Создание групп управления

  • 3 мин

Организациям, которые используют несколько подписок, требуется эффективное управление доступом, политиками и соответствием. Группы управления Azure представляют область действия и контроля уровнем выше, чем подписки. Группы управления можно использовать в качестве контейнеров для управления доступом, политикой и соответствием в подписках.

Что важно знать о группах управления

Рассмотрим следующие характеристики групп управления Azure:

  • По умолчанию все новые подписки помещаются в группу управления верхнего уровня или корневую группу управления.

  • Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления.

  • Дерево групп управления может поддерживать до шести уровней вложенности.

  • Авторизация управления доступом на основе ролей не включена в Azure по умолчанию для операций с группами управления.

На следующей схеме показано, как можно использовать группы управления Azure для упорядочивания подписок в иерархии единого управления политиками и доступом. В этом сценарии у организации имеется одна группа управления верхнего уровня. Каждый каталог под корневой группой вложен в группу верхнего уровня.

Diagram that shows how Azure management groups can be used to organize subscriptions in a hierarchy of unified policy and access management.

Аспекты, которые следует учитывать при использовании групп управления

Ознакомьтесь со следующими способами использования групп управления в Политике Azure для управления подписками:

  • Используйте настраиваемые иерархии и группы. Обеспечьте согласованность подписок Azure с помощью настраиваемых иерархий и групп в соответствии со структурой организации и сценариями ведения бизнеса вашей компании. Группы управления можно использовать для целевых политик и расходов бюджета в подписок.

  • Применяйте наследование политик. Настройте управление иерархическим наследованием доступа и привилегий в определениях политик. Все подписки в группе управления наследуют условия, применяемые к группе управления. Можно применить политики к группе управления, которая ограничивает регионы, доступные для создания виртуальных машин. Политику можно применить ко всем группам управления, подпискам и ресурсам в начальной группе управления, чтобы обеспечить создание виртуальных машин только в указанных регионах.

  • Учитывайте правила соответствия. Упорядочите подписки по группам управления, чтобы обеспечить соблюдение правил соответствия для отдельных отделов и команд.

  • Применяйте создание отчетов о затратах. Используйте группы управления для создания отчетов о затратах по отделу или для конкретных бизнес-сценариев. Группы управления можно использовать для создания отчетов о расходовании бюджета в подписках.

Создание групп управления

Создать группу управления с Политикой Azure можно с помощью портала Azure, PowerShell или Azure CLI. Далее приведен пример страницы портала Azure.

Screenshot that shows how to create a management group in the Azure portal.

У группы управления есть уникальный идентификатор каталога (ИД) и отображаемое имя. ИД используется для отправки команд в группу управления. После создания идентификатора изменить его значение невозможно, поскольку он используется в системе Azure для идентификации группы управления. Отображаемое имя группы управления является необязательным и его можно изменить в любое время.