Implantações de grupo de gerenciamento com modelos ARM
À medida que sua organização amadurece, você pode implantar um modelo do Azure Resource Manager (modelo ARM) para criar recursos no nível do grupo de gerenciamento. Por exemplo, talvez seja necessário definir e atribuir políticas ou o controle de acesso baseado em função do Azure (Azure RBAC) para um grupo de gerenciamento. Com modelos de nível de grupo de gerenciamento, você pode aplicar políticas declarativamente e atribuir funções no nível do grupo de gerenciamento.
Gorjeta
Recomendamos o Bicep porque ele oferece os mesmos recursos que os modelos ARM e a sintaxe é mais fácil de usar. Para saber mais, consulte Implantações de grupos de gerenciamento.
Recursos suportados
Nem todos os tipos de recursos podem ser implantados no nível do grupo de gerenciamento. Esta seção lista quais tipos de recursos são suportados.
Para Azure Blueprints, use:
Para a Política do Azure, use:
Para controle de acesso, use:
- privateLinkAssociações
- funçõesAtribuições
- funçãoAtribuiçãoAgendaSolicitações
- roleDefinitions
- funçãoElegibilidadeAgendaSolicitações
- funçãoGestãoPolíticasAtribuições
Para modelos aninhados que implantam em assinaturas ou grupos de recursos, use:
Para gerenciar seus recursos, use:
Os grupos de gerenciamento são recursos no nível do locatário. No entanto, você pode criar grupos de gerenciamento em uma implantação de grupo de gerenciamento definindo o escopo do novo grupo de gerenciamento para o locatário. Consulte Grupo de gestão.
Esquema
O esquema usado para implantações de grupo de gerenciamento é diferente do esquema para implantações de grupo de recursos.
Para modelos, use:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
...
}
O esquema para um arquivo de parâmetro é o mesmo para todos os escopos de implantação. Para arquivos de parâmetros, use:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
...
}
Comandos de implantação
Para implantar em um grupo de gerenciamento, use os comandos de implantação do grupo de gerenciamento.
Para a CLI do Azure, use az deployment mg create:
az deployment mg create \
--name demoMGDeployment \
--location WestUS \
--management-group-id myMG \
--template-uri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"
Para obter informações mais detalhadas sobre comandos de implantação e opções para implantar modelos ARM, consulte:
- Implantar recursos com modelos ARM e o portal do Azure
- Implantar recursos com modelos ARM e CLI do Azure
- Implantar recursos com modelos ARM e Azure PowerShell
- Implantar recursos com modelos ARM e a API REST do Azure Resource Manager
- Use um botão de implantação para implantar modelos do repositório GitHub
- Implantar modelos ARM a partir do Cloud Shell
Local e nome da implantação
Para implantações no nível do grupo de gerenciamento, você deve fornecer um local para a implantação. O local da implantação é separado do local dos recursos implantados. O local de implantação especifica onde armazenar os dados de implantação. As implantações de assinatura e locatário também exigem um local. Para implantações de grupo de recursos, o local do grupo de recursos é usado para armazenar os dados de implantação.
Você pode fornecer um nome para a implantação ou usar o nome de implantação padrão. O nome padrão é o nome do arquivo de modelo. Por exemplo, implantar um modelo chamado azuredeploy.json cria um nome de implantação padrão de azuredeploy.
Para cada nome de implantação, o local é imutável. Não é possível criar uma implantação em um local quando há uma implantação existente com o mesmo nome em um local diferente. Por exemplo, se você criar uma implantação de grupo de gerenciamento com o nome deployment1 no centralus, não poderá criar posteriormente outra implantação com o nome deployment1, mas um local do westus. Se você receber o código InvalidDeploymentLocationde erro , use um nome diferente ou o mesmo local da implantação anterior para esse nome.
Escopos de implantação
Ao implantar em um grupo de gerenciamento, você pode implantar recursos para:
- o grupo-alvo de gestão da operação
- outro grupo de gestão no inquilino
- Subscrições no grupo de gestão
- Grupos de recursos no grupo de gerenciamento
- O locatário do grupo de recursos
As únicas transições de escopo proibidas ocorrem do Grupo de Recursos para o Grupo de Gerenciamento ou da Assinatura para o Grupo de Gerenciamento.
Um recurso de extensão pode ter o escopo definido para um destino diferente do destino de implantação.
O usuário que implanta o modelo deve ter acesso ao escopo especificado.
Esta seção mostra como especificar escopos diferentes. Você pode combinar esses diferentes escopos em um único modelo.
Âmbito de aplicação do grupo-alvo de gestão
Os recursos definidos na seção de recursos do modelo são aplicados ao grupo de gerenciamento a partir do comando de implantação.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
management-group-resources-default
],
"outputs": {}
}
Âmbito de aplicação para outro grupo de gestão
Para direcionar outro grupo de gerenciamento, adicione uma implantação aninhada e especifique a scope propriedade. Defina a scope propriedade como um valor no formato Microsoft.Management/managementGroups/<mg-name>.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string"
}
},
"variables": {
"mgId": "[format('Microsoft.Management/managementGroups/{0}', parameters('mgName'))]"
},
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedDeployment",
"scope": "[variables('mgId')]",
"location": "eastus",
"properties": {
"mode": "Incremental",
"template": {
management-group-resources-non-default
}
}
}
],
"outputs": {}
}
Âmbito da subscrição
Você também pode segmentar assinaturas dentro de um grupo de gerenciamento. O usuário que implanta o modelo deve ter acesso ao escopo especificado.
Para direcionar uma assinatura dentro do grupo de gerenciamento, use uma implantação aninhada e a subscriptionId propriedade.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedSub",
"location": "westus2",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
subscription-resources
}
]
}
}
}
]
}
Âmbito do grupo de recursos
Você também pode segmentar grupos de recursos dentro do grupo de gerenciamento. O usuário que implanta o modelo deve ter acesso ao escopo especificado.
Para direcionar um grupo de recursos dentro do grupo de gerenciamento, use uma implantação aninhada. Defina as subscriptionId propriedades e resourceGroup . Não defina um local para a implantação aninhada porque ela é implantada no local do grupo de recursos.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedRGDeploy",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroup": "demoResourceGroup",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
resource-group-resources
}
]
}
}
}
]
}
Para usar uma implantação de grupo de gerenciamento para criar um grupo de recursos dentro de uma assinatura e implantar uma conta de armazenamento nesse grupo de recursos, consulte Implantar para assinatura e grupo de recursos.
Âmbito de aplicação para o inquilino
Para criar recursos no locatário, defina como scope/. O usuário que implanta o modelo deve ter o acesso necessário para implantar no locatário.
Para usar uma implantação aninhada, defina scope e location.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedDeployment",
"location": "centralus",
"scope": "/",
"properties": {
"mode": "Incremental",
"template": {
tenant-resources
}
}
}
],
"outputs": {}
}
Ou, você pode definir o escopo para / alguns tipos de recursos, como grupos de gerenciamento. A criação de um novo grupo de gerenciamento é descrita na próxima seção.
Grupo de gestão
Para criar um grupo de gerenciamento em uma implantação de grupo de gerenciamento, você deve definir o escopo para / o grupo de gerenciamento.
O exemplo a seguir cria um novo grupo de gerenciamento no grupo de gerenciamento raiz.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string",
"defaultValue": "[concat('mg-', uniqueString(newGuid()))]"
}
},
"resources": [
{
"type": "Microsoft.Management/managementGroups",
"apiVersion": "2021-04-01",
"name": "[parameters('mgName')]",
"scope": "/",
"location": "eastus",
"properties": {}
}
],
"outputs": {
"output": {
"type": "string",
"value": "[parameters('mgName')]"
}
}
}
O próximo exemplo cria um novo grupo de gerenciamento no grupo de gerenciamento especificado como pai. Observe que o escopo está definido como /.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string",
"defaultValue": "[concat('mg-', uniqueString(newGuid()))]"
},
"parentMG": {
"type": "string"
}
},
"resources": [
{
"name": "[parameters('mgName')]",
"type": "Microsoft.Management/managementGroups",
"apiVersion": "2021-04-01",
"scope": "/",
"location": "eastus",
"properties": {
"details": {
"parent": {
"id": "[tenantResourceId('Microsoft.Management/managementGroups', parameters('parentMG'))]"
}
}
}
}
],
"outputs": {
"output": {
"type": "string",
"value": "[parameters('mgName')]"
}
}
}
Subscrições
Para usar um modelo ARM para criar uma nova assinatura do Azure em um grupo de gerenciamento, consulte:
- Criar assinaturas do Azure Enterprise Agreement de forma programática
- Criar programaticamente subscrições do Azure para um Contrato de Cliente Microsoft
- Criar programaticamente subscrições do Azure para um Contrato de Parceiro Microsoft
Para implantar um modelo que move uma assinatura existente do Azure para um novo grupo de gerenciamento, consulte Mover assinaturas no modelo ARM
Azure Policy
As definições de política personalizadas implantadas no grupo de gerenciamento são extensões do grupo de gerenciamento. Para obter a ID de uma definição de política personalizada, use a função extensionResourceId(). As definições de política internas são recursos no nível do locatário. Para obter a ID de uma definição de política interna, use a função tenantResourceId().
O exemplo a seguir mostra como definir uma política no nível do grupo de gerenciamento e atribuí-la.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMG": {
"type": "string",
"metadata": {
"description": "Target Management Group"
}
},
"allowedLocations": {
"type": "array",
"defaultValue": [
"australiaeast",
"australiasoutheast",
"australiacentral"
],
"metadata": {
"description": "An array of the allowed locations, all other locations will be denied by the created policy."
}
}
},
"variables": {
"mgScope": "[tenantResourceId('Microsoft.Management/managementGroups', parameters('targetMG'))]",
"policyDefinition": "LocationRestriction"
},
"resources": [
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "[variables('policyDefinition')]",
"apiVersion": "2020-09-01",
"properties": {
"policyType": "Custom",
"mode": "All",
"parameters": {
},
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
},
{
"type": "Microsoft.Authorization/policyAssignments",
"name": "location-lock",
"apiVersion": "2020-09-01",
"dependsOn": [
"[variables('policyDefinition')]"
],
"properties": {
"scope": "[variables('mgScope')]",
"policyDefinitionId": "[extensionResourceId(variables('mgScope'), 'Microsoft.Authorization/policyDefinitions', variables('policyDefinition'))]"
}
}
]
}
Implantar na assinatura e no grupo de recursos
A partir de uma implantação no nível do grupo de gerenciamento, você pode direcionar uma assinatura dentro do grupo de gerenciamento. O exemplo a seguir cria um grupo de recursos dentro de uma assinatura e implanta uma conta de armazenamento nesse grupo de recursos.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"nestedsubId": {
"type": "string"
},
"nestedRG": {
"type": "string"
},
"storageAccountName": {
"type": "string"
},
"nestedLocation": {
"type": "string"
}
},
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedSub",
"location": "[parameters('nestedLocation')]",
"subscriptionId": "[parameters('nestedSubId')]",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
},
"variables": {
},
"resources": [
{
"type": "Microsoft.Resources/resourceGroups",
"apiVersion": "2021-04-01",
"name": "[parameters('nestedRG')]",
"location": "[parameters('nestedLocation')]"
}
]
}
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedRG",
"subscriptionId": "[parameters('nestedSubId')]",
"resourceGroup": "[parameters('nestedRG')]",
"dependsOn": [
"nestedSub"
],
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2021-04-01",
"name": "[parameters('storageAccountName')]",
"location": "[parameters('nestedLocation')]",
"kind": "StorageV2",
"sku": {
"name": "Standard_LRS"
}
}
]
}
}
}
]
}
Próximos passos
- Para saber mais sobre como atribuir funções, consulte Atribuir funções do Azure usando modelos do Azure Resource Manager.
- Para obter um exemplo de implantação de configurações de espaço de trabalho para o Microsoft Defender for Cloud, consulte deployASCwithWorkspaceSettings.json.
- Você também pode implantar modelos no nível de assinatura e no nível de locatário.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários