Implementaties van beheergroepen met Bicep-bestanden
In dit artikel wordt beschreven hoe u het bereik instelt met Bicep bij de implementatie in een beheergroep.
Naarmate uw organisatie volwassen wordt, kunt u een Bicep-bestand implementeren om resources te maken op het niveau van de beheergroep. U moet bijvoorbeeld beleidsregels of op rollen gebaseerd toegangsbeheer (Azure RBAC) voor een beheergroep definiëren en toewijzen. Met sjablonen op beheergroepsniveau kunt u beleid declaratief toepassen en rollen toewijzen op beheergroepsniveau.
Trainingsmateriaal
Als u liever meer wilt weten over implementatiebereiken via stapsgewijze richtlijnen, raadpleegt u Resources implementeren in abonnementen, beheergroepen en tenants met behulp van Bicep.
Ondersteunde resources
Niet alle resourcetypen kunnen worden geïmplementeerd op het niveau van de beheergroep. In deze sectie wordt vermeld welke resourcetypen worden ondersteund.
Gebruik voor Azure Blueprints:
Gebruik voor Azure Policy:
Gebruik voor toegangsbeheer:
- privateLinkAssociations
- roleAssignments
- roleAssignmentScheduleRequests
- roleDefinitions
- roleEligibilityScheduleRequests
- roleManagementPolicyAssignments
Gebruik voor geneste sjablonen die worden geïmplementeerd in abonnementen of resourcegroepen:
Gebruik voor het beheren van uw resources het volgende:
Beheergroepen zijn resources op tenantniveau. U kunt echter beheergroepen maken in een implementatie van een beheergroep door het bereik van de nieuwe beheergroep in te stellen op de tenant. Zie beheergroep.
Bereik instellen
Als u het bereik wilt instellen op beheergroep, gebruikt u:
targetScope = 'managementGroup'
Implementatieopdrachten
Als u wilt implementeren in een beheergroep, gebruikt u de implementatieopdrachten van de beheergroep.
Gebruik az deployment mg create voor Azure CLI:
az deployment mg create \
--name demoMGDeployment \
--location WestUS \
--management-group-id myMG \
--template-uri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"
Zie voor meer gedetailleerde informatie over implementatieopdrachten en opties voor het implementeren van ARM-sjablonen:
- Resources implementeren met ARM-sjablonen en Azure CLI
- Resources implementeren met ARM-sjablonen en Azure PowerShell
- ARM-sjablonen implementeren vanuit Cloud Shell
Implementatielocatie en -naam
Voor implementaties op beheergroepniveau moet u een locatie voor de implementatie opgeven. De locatie van de implementatie is gescheiden van de locatie van de resources die u implementeert. De implementatielocatie geeft aan waar implementatiegegevens moeten worden opgeslagen. Voor abonnements - en tenantimplementaties is ook een locatie vereist. Voor resourcegroepimplementaties wordt de locatie van de resourcegroep gebruikt om de implementatiegegevens op te slaan.
U kunt een naam opgeven voor de implementatie of de standaardimplementatienaam gebruiken. De standaardnaam is de naam van het sjabloonbestand. Als u bijvoorbeeld een sjabloon met de naam main.bicep implementeert, wordt een standaardimplementatienaam van het hoofdbestand gemaakt.
Voor elke implementatienaam kan de locatie onveranderbaar zijn. U kunt geen implementatie op één locatie maken wanneer er een bestaande implementatie met dezelfde naam op een andere locatie is. Als u bijvoorbeeld een implementatie van een beheergroep maakt met de naamimplementatie1 in centralus, kunt u later geen andere implementatie maken met de naam deployment1, maar een locatie van westus. Als u de foutcode InvalidDeploymentLocation
krijgt, gebruikt u een andere naam of dezelfde locatie als de vorige implementatie voor die naam.
Implementatiebereiken
Wanneer u implementeert in een beheergroep, kunt u resources implementeren op:
- de doelbeheergroep van de bewerking
- een andere beheergroep in de tenant
- abonnementen in de beheergroep
- resourcegroepen in de beheergroep
- de tenant voor de resourcegroep
Een extensieresource kan worden afgestemd op een doel dat verschilt van het implementatiedoel.
De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
Bereik voor beheergroep
Als u resources wilt implementeren in de doelbeheergroep, voegt u deze resources toe met het resource
trefwoord.
targetScope = 'managementGroup'
// policy definition created in the management group
resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2023-04-01' = {
...
}
Als u een andere beheergroep wilt richten, voegt u een module toe. Gebruik de managementGroup-functie om de scope
eigenschap in te stellen. Geef de naam van de beheergroep op.
targetScope = 'managementGroup'
param otherManagementGroupName string
// module deployed at management group level but in a different management group
module exampleModule 'module.bicep' = {
name: 'deployToDifferentMG'
scope: managementGroup(otherManagementGroupName)
}
Bereik voor abonnement
U kunt zich ook richten op abonnementen binnen een beheergroep. De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
Als u een abonnement in de beheergroep wilt toepassen, voegt u een module toe. Gebruik de abonnementsfunctie om de scope
eigenschap in te stellen. Geef de abonnements-id op.
targetScope = 'managementGroup'
param subscriptionID string
// module deployed to subscription in the management group
module exampleModule 'module.bicep' = {
name: 'deployToSub'
scope: subscription(subscriptionID)
}
Bereik tot resourcegroep
U kunt zich ook richten op resourcegroepen binnen de beheergroep. De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
Als u een resourcegroep in de beheergroep wilt richten, voegt u een module toe. Gebruik de functie resourceGroup om de scope
eigenschap in te stellen. Geef de abonnements-id en resourcegroepnaam op.
targetScope = 'managementGroup'
param subscriptionID string
param resourceGroupName string
// module deployed to resource group in the management group
module exampleModule 'module.bicep' = {
name: 'deployToRG'
scope: resourceGroup(subscriptionID, resourceGroupName)
}
Bereik naar tenant
Als u resources wilt maken in de tenant, voegt u een module toe. Gebruik de tenantfunctie om de eigenschap ervan scope
in te stellen. De gebruiker die de sjabloon implementeert, moet over de vereiste toegang beschikken om te implementeren in de tenant.
targetScope = 'managementGroup'
// module deployed at tenant level
module exampleModule 'module.bicep' = {
name: 'deployToTenant'
scope: tenant()
}
U kunt ook het bereik /
voor sommige resourcetypen instellen, zoals beheergroepen. Het maken van een nieuwe beheergroep wordt beschreven in de volgende sectie.
Beheergroep
Als u een beheergroep wilt maken in een beheergroepimplementatie, moet u het bereik instellen op de tenant.
In het volgende voorbeeld wordt een nieuwe beheergroep gemaakt in de hoofdbeheergroep.
targetScope = 'managementGroup'
param mgName string = 'mg-${uniqueString(newGuid())}'
resource newMG 'Microsoft.Management/managementGroups@2023-04-01' = {
scope: tenant()
name: mgName
properties: {}
}
output newManagementGroup string = mgName
In het volgende voorbeeld wordt een nieuwe beheergroep gemaakt in de beheergroep die is gericht op de implementatie. Hierbij wordt de beheergroepfunctie gebruikt.
targetScope = 'managementGroup'
param mgName string = 'mg-${uniqueString(newGuid())}'
resource newMG 'Microsoft.Management/managementGroups@2023-04-01' = {
scope: tenant()
name: mgName
properties: {
details: {
parent: {
id: managementGroup().id
}
}
}
}
output newManagementGroup string = mgName
Abonnementen
Als u een ARM-sjabloon wilt gebruiken om een nieuw Azure-abonnement in een beheergroep te maken, raadpleegt u:
- Programmatisch Azure Enterprise Overeenkomst-abonnementen maken
- Programmatisch Azure-abonnementen maken voor een Microsoft-klantovereenkomst
- Programmatisch Azure-abonnementen maken voor een Microsoft Partner-overeenkomst
Als u een sjabloon wilt implementeren waarmee een bestaand Azure-abonnement naar een nieuwe beheergroep wordt verplaatst, raadpleegt u Abonnementen verplaatsen in arm-sjabloon
Azure Policy
Aangepaste beleidsdefinities die in de beheergroep worden geïmplementeerd, zijn extensies van de beheergroep. Gebruik de functie extensionResourceId() om de id van een aangepaste beleidsdefinitie op te halen. Ingebouwde beleidsdefinities zijn resources op tenantniveau. Gebruik de functie tenantResourceId() om de id van een ingebouwde beleidsdefinitie op te halen.
In het volgende voorbeeld ziet u hoe u een beleid definieert op beheergroepsniveau en hoe u dit toewijst.
targetScope = 'managementGroup'
@description('An array of the allowed locations, all other locations will be denied by the created policy.')
param allowedLocations array = [
'australiaeast'
'australiasoutheast'
'australiacentral'
]
resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2023-04-01' = {
name: 'locationRestriction'
properties: {
policyType: 'Custom'
mode: 'All'
parameters: {}
policyRule: {
if: {
not: {
field: 'location'
in: allowedLocations
}
}
then: {
effect: 'deny'
}
}
}
}
resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
name: 'locationAssignment'
properties: {
policyDefinitionId: policyDefinition.id
}
}
Volgende stappen
Zie voor meer informatie over andere bereiken: