Criar grupos de gerenciamento
As organizações que usam várias assinaturas precisam de uma forma de gerenciar com eficiência o acesso, as políticas e a conformidade. Os grupos de gerenciamento do Azure oferecem um nível de escopo e controle acima das assinaturas. Você pode usar grupos de gerenciamento como contêineres para gerenciar o acesso, a política e a conformidade entre suas assinaturas.
Fatos importantes sobre grupos de gerenciamento
Considere as seguintes características dos grupos de gerenciamento do Azure:
Por padrão, todas as novas assinaturas são colocadas no grupo de gerenciamento de nível superior, ou grupo raiz.
Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas a esse grupo de gerenciamento.
Uma árvore do grupo de gerenciamento pode dar suporte a até seis níveis de profundidade.
A autorização de controle de acesso baseado em função do Azure para operações do grupo de gerenciamento não está habilitada por padrão.
O diagrama a seguir mostra como os grupos de gerenciamento do Azure podem ser usados para organizar assinaturas em uma hierarquia unificada de gerenciamento de acesso e política. Nesse cenário, a organização tem um único grupo de gerenciamento de nível superior. Cada diretório no grupo raiz é dobrado no grupo de nível superior.
Itens a serem considerados ao usar grupos de gerenciamento
Examine as seguintes maneiras de usar grupos de gerenciamento no Azure Policy para gerenciar suas assinaturas:
Considere hierarquias e grupos personalizados. Alinhe suas assinaturas do Azure usando hierarquias personalizadas e um agrupamento que atendam à estrutura organizacional e aos cenários de negócios da sua empresa. Você pode usar grupos de gerenciamento para direcionar políticas e orçamentos de gastos entre assinaturas.
Considere a herança da política. Controle a herança hierárquica de acesso e privilégios em definições de política. Todas as assinaturas dentro de um grupo de gerenciamento herdam as condições aplicadas ao grupo de gerenciamento. Você pode aplicar políticas a um grupo de gerenciamento para limitar as regiões disponíveis para criar VMs (máquinas virtuais). A política pode ser aplicada a todos os grupos de gerenciamento, assinaturas e recursos no grupo de gerenciamento inicial, para garantir que as VMs sejam criadas somente nas regiões especificadas.
Considere regras de conformidade. Organize suas assinaturas em grupos de gerenciamento para ajudar a atender às regras de conformidade para departamentos e equipes individuais.
Considere o relatório de custos. Use grupos de gerenciamento para fazer relatórios de custos por departamento ou para cenários de negócios específicos. Você pode usar grupos de gerenciamento para relatar detalhes do orçamento entre assinaturas.
Criar grupos de gerenciamento
Você pode criar um grupo de gerenciamento com o Azure Policy, o PowerShell ou a CLI do Azure. Confira um exemplo do que aparece no portal do Azure:
Um grupo de gerenciamento tem uma ID (identificador exclusivo) de diretório e um nome de exibição. A ID é usada para enviar comandos no grupo de gerenciamento. O valor da ID não pode ser alterado depois de criado porque é usado em todo o sistema do Azure para identificar o grupo de gerenciamento. O nome de exibição do grupo de gerenciamento é opcional e pode ser alterado a qualquer momento.