Criar grupos de gestão
As organizações que usam várias assinaturas precisam de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade com eficiência. Os grupos de gerenciamento do Azure fornecem um nível de escopo e controle acima de suas assinaturas. Você pode usar grupos de gerenciamento como contêineres para gerenciar o acesso, a política e a conformidade em suas assinaturas.
Coisas a saber sobre grupos de gestão
Considere as seguintes características dos grupos de gerenciamento do Azure:
Por padrão, todas as novas assinaturas são colocadas no grupo de gerenciamento de nível superior ou grupo raiz.
Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas a esse grupo de gerenciamento.
Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.
A autorização de controle de acesso baseada em função do Azure para operações de grupo de gerenciamento não está habilitada por padrão.
O diagrama a seguir mostra como os grupos de gerenciamento do Azure podem ser usados para organizar assinaturas em uma hierarquia de política unificada e gerenciamento de acesso. Nesse cenário, a organização tem um único grupo de gerenciamento de nível superior. Cada diretório sob o grupo raiz é dobrado no grupo de nível superior.
Coisas a considerar ao usar grupos de gerenciamento
Analise as seguintes maneiras de usar grupos de gerenciamento no Azure Policy para gerenciar suas assinaturas:
Considere hierarquias e grupos personalizados. Alinhe suas assinaturas do Azure usando hierarquias e agrupamentos personalizados que atendam à estrutura organizacional e aos cenários de negócios da sua empresa. Você pode usar grupos de gerenciamento para direcionar políticas e orçamentos de gastos entre assinaturas.
Considere a herança de políticas. Controle a herança hierárquica de acesso e privilégios em definições de política. Todas as assinaturas dentro de um grupo de gerenciamento herdam as condições aplicadas ao grupo de gerenciamento. Você pode aplicar políticas a um grupo de gerenciamento para limitar as regiões disponíveis para a criação de máquinas virtuais (VMs). A política pode ser aplicada a todos os grupos de gerenciamento, assinaturas e recursos do grupo de gerenciamento inicial, para garantir que as VMs sejam criadas somente nas regiões especificadas.
Considere as regras de conformidade. Organize suas assinaturas em grupos de gerenciamento para ajudar a atender às regras de conformidade para departamentos e equipes individuais.
Considere a elaboração de relatórios de custos. Use grupos de gerenciamento para fazer relatórios de custos por departamento ou para cenários de negócios específicos. Você pode usar grupos de gerenciamento para relatar detalhes de orçamento em todas as assinaturas.
Criar grupos de gestão
Você pode criar um grupo de gerenciamento com a Política do Azure usando o portal do Azure, o PowerShell ou a CLI do Azure. Aqui está um exemplo do que você vê no portal do Azure:
Um grupo de gerenciamento tem um identificador exclusivo de diretório (ID) e um nome para exibição. O ID é usado para enviar comandos no grupo de gerenciamento. O valor da ID não pode ser alterado depois de criado porque é usado em todo o sistema do Azure para identificar o grupo de gerenciamento. O nome para exibição do grupo de gerenciamento é opcional e pode ser alterado a qualquer momento.