Bicep dosyalarıyla yönetim grubu dağıtımları

Bu makalede, bir yönetim grubuna dağıtım yaparken Bicep ile kapsamın nasıl ayarlanacağı açıklanır.

Kuruluşunuz olgunlaştıkça, yönetim grubu düzeyinde kaynak oluşturmak için bir Bicep dosyası dağıtabilirsiniz. Örneğin, bir yönetim grubu için ilkeler veya Azure rol tabanlı erişim denetimi (Azure RBAC) tanımlamanız ve atamanız gerekebilir. Yönetim grubu düzeyi şablonlarıyla ilkeleri bildirimli olarak uygulayabilir ve yönetim grubu düzeyinde roller atayabilirsiniz.

Eğitim kaynakları

Dağıtım kapsamları hakkında adım adım yönergeler aracılığıyla bilgi edinmek isterseniz bkz. Bicep kullanarak aboneliklere, yönetim gruplarına ve kiracılara kaynak dağıtma.

Desteklenen kaynaklar

Tüm kaynak türleri yönetim grubu düzeyine dağıtılamaz. Bu bölümde hangi kaynak türlerinin desteklendiği listelenmektedir.

Azure Blueprints için şunu kullanın:

• Yapı
• Plan
• blueprintAssignments
• Sürüm

Azure İlkesi için şunu kullanın:

• policyAssignments
• policyDefinitions
• policySetDefinitions
• düzeltmeler

Erişim denetimi için şunu kullanın:

• privateLinkAssociations
• roleAssignments
• roleAssignmentScheduleRequests
• roleDefinitions
• roleEligibilityScheduleRequests
• roleManagementPolicyAssignments

Aboneliklere veya kaynak gruplarına dağıtılan iç içe yerleştirilmiş şablonlar için şunu kullanın:

• Dağıtım

Kaynaklarınızı yönetmek için şunları kullanın:

• diagnosticSettings
• Etiketler

Yönetim grupları kiracı düzeyinde kaynaklardır. Ancak, yeni yönetim grubunun kapsamını kiracı olarak ayarlayarak bir yönetim grubu dağıtımında yönetim grupları oluşturabilirsiniz. Bkz. Yönetim grubu.

Kapsamı ayarlama

Kapsamı yönetim grubuna ayarlamak için şunu kullanın:

targetScope = 'managementGroup'

Dağıtım komutları

Bir yönetim grubuna dağıtmak için yönetim grubu dağıtım komutlarını kullanın.

Azure CLI

Azure CLI için az deployment mg create komutunu kullanın:

az deployment mg create \
  --name demoMGDeployment \
  --location WestUS \
  --management-group-id myMG \
  --template-uri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"

PowerShell

Azure PowerShell için New-AzManagementGroupDeployment komutunu kullanın.

New-AzManagementGroupDeployment `
  -Name demoMGDeployment `
  -Location "West US" `
  -ManagementGroupId "myMG" `
  -TemplateUri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"

ARM şablonlarını dağıtmaya yönelik dağıtım komutları ve seçenekleri hakkında daha ayrıntılı bilgi için bkz:

• ARM şablonları ve Azure CLI ile kaynakları dağıtma
• ARM şablonları ve Azure PowerShell ile kaynakları dağıtma
• arm şablonlarını Cloud Shell dağıtma

Dağıtım konumu ve adı

Yönetim grubu düzeyinde dağıtımlar için dağıtım için bir konum sağlamanız gerekir. Dağıtımın konumu, dağıttığınız kaynakların konumundan ayrıdır. Dağıtım konumu, dağıtım verilerinin depolandığı yeri belirtir. Abonelik ve kiracı dağıtımları da bir konum gerektirir. Kaynak grubu dağıtımlarında, dağıtım verilerini depolamak için kaynak grubunun konumu kullanılır.

Dağıtım için bir ad sağlayabilir veya varsayılan dağıtım adını kullanabilirsiniz. Varsayılan ad, şablon dosyasının adıdır. Örneğin main.bicep adlı bir şablonun dağıtılması main adlı varsayılan bir dağıtım adı oluşturur.

Her dağıtım adı için konum sabittir. Farklı bir konumda aynı ada sahip mevcut bir dağıtım olduğunda tek bir konumda dağıtım oluşturamazsınız. Örneğin, centralus içinde deployment1 adlı bir yönetim grubu dağıtımı oluşturursanız, daha sonra deployment1 adlı başka bir dağıtım oluşturamazsınız ancak westus konumuna sahip olursunuz. hata kodunu InvalidDeploymentLocationalırsanız, bu ad için farklı bir ad veya önceki dağıtımla aynı konumu kullanın.

Dağıtım kapsamları

Bir yönetim grubuna dağıtım yaparken kaynakları şunlara dağıtabilirsiniz:

• işlemden hedef yönetim grubu
• kiracıdaki başka bir yönetim grubu
• yönetim grubundaki abonelikler
• yönetim grubundaki kaynak grupları
• kaynak grubunun kiracısı

Uzantı kaynağının kapsamı, dağıtım hedefinden farklı bir hedef olarak ayarlanabilir.

Şablonu dağıtan kullanıcının belirtilen kapsama erişimi olmalıdır.

Kapsam-yönetim grubu

Kaynakları hedef yönetim grubuna dağıtmak için bu kaynakları anahtar sözcüğüyle resource ekleyin.

targetScope = 'managementGroup'

// policy definition created in the management group
resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2021-06-01' = {
  ...
}

Başka bir yönetim grubunu hedeflemek için bir modül ekleyin. özelliğini ayarlamak scope için managementGroup işlevini kullanın. Yönetim grubu adını belirtin.

targetScope = 'managementGroup'

param otherManagementGroupName string

// module deployed at management group level but in a different management group
module exampleModule 'module.bicep' = {
  name: 'deployToDifferentMG'
  scope: managementGroup(otherManagementGroupName)
}

Aboneliğe kapsam

Ayrıca bir yönetim grubu içindeki abonelikleri de hedefleyebilirsiniz. Şablonu dağıtan kullanıcının belirtilen kapsama erişimi olmalıdır.

Yönetim grubundaki bir aboneliği hedeflemek için bir modül ekleyin. özelliğini ayarlamak scope için abonelik işlevini kullanın. Abonelik kimliğini belirtin.

targetScope = 'managementGroup'

param subscriptionID string

// module deployed to subscription in the management group
module exampleModule 'module.bicep' = {
  name: 'deployToSub'
  scope: subscription(subscriptionID)
}

Kaynak grubu kapsamı

Ayrıca, yönetim grubu içindeki kaynak gruplarını da hedefleyebilirsiniz. Şablonu dağıtan kullanıcının belirtilen kapsama erişimi olmalıdır.

Yönetim grubu içindeki bir kaynak grubunu hedeflemek için bir modül ekleyin. özelliğini ayarlamak scope için resourceGroup işlevini kullanın. Abonelik kimliğini ve kaynak grubu adını belirtin.

targetScope = 'managementGroup'

param subscriptionID string
param resourceGroupName string

// module deployed to resource group in the management group
module exampleModule 'module.bicep' = {
  name: 'deployToRG'
  scope: resourceGroup(subscriptionID, resourceGroupName)
}

Kapsamı kiracıya

Kiracıda kaynak oluşturmak için bir modül ekleyin. Özelliğini ayarlamak scope için kiracı işlevini kullanın. Şablonu dağıtan kullanıcının kiracıda dağıtmak için gerekli erişime sahip olması gerekir.

targetScope = 'managementGroup'

// module deployed at tenant level
module exampleModule 'module.bicep' = {
  name: 'deployToTenant'
  scope: tenant()
}

Öte yandan, yönetim grupları gibi bazı kaynak türleri için kapsamı / olarak da ayarlayabilirsiniz. Yeni bir yönetim grubu oluşturma işlemi sonraki bölümde açıklanmıştır.

Yönetim grubu

Bir yönetim grubu dağıtımında yönetim grubu oluşturmak için kapsamı kiracı olarak ayarlamanız gerekir.

Aşağıdaki örnek, kök yönetim grubunda yeni bir yönetim grubu oluşturur.

targetScope = 'managementGroup'

param mgName string = 'mg-${uniqueString(newGuid())}'

resource newMG 'Microsoft.Management/managementGroups@2021-04-01' = {
  scope: tenant()
  name: mgName
  properties: {}
}

output newManagementGroup string = mgName

Sonraki örnek, dağıtım için hedeflenen yönetim grubunda yeni bir yönetim grubu oluşturur. Yönetim grubu işlevini kullanır.

targetScope = 'managementGroup'

param mgName string = 'mg-${uniqueString(newGuid())}'

resource newMG 'Microsoft.Management/managementGroups@2021-04-01' = {
  scope: tenant()
  name: mgName
  properties: {
    details: {
      parent: {
        id: managementGroup().id
      }
    }
  }
}

output newManagementGroup string = mgName

Abonelikler

Arm şablonunu kullanarak bir yönetim grubunda yeni bir Azure aboneliği oluşturmak için bkz:

• Program aracılığıyla Azure Kurumsal Anlaşma abonelikleri oluşturma
• Microsoft Müşteri Sözleşmesi için program aracılığıyla Azure abonelikleri oluşturma
• Microsoft İş Ortağı Sözleşmesi için program aracılığıyla Azure abonelikleri oluşturma

Mevcut Azure aboneliğini yeni bir yönetim grubuna taşıyan bir şablon dağıtmak için bkz. ARM şablonunda abonelikleri taşıma

Azure İlkesi

Yönetim grubuna dağıtılan özel ilke tanımları, yönetim grubunun uzantılarıdır. Özel ilke tanımının kimliğini almak için extensionResourceId() işlevini kullanın. Yerleşik ilke tanımları kiracı düzeyindeki kaynaklardır. Yerleşik ilke tanımının kimliğini almak için tenantResourceId() işlevini kullanın.

Aşağıdaki örnekte, bir ilkenin yönetim grubu düzeyinde nasıl tanımlanacağı ve nasıl atanacakları gösterilmektedir.

targetScope = 'managementGroup'

@description('An array of the allowed locations, all other locations will be denied by the created policy.')
param allowedLocations array = [
  'australiaeast'
  'australiasoutheast'
  'australiacentral'
]

resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2021-06-01' = {
  name: 'locationRestriction'
  properties: {
    policyType: 'Custom'
    mode: 'All'
    parameters: {}
    policyRule: {
      if: {
        not: {
          field: 'location'
          in: allowedLocations
        }
      }
      then: {
        effect: 'deny'
      }
    }
  }
}

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2022-06-01' = {
  name: 'locationAssignment'
  properties: {
    policyDefinitionId: policyDefinition.id
  }
}

Sonraki adımlar

Diğer kapsamlar hakkında bilgi edinmek için bkz:

• Kaynak grubu dağıtımları
• Abonelik dağıtımları
• Kiracı dağıtımları