리 그룹 권장 사항
관리 그룹 계층 구조는 3~4개 수준을 넘지 않도록 적당히 플랫하게 유지하는 것이 이상적입니다. 이렇게 제한하면 관리 오버헤드 및 복잡성이 줄어듭니다.
조직 구조를 심층적으로 중첩된 관리 그룹 계층 구조로 복제하지 마세요. 정책 할당 및 청구 목적으로 관리 그룹을 사용합니다. 이 접근 방식의 경우 Azure 랜딩 존 개념 아키텍처에서 의도한 용도로 관리 그룹을 사용합니다. 이 아키텍처는 동일한 관리 그룹 수준에서 동일한 유형의 보안 및 규정 준수가 필요한 워크로드에 대한 Azure 정책을 제공합니다.
호스트하는 워크로드 유형을 나타내는 루트 수준 관리 그룹 아래에 관리 그룹을 만듭니다. 이러한 그룹은 워크로드의 보안, 규정 준수, 연결, 기능 요구 사항을 기반으로 합니다. 이 그룹화 구조를 사용하면 관리 그룹 수준에서 Azure 정책 집합을 적용할 수 있습니다. 동일한 보안, 규정 준수, 연결 및 기능 설정이 필요한 모든 워크로드에 이 그룹화 구조를 사용합니다.
리소스 태그를 사용하여 관리 그룹 계층 구조를 쿼리하고 가로로 이동합니다. Azure Policy를 사용하여 리소스 태그를 적용하거나 추가할 수 있습니다. 그러면 복잡한 관리 그룹 계층 구조를 사용하지 않고도 검색 요구 사항에 따라 리소스를 그룹화할 수 있습니다.
리소스를 프로덕션 환경으로 이동하기 전에 즉시 실험할 수 있도록 최상위 샌드박스 관리 그룹을 만듭니다. 샌드박스는 개발, 테스트 및 프로덕션 환경에서 격리를 제공합니다.
루트 관리 그룹 아래에 플랫폼 관리 그룹을 만들어 공통 플랫폼 정책 및 Azure 역할 할당을 지원합니다. 이 그룹화 구조를 사용하면 Azure Foundation의 구독에 다양한 정책을 적용할 수 있습니다. 또한 이 방법은 하나의 기본 구독 집합에서 공통 리소스에 대한 청구를 중앙 집중화합니다.
루트 관리 그룹 범위에서 Azure Policy 할당 수를 제한합니다. 이렇게 제한하면 하위 수준 관리 그룹에서 상속된 정책의 디버깅이 최소화됩니다.
정책을 사용하여 관리 그룹 또는 구독 범위에서 규정 준수 요구 사항을 적용하여 정책 기반 거버넌스를 달성합니다.
권한 있는 사용자만 테넌트에서 관리 그룹을 운영할 수 있는지 확인합니다. 관리 그룹 계층 구조 설정에서 Azure RBAC 권한 부여를 사용하도록 설정하여 사용자 권한을 구체화합니다. 기본적으로 모든 사용자는 루트 관리 그룹 아래에 자체 관리 그룹을 만들 수 있습니다.
새 구독에 대한 기본 전용 관리 그룹을 구성합니다. 이 그룹은 루트 관리 그룹 아래에 구독이 이동하지 않도록 합니다. 이 그룹은 사용자에게 MSDN(Microsoft Developer Network) 또는 Visual Studio 혜택 및 구독이 있는 경우에 특히 중요합니다. 이러한 유형의 관리 그룹에 적합한 후보는 샌드박스 관리 그룹입니다. 자세한 내용은 기본 관리 그룹 설정을 참조하세요.
프로덕션, 테스트, 개발 환경에 대한 관리 그룹을 만들지 마세요. 필요한 경우 이러한 그룹을 동일한 관리 그룹의 다른 구독으로 구분합니다. 자세한 내용은 다음을 참조하세요.
다중 리소스 배포에 표준 Azure 랜딩 존 관리 그룹 구조를 사용하는 것이 좋습니다. 다른 Azure 지역을 모델링하기 위해서만 관리 그룹을 만들지 마세요. 지역 또는 다중 리전 사용량에 따라 관리 그룹 구조를 변경하거나 확장하지 마세요.
데이터 보존, 데이터 보안 또는 데이터 주권과 같은 위치 기반 규제 요구 사항이 있는 경우 위치를 기반으로 관리 그룹 구조를 만들어야 합니다. 다양한 수준에서 이 구조를 구현할 수 있습니다. 자세한 내용은 Azure 랜딩 존 아키텍처 수정을 참조 하세요.
Azure 랜딩 존 가속기 및 ALZ-Bicep 리포지토리의 관리 그룹
다음 예제에서는 관리 그룹 구조를 보여줍니다. 이 예제의 관리 그룹은 AZURE 랜딩 존 가속기 및 ALZ-Bicep 리포지토리의 관리 그룹 모듈에 있습니다.
참고 항목
managementGroups.bicep을 편집하여 Azure 랜딩 존 bicep 모듈에서 관리 그룹 계층 구조를 수정할 수 있습니다.
| 관리 그룹 | 설명 |
|---|---|
| 중간 루트 관리 그룹 | 이 관리 그룹은 테넌트 루트 그룹 바로 아래에 있습니다. 조직은 루트 그룹을 사용할 필요가 없도록 이 관리 그룹에 접두사를 제공합니다. 조직은 기존 Azure 구독을 계층 구조로 이동할 수 있습니다. 이 방법은 향후 시나리오도 설정합니다. 이 관리 그룹은 Azure 랜딩 존 가속기에서 만든 다른 모든 관리 그룹의 부모입니다. |
| 플랫폼 | 이 관리 그룹에는 관리, 연결, ID와 같은 모든 플랫폼 자식 관리 그룹이 포함됩니다. |
| 관리 | 이 관리 그룹에는 관리, 모니터링, 보안을 위한 전용 구독이 포함되어 있습니다. 이 구독은 연결된 솔루션 및 Azure Automation 계정을 포함하여 Azure Monitor 로그 작업 영역을 호스팅합니다. |
| 연결 | 이 관리 그룹에는 연결을 위한 전용 구독이 포함되어 있습니다. 이 구독은 플랫폼에 필요한 Azure Virtual WAN, Azure Firewall 및 Azure DNS 프라이빗 영역과 같은 Azure 네트워킹 리소스를 호스트합니다. 다양한 리소스 그룹을 사용하여 다른 지역에 배포된 가상 네트워크, 방화벽 인스턴스 및 가상 네트워크 게이트웨이와 같은 리소스를 포함할 수 있습니다. 일부 대규모 배포에는 연결 리소스에 대한 구독 할당량 제한이 있을 수 있습니다. 각 지역에서 연결 리소스에 대한 전용 구독을 만들 수 있습니다. |
| ID | 이 관리 그룹에는 ID에 대한 전용 구독이 포함되어 있습니다. 이 구독은 AD DS(Active Directory 도메인 Services) VM(가상 머신) 또는 Microsoft Entra Do기본 Services의 자리 표시자입니다. 다양한 리소스 그룹을 사용하여 다른 지역에 배포된 가상 네트워크 및 VM과 같은 리소스를 포함할 수 있습니다. 또한 구독을 사용하면 랜딩 존 내의 워크로드에 대해 AuthN 또는 AuthZ를 사용할 수 있습니다. 특정 Azure 정책을 할당하여 ID 구독의 리소스를 강화하고 관리합니다. 일부 대규모 배포에는 연결 리소스에 대한 구독 할당량 제한이 있을 수 있습니다. 각 지역에서 연결 리소스에 대한 전용 구독을 만들 수 있습니다. |
| 랜딩 존 | 모든 랜딩 존 자식 관리 그룹을 포함하는 부모 관리 그룹입니다. 워크로드가 안전하고 규정을 준수하도록 워크로드에 구애받지 않는 Azure 정책이 할당되어 있습니다. |
| 온라인 | 온라인 랜딩 존 전용 관리 그룹입니다. 이 그룹은 직접 인터넷 인바운드 또는 아웃바운드 연결이 필요할 수 있는 워크로드 또는 가상 네트워크가 필요하지 않을 수 있는 워크로드용입니다. |
| Corp | 기업 랜딩 존 전용 관리 그룹입니다. 이 그룹은 연결 구독의 허브를 통해 기업 네트워크와의 연결 또는 하이브리드 연결이 필요한 워크로드용입니다. |
| 샌드박스 | 구독에 대한 전용 관리 그룹입니다. 조직은 테스트 및 탐색을 위해 샌드박스를 사용합니다. 이러한 구독은 회사 및 온라인 랜딩 존에서 안전하게 격리됩니다. 샌드박스에는 Azure 서비스의 테스트, 탐색, 구성을 사용하도록 할당된 덜 제한적인 정책 집합도 있습니다. |
| 서비스 해제됨 | 취소된 랜딩 존에 대한 전용 관리 그룹입니다. 취소된 랜딩 존을 이 관리 그룹으로 이동한 다음 Azure에서 30-60일 후에 삭제합니다. |
참고 항목
많은 조직에서 기본 Corp 및 Online 관리 그룹은 이상적인 시작점을 제공합니다.
일부 조직에서는 관리 그룹을 더 추가해야 합니다.
관리 그룹 계층 구조를 변경하려면 요구 사항에 맞게 Azure 랜딩 존 아키텍처 조정을 참조 하세요.
Azure 랜딩 존 가속기 사용 권한
Azure 랜딩 존 가속기:
관리 그룹 작업, 구독 관리 작업 및 역할 할당을 실행하려면 전용 SPN(서비스 사용자 이름)이 필요합니다. SPN을 사용하여 상승된 권한이 있는 사용자 수를 줄이고 최소 권한 지침을 따릅니다.
루트 수준에서 SPN 액세스 권한을 부여하려면 루트 관리 그룹 범위의 사용자 액세스 관리자 역할이 필요합니다. SPN에 권한이 있으면 사용자 액세스 관리istrator 역할을 안전하게 제거할 수 있습니다. 이 방법을 사용하면 SPN만 사용자 액세스 관리 주체 역할에 연결됩니다.
테넌트 수준 작업을 허용하는 루트 관리 그룹 범위에서 이전에 멘션 SPN에 대한 기여자 역할이 필요합니다. 이 권한 수준을 통해 SPN을 사용하여 조직 내의 모든 구독에 리소스를 배포하고 관리할 수 있습니다.
다음 단계
대규모 Azure 채택을 계획할 때 구독을 사용하는 방법을 알아봅니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기