Gerenciamento de acesso aos recursos no Azure

A metodologia Govern descreve as Cinco Disciplinas de Governança de Nuvem e o gerenciamento de recursos está entre elas. A visão geral da disciplina de Consistência de Recursos explica como o gerenciamento de acesso a recursos se encaixa na estrutura maior da disciplina de gerenciamento de recursos. Antes de aprender a criar um modelo de governança, é necessário entender os controles de gerenciamento de acesso a recursos no Azure. A configuração de controles de gerenciamento de acesso a recursos forma a base do modelo de governança.

Vamos examinar quais são os recursos e como eles são implantados no Azure.

O que é um recurso do Azure?

No Azure, um recurso é uma entidade gerenciada pelo Azure. Máquinas virtuais, redes virtuais e contas de armazenamento são todos exemplos de recursos do Azure.

Diagrama de um recurso.

O que é um grupo de recursos do Azure?

Cada recurso no Azure deve pertencer a um grupo de recurso. Um grupo de recursos é um contêiner lógico que associa vários recursos para que você possa gerenciá-los como uma única entidade, com base no ciclo de vida e na segurança. Por exemplo, você pode criar ou excluir recursos como um grupo se os recursos compartilharem um ciclo de vida semelhante, como os recursos de um aplicativo de N camadas. Em outras palavras, tudo o que você criar, gerenciar e preterir juntos está associado a um grupo de recursos.

Diagrama de um grupo de recursos que contém um recurso.

A melhor prática recomendada é associar grupos de recursos e os recursos que eles contêm a uma assinatura do Azure.

O que é uma assinatura do Azure?

Uma assinatura do Azure é semelhante a um grupo de recursos, pois é um contêiner lógico que associa grupos de recursos e seus respectivos recursos. No entanto, uma assinatura do Azure também é associada aos controles do Azure Resource Manager. Saiba mais sobre o Resource Manager do Azure e sua relação com assinaturas do Azure.

Diagrama de uma assinatura do Azure.

O que é o Azure Resource Manager?

Em Como o Azure funciona?, você aprende que o Azure inclui um front-end com serviços que orquestram as funções do Azure. Um desses serviços é o Azure Resource Manager. Esse serviço hospeda a API RESTful que os clientes usam para gerenciar recursos.

Diagrama do Resource Manager do Azure.

A figura a seguir mostra três clientes: Azure PowerShell, o portal do Azure e a CLI do Azure:

Diagrama de clientes do Azure que se conectam à API REST Resource Manager.

Embora esses clientes se conectem ao Resource Manager usando a API RESTful, o Resource Manager não inclui a funcionalidade para gerenciar os recursos diretamente. Em vez disso, a maioria dos tipos de recursos no Azure têm seus próprios provedores de recursos.

Diagrama de provedores de recursos do Azure.

Quando um cliente faz uma solicitação para gerenciar um recurso específico, o Azure Resource Manager conecta o provedor de recursos daquele tipo de recurso para concluir a solicitação. Por exemplo, se um cliente fizer uma solicitação para gerenciar um recurso de máquina virtual, o Azure Resource Manager se conectará ao provedor de recursos Microsoft.Compute.

Diagrama do Azure Resource Manager se conectando ao provedor de recursos Microsoft.Compute.

O Azure Resource Manager requer que o cliente especifique um identificador para a assinatura e o grupo de recursos para gerenciar o recurso da máquina virtual.

Depois de entender como o Azure Resource Manager funciona, você pode aprender a associar uma assinatura do Azure com os controles do Azure Resource Manager. Antes que o Azure Resource Manager possa executar qualquer solicitação de gerenciamento de recursos, examine o seguinte conjunto de controles.

O primeiro controle prevê que um usuário validado deva fazer uma solicitação. Além disso, o Azure Resource Manager deve ter uma relação de confiança com o Azure Active Directory (Azure AD) para fornecer a funcionalidade de identidade do usuário.

Diagrama do Azure Active Directory.

No Azure AD, você pode segmentar usuários em locatários. Um locatário é um constructo lógico que representa uma instância segura e dedicada do Azure AD, geralmente associada a uma organização. Você também pode associar cada assinatura a um locatário do Azure AD.

Um locatário Azure AD associado a uma assinatura

Cada solicitação de cliente para gerenciar um recurso em uma assinatura específica exige que o usuário tenha uma conta associada ao locatário do Azure AD.

O próximo controle é uma verificação de que o usuário tem permissão suficiente para fazer a solicitação. As permissões são atribuídas aos usuários por meio do controle de acesso baseado em função do Azure (Azure RBAC).

Usuários atribuídos a funções do Azure

Uma função do Azure especifica um conjunto de permissões que um usuário pode assumir em um recurso específico. Quando a função é atribuída ao usuário, essas permissões são aplicadas. Por exemplo, a função de proprietário interna permite que um usuário execute qualquer ação em um recurso.

O próximo controle é uma verificação de que a solicitação será permitida sob as configurações especificadas da política de recursos do Azure. As políticas de recursos do Azure especificam as operações permitidas para um recurso específico. Por exemplo, uma política de recursos do Azure pode especificar que os usuários só têm permissão para implantar um tipo específico de máquina virtual.

Política de recursos do Azure

O próximo controle é uma verificação de que a solicitação não exceda algum limite da assinatura do Azure. Por exemplo, cada assinatura tem um limite de 980 grupos de recursos por assinatura. Se você receber uma solicitação para implantar outro grupo de recursos quando o limite for atingido, negue-a.

Diagrama dos limites de recursos do Azure.

O controle final é uma verificação de que a solicitação está dentro do compromisso financeiro associado à assinatura. Por exemplo, se a solicitação for de implantar uma máquina virtual, o Azure Resource Manager verificará se a assinatura tem informações de pagamento suficientes.

Diagrama de um compromisso financeiro associado a uma assinatura.

Resumo

Neste artigo, você aprendeu sobre como o acesso a recursos é gerenciado no Azure usando o Azure Resource Manager.

Próximas etapas

Agora você sabe como gerenciar o acesso a recursos no Azure. Em seguida, continue para aprender a criar um modelo de governança. Crie um modelo de governança para uma carga de trabalho simples ou para várias equipes usando esses serviços.