Compartilhar via


Gerenciamento de acesso aos recursos no Azure

Neste artigo, saiba como os recursos são implantados no Azure, começando com as construções fundamentais do Azure de recursos, assinaturas e grupos de recursos. Em seguida, você aprenderá como o Azure Resource Manager (ARM) implanta recursos.

O que é um recurso do Azure?

No Azure, um recurso é uma entidade gerenciada pelo Azure. Máquinas virtuais, redes virtuais e contas de armazenamento são exemplos de recursos do Azure.

Diagram of a resource.

O que é um grupo de recursos do Azure?

Cada recurso no Azure deve pertencer a um grupo de recurso. Um grupo de recursos é um contêiner lógico que associa vários recursos para que você possa gerenciá-los como uma única entidade, com base no ciclo de vida e na segurança. Por exemplo, você pode criar ou excluir recursos como um grupo se os recursos dividirem um ciclo de vida semelhante, como os recursos para um aplicativo de N camadas. Em outras palavras, tudo o que você cria, gerencia e deprecia juntos está associado a um grupo de recursos.

Diagram of a resource group containing a resource.

A prática recomendada é associar grupos de recursos e os recursos que eles contêm a uma assinatura do Azure.

O que é uma assinatura do Azure?

Uma assinatura do Azure é semelhante a um grupo de recursos, pois é um contêiner lógico que associa grupos de recursos e seus respectivos recursos. No entanto, uma assinatura do Azure também é associada aos controles do Azure Resource Manager. Saiba mais sobre o Azure Resource Manager e sua relação com assinaturas do Azure.

Diagram of an Azure subscription.

O que é o Azure Resource Manager?

Em Como o Azure funciona?, você aprende que o Azure inclui um front-end com serviços que orquestram as funções do Azure. Um desses serviços é o Azure Resource Manager. Esse serviço hospeda a API RESTful que os clientes usam para gerenciar recursos.

Diagram of Azure Resource Manager.

A figura a seguir mostra três clientes: o Azure PowerShell, o portal do Azure e a CLI do Azure:

Diagram of Azure clients connecting to the Resource Manager REST API.

Embora esses clientes se conectem ao Resource Manager usando a API RESTful, o Resource Manager não inclui a funcionalidade para gerenciar os recursos diretamente. Em vez disso, a maioria dos tipos de recursos no Azure têm seus próprios provedores de recursos.

Diagram of Azure resource providers.

Quando um cliente faz uma solicitação para gerenciar um recurso específico, o Azure Resource Manager conecta o provedor de recursos daquele tipo de recurso para concluir a solicitação. Por exemplo, se um cliente fizer uma solicitação para gerenciar um recurso de máquina virtual, o Azure Resource Manager se conectará ao provedor de recursos Microsoft.Compute.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

O Azure Resource Manager requer que o cliente especifique um identificador para a assinatura e o grupo de recursos para gerenciar o recurso da máquina virtual.

Depois de entender como o Azure Resource Manager funciona, você pode aprender a associar uma assinatura do Azure com os controles do Azure Resource Manager. Antes que o Azure Resource Manager possa executar qualquer solicitação de gerenciamento de recursos, examine o seguinte conjunto de controles.

O primeiro controle prevê que um usuário validado deva fazer uma solicitação. Além disso, o Gerenciador de Recursos do Azure deve ter um relacionamento confiável com a ID do Microsoft Entra para fornecer a funcionalidade de identidade do usuário.

Diagram of Microsoft Entra ID.

No Microsoft Entra ID, você pode segmentar usuários em locatários. Um locatário é uma construção lógica que representa uma instância segura e dedicada do Microsoft Entra ID que alguém normalmente associa a uma organização. Você também pode associar cada assinatura a um locatário do Microsoft Entra.

A Microsoft Entra tenant associated with a subscription

Cada solicitação de cliente para gerenciar um recurso em uma assinatura específica requer que o usuário tenha uma conta no locatário do Microsoft Entra associado.

O próximo controle é uma verificação de que o usuário tem permissão suficiente para fazer a solicitação. As permissões são atribuídas aos usuários por meio do controle de acesso baseado em função do Azure (Azure RBAC).

Users assigned to Azure roles

Uma função do Azure especifica um conjunto de permissões que um usuário pode assumir em um recurso específico. Quando a função é atribuída ao usuário, essas permissões são aplicadas. Por exemplo, a função Proprietário interna permite que um usuário execute qualquer ação em um recurso.

O próximo controle é uma verificação de que a solicitação será permitida sob as configurações especificadas da política de recursos do Azure. As políticas de recursos do Azure especificam as operações permitidas para um recurso específico. Por exemplo, uma política de recursos do Azure pode especificar que os usuários só têm permissão para implantar um tipo específico de máquina virtual.

Azure resource policy

O próximo controle é uma verificação de que a solicitação não exceda algum limite da assinatura do Azure. Por exemplo, cada assinatura tem um limite de 980 grupos de recursos por assinatura. Se você receber uma solicitação para implantar outro grupo de recursos quando o limite for atingido, negue-a.

Diagram of Azure resource limits.

O controle final é uma verificação de que a solicitação está dentro do compromisso financeiro associado à assinatura. Por exemplo, se a solicitação for de implantar uma máquina virtual, o Azure Resource Manager verificará se a assinatura tem informações de pagamento suficientes.

Diagram of a financial commitment associated with a subscription.

Resumo

Neste artigo, você aprendeu sobre como o acesso a recursos é gerenciado no Azure usando o Azure Resource Manager.

Próximas etapas

Saiba mais sobre a adoção de nuvem com a Microsoft Cloud Adoption Framework para o Azure.