관리 그룹 만들기
여러 구독을 사용하는 조직에는 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요합니다. Azure 관리 그룹에서는 구독 이상의 범위 수준 및 제어를 제공합니다. 관리 그룹을 컨테이너로 사용하여 구독 전체에서 액세스, 정책 및 규정 준수를 관리할 수 있습니다.
관리 그룹에 대해 알아야 할 사항
Azure 관리 그룹의 다음 특성을 고려하세요.
기본적으로 모든 새 구독은 최상위 관리 그룹 또는 루트 그룹 아래에 배치됩니다.
관리 그룹에 속한 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속합니다.
관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6입니다.
관리 그룹 작업에 대한 Azure 역할 기반 액세스 제어 권한 부여는 기본적으로 활성화되지 않습니다.
다음 다이어그램에서는 Azure 관리 그룹을 사용하여 통합 정책 및 액세스 관리 계층 구조에서 구독을 구성하는 방법을 보여줍니다. 이 시나리오에서 조직에는 단일 최상위 관리 그룹이 있습니다. 루트 그룹 아래의 모든 디렉터리가 최상위 그룹으로 폴딩됩니다.
관리 그룹을 사용할 때 고려해야 할 사항
Azure Policy에서 관리 그룹을 사용하여 구독을 관리할 수 있는 다음 방법을 검토합니다.
사용자 지정 계층 구조 및 그룹을 고려합니다. 회사의 조직 구조 및 비즈니스 시나리오에 맞는 사용자 지정 계층 구조 및 그룹화를 사용하여 Azure 구독을 조정합니다. 관리 그룹을 사용하여 구독 간에 정책 및 지출 예산을 대상으로 지정할 수 있습니다.
정책 상속을 고려합니다. 정책 정의에서 액세스 및 권한의 계층적 상속을 제어합니다. 관리 그룹에 속한 모든 구독은 관리 그룹에 적용되는 조건을 상속합니다. 관리 그룹에 정책을 적용하여 VM(가상 머신)을 만드는 데 사용할 수 있는 지역을 제한할 수 있습니다. 지정된 지역에서만 VM을 만들도록 초기 관리 그룹의 모든 관리 그룹, 구독 및 리소스에 정책을 적용할 수 있습니다.
규정 준수 규칙 을 고려합니다. 개별 부서 및 팀의 규정 준수 규칙을 충족하도록 구독을 관리 그룹으로 구성합니다.
비용 보고를 고려합니다. 관리 그룹을 사용하여 부서별로 또는 특정 비즈니스 시나리오에 대한 비용 보고를 수행합니다. 관리 그룹을 사용하여 구독 전반의 예산 세부 정보를 보고할 수 있습니다.
관리 그룹 만들기
Azure Portal, PowerShell 또는 Azure CLI를 사용하여 Azure Policy에서 관리 그룹을 만들 수 있습니다. 다음은 Azure Portal에 표시되는 내용의 예입니다.
관리 그룹에는 디렉터리 고유 식별자(ID)와 표시 이름이 있습니다. ID는 관리 그룹에 대한 명령을 제출하는 데 사용됩니다. ID 값은 Azure 시스템 전체에서 관리 그룹을 식별하는 데 사용되므로 만든 후에는 변경할 수 없습니다. 관리 그룹의 표시 이름은 선택 사항이며 언제든지 변경할 수 있습니다.