Ustanawianie segmentacji przy użyciu grup zarządzania
Grupy zarządzania mogą zarządzać zasobami w wielu subskrypcjach spójnie i wydajnie. Jednak ze względu na jego elastyczność projekt może stać się złożony i naruszyć bezpieczeństwo i operacje.
Uwaga
Grupy zarządzania można zdefiniować w ramach architektury obciążenia. Częściej scentralizowane zespoły używają grup zarządzania do spójnego stosowania strategii zapewniania ładu i segmentacji w wielu obciążeniach. Jeśli scentralizowany zespół jest odpowiedzialny za projektowanie i operacje grup zarządzania, zapoznaj się z Cloud Adoption Framework strefami docelowymi platformy Azure. Obszar projektowania organizacji zasobów zawiera zalecenia dotyczące najlepszych rozwiązań i zagadnienia dotyczące segmentacji za pośrednictwem grup zarządzania, subskrypcji i stref docelowych aplikacji.
Obsługa strategii segmentacji przy użyciu grup zarządzania
Struktura grup zarządzania w prosty projekt, który prowadzi model segmentacji przedsiębiorstwa.
Grupy zarządzania oferują możliwość spójnego i wydajnego zarządzania zasobami (w tym z wieloma subskrypcjami zgodnie z potrzebami). Jednak ze względu na ich elastyczność można utworzyć nadmiernie złożony projekt. Złożoność powoduje zamieszanie i negatywnie wpływa zarówno na operacje, jak i zabezpieczenia (jak pokazano przez nadmiernie złożoną jednostkę organizacyjną (OU) i projekty obiektów zasady grupy (GPO) dla usługi Active Directory.
Firma Microsoft zaleca dostosowanie najwyższego poziomu grup zarządzania do prostej strategii segmentacji przedsiębiorstwa i ograniczenia poziomów do nie więcej niż dwóch.
W przykładowym modelu referencyjnym istnieją zasoby dla całego przedsiębiorstwa używane przez wszystkie segmenty, zestaw podstawowych usług współużytkujących usługi i więcej segmentów dla każdego obciążenia.
Główna grupa zarządzania dla zasobów w całym przedsiębiorstwie.
Użyj głównej grupy zarządzania, aby uwzględnić tożsamości, które muszą stosować zasady w każdym zasobie. Na przykład wymagania prawne, takie jak ograniczenia związane z niezależnością danych. Ta grupa jest skuteczna dzięki zastosowaniu zasad, uprawnień, tagów we wszystkich subskrypcjach.
Przestroga
Należy zachować ostrożność podczas korzystania z głównej grupy zarządzania, ponieważ zasady mogą mieć wpływ na wszystkie zasoby na platformie Azure i potencjalnie powodować przestoje lub inne negatywne skutki. Aby zapoznać się z zagadnieniami, zobacz Używanie głównej grupy zarządzania z ostrożnością w dalszej części tego artykułu.
Aby uzyskać pełne wskazówki dotyczące korzystania z grup zarządzania dla przedsiębiorstwa, zobacz Grupy zarządzania.
Grupa zarządzania dla każdego segmentu obciążenia.
Użyj oddzielnej grupy zarządzania dla zespołów z ograniczonym zakresem odpowiedzialności. Ta grupa jest zwykle wymagana ze względu na granice organizacyjne lub wymagania prawne.
Główna lub segmentowa grupa zarządzania dla podstawowego zestawu usług.
Należy zachować ostrożność przy użyciu głównej grupy zarządzania
Użyj głównej grupy zarządzania (MG) w celu zapewnienia spójności przedsiębiorstwa, ale starannie przetestuj zmiany, aby zminimalizować ryzyko zakłóceń operacyjnych.
Główna grupa zarządzania umożliwia zapewnienie spójności w całym przedsiębiorstwie przez stosowanie zasad, uprawnień i tagów we wszystkich subskrypcjach. Podczas planowania i implementowania przypisań do głównej grupy zarządzania należy zachować ostrożność. Przypisania mogą mieć wpływ na każdy zasób na platformie Azure i potencjalnie spowodować przestój lub inny negatywny wpływ na produktywność, jeśli wystąpią błędy lub nieoczekiwane skutki.
Zaplanuj uważnie: Wybierz elementy dla całego przedsiębiorstwa do głównej grupy zarządzania, które mają wyraźne wymaganie, aby były stosowane w każdym zasobie lub mieć niski wpływ.
Wybierz tożsamości dla całego przedsiębiorstwa, które mają jasne wymaganie, aby były stosowane we wszystkich zasobach. Dobrymi kandydatami są:
Wymagania prawne z wyraźnym ryzykiem biznesowym lub wpływem. Na przykład ograniczenia związane z niezależnością danych.
Niemal zerowy potencjalny negatywny wpływ. Na przykład zasady z efektem inspekcji, przypisaniem tagów i przypisaniami uprawnień RBAC platformy Azure, które zostały dokładnie przejrzyszone.
Za pomocą dedykowanej głównej nazwy usługi (SPN) wykonuj operacje zarządzania grupami zarządzania, operacje zarządzania subskrypcjami i przypisywania ról. Główna nazwa usługi zmniejsza liczbę użytkowników z podwyższonym poziomem uprawnień i postępuje zgodnie z wytycznymi dotyczącymi najniższych uprawnień. Przypisz administratora dostępu użytkowników w zakresie głównej grupy zarządzania (
/), aby udzielić dostępu do głównej nazwy SPN na poziomie głównym. Po udzieleniu uprawnień głównej nazwy usługi można bezpiecznie usunąć rolę administratora dostępu użytkowników . W ten sposób tylko główna nazwa usługi jest częścią roli Administrator dostępu użytkowników . Przypisz uprawnienie Współautor do głównej nazwy usługi, która umożliwia wykonywanie operacji na poziomie dzierżawy. Ten poziom uprawnień zapewnia, że można użyć głównej nazwy usługi do wdrażania zasobów i zarządzania nimi w dowolnej subskrypcji w organizacji.Ogranicz liczbę przypisań Azure Policy wykonanych w zakresie głównej grupy zarządzania (
/). To ograniczenie minimalizuje dziedziczone zasady debugowania w grupach zarządzania niższego poziomu.Nie twórz żadnych subskrypcji w ramach głównej grupy zarządzania. Ta hierarchia zapewnia, że subskrypcje nie dziedziczą tylko małego zestawu zasad platformy Azure przypisanych w grupie zarządzania na poziomie głównym, ponieważ niewielki zestaw zasad platformy Azure nie reprezentuje pełnego zestawu niezbędnego dla obciążenia.
Najpierw przetestuj: Zaplanuj, przetestuj i zweryfikuj wszystkie zmiany w całej firmie w głównej grupie zarządzania przed zastosowaniem (zasady, tagi, model RBAC platformy Azure itd.).
Laboratorium testowe: Reprezentatywny segment laboratorium lub laboratorium w dzierżawie produkcyjnej.
Pilotaż produkcyjny: Pilotaż produkcyjny może być grupą zarządzania segmentami lub wyznaczonym podzestawem w grupie zarządzania subskrypcji.
Zweryfikuj zmiany: Zweryfikuj zmiany, aby upewnić się, że mają pożądany efekt.