Organizar e gerenciar várias assinaturas do Azure
Caso você tenha apenas algumas assinaturas, é razoavelmente fácil gerenciá-las de maneira independente. Mas e se você tem muitas assinaturas? Então, crie uma hierarquia de grupo de gerenciamento para ajudar a gerenciar as assinaturas e os recursos.
Observação
Recomendamos que as organizações considerem as diretrizes da zona de destino do Azure para a organização de recursos como a primeira etapa para planejar assinaturas em um ambiente do Azure para garantir que o contexto mais amplo de um ambiente destinado à escala seja considerado
Grupos de gerenciamento do Azure
Para suas assinaturas, os grupos de gerenciamento do Azure ajudam a gerenciar com eficiência:
- Access
- Políticas
- Conformidade
Cada grupo de gerenciamento contém uma ou mais assinaturas.
O Azure organiza os grupos de gerenciamento em uma só hierarquia. Você define essa hierarquia em seu locatário do Microsoft Entra para se alinhar à estrutura e às necessidades da sua organização. O nível superior é denominado o grupo de gerenciamento raiz. Você pode definir até seis níveis de grupos de gerenciamento em sua hierarquia. Uma assinatura será um membro direto de apenas um grupo de gerenciamento.
O Azure fornece quatro níveis de escopo de gerenciamento:
- Grupos de gerenciamento
- Assinaturas
- Grupos de recursos
- Recursos
Se você aplicar qualquer acesso ou política em um nível na hierarquia, ele se propagará para os níveis inferiores. Um proprietário de recurso ou proprietário de assinatura não pode alterar uma política herdada. Essa limitação ajuda a melhorar a governança.
Esse modelo de herança permite que você organize as assinaturas na hierarquia, de modo que cada assinatura siga as políticas apropriadas e os controles de segurança.
Figura 1: os quatro níveis de escopo para organizar os recursos do Azure.
Qualquer acesso ou atribuição de política no grupo de gerenciamento raiz se aplica a todos os recursos no diretório. Considere cuidadosamente quais itens você define nesse escopo. Inclua apenas as atribuições que você deve ter.
Criar sua hierarquia de grupo de gerenciamento
Ao definir a hierarquia do grupo de gerenciamento, primeiro, crie o grupo de gerenciamento raiz. Em seguida, mova todas as assinaturas existentes do diretório para o grupo de gerenciamento raiz. As novas assinaturas sempre irão para o grupo de gerenciamento raiz inicialmente. Posteriormente, você poderá movê-las para outro grupo de gerenciamento.
O que acontece quando você move uma assinatura para um grupo de gerenciamento existente? A assinatura herda as políticas e as atribuições de função da hierarquia do grupo de gerenciamento acima dela. Estabeleça muitas assinaturas para suas cargas de trabalho do Azure. Então, crie outras assinaturas para conter os serviços do Azure que outras assinaturas compartilham.
Você espera que o seu ambiente do Azure cresça? Então, crie grupos de gerenciamento para produção e não produção e aplique políticas apropriadas e controles de acesso no nível do grupo de gerenciamento. À medida que você adiciona novas assinaturas a cada grupo de gerenciamento, essas assinaturas herdam os controles apropriados.
Figura 2: um exemplo de uma hierarquia de grupo de gerenciamento.
Casos de uso de exemplo
Alguns exemplos básicos do uso de grupos de gerenciamento para separar diferentes cargas de trabalho incluem:
Comparação entre cargas de trabalho de produção e de não produção: use grupos de gerenciamento para gerenciar com mais facilidade funções e políticas diferentes entre assinaturas de produção e de não produção. Por exemplo, os desenvolvedores podem ter acesso de colaborador em assinaturas de não produção, mas somente acesso de leitor em assinaturas de produção.
Comparação entre serviços internos e serviços externos: em geral, as empresas têm diferentes requisitos, políticas e funções para serviços internos em relação aos serviços externos voltados para o cliente.
Recursos relacionados
Revise os recursos a seguir para saber como organizar e gerenciar seus recursos do Azure.
- Organizar seus recursos com grupos de gerenciamento do Azure
- Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure
- Mover recursos do Azure para outro grupo de recursos ou assinatura
- Criar definições de política do Azure para impor regras e efeitos para seus recursos
Próximas etapas
Examine as convenções de nomenclatura e de marcação recomendadas a serem seguidas ao implantar os recursos do Azure.