Yönetim grupları
Azure aboneliklerinizi düzenlemek ve yönetmek için yönetim gruplarını kullanın. Aboneliklerinizin sayısı arttıkça yönetim grupları Azure ortamınıza kritik bir yapı sağlar ve aboneliklerinizi yönetmeyi kolaylaştırır. Etkili bir yönetim grubu hiyerarşisi oluşturmak ve aboneliklerinizi en iyi yöntemlere göre düzenlemek için aşağıdaki kılavuzu kullanın.
Yönetim grubu tasarımında dikkat edilmesi gerekenler
Microsoft Entra kiracısı içindeki yönetim grubu yapıları, kurumsal eşlemeyi destekler. Kuruluşunuz Azure'ın uygun ölçekte benimsenmesini planlarken yönetim grubu yapınızı kapsamlı bir şekilde göz önünde bulundurun.
Kuruluşunuzun belirli ekiplerin sahip olduğu veya çalıştığı hizmetleri nasıl ayırdığını belirleyin.
İş gereksinimleri, operasyonel gereksinimler, mevzuat gereksinimleri, veri yerleşimi, veri güvenliği veya veri hakimiyeti uyumluluğu gibi nedenlerle ayrı tutmanız gereken belirli işlevlerin olup olmadığını belirleyin.
Azure İlkesi aracılığıyla ilke ve girişim atamalarını toplamak için yönetim gruplarını kullanın.
Varsayılan yetkilendirmeyi geçersiz kılmak için yönetim grubu işlemleri için Azure rol tabanlı erişim denetimi (RBAC) yetkilendirmesini etkinleştirin. Varsayılan olarak, bir Microsoft Entra kiracısı içindeki kullanıcı sorumlusu veya hizmet sorumlusu gibi tüm sorumlular yeni yönetim grupları oluşturabilir. Daha fazla bilgi için bkz . Kaynak hiyerarşinizi koruma.
Ayrıca aşağıdaki faktörleri de göz önünde bulundurun:
Bir yönetim grubu ağacı en fazla altı derinlik düzeyini destekleyebilir. Bu sınır, kiracı kök düzeyini veya abonelik düzeyini içermez.
Tüm yeni abonelikler varsayılan olarak kiracı kök yönetim grubu altına yerleştirilir.
Daha fazla bilgi için bkz . Yönetim grupları.
Yönetim grubu önerileri
Yönetim grubu hiyerarşisini makul bir şekilde düz tutun, ideal olarak en fazla üç-dört düzey. Bu kısıtlama, yönetim ek yükünü ve karmaşıklığını azaltır.
Kuruluş yapınızı iç içe bir yönetim grubu hiyerarşisinde yinelemeyin. İlke ataması ve faturalama amaçları için yönetim gruplarını kullanın. Bu yaklaşım için, Yönetim gruplarını Azure giriş bölgesi kavramsal mimarisinde amaçlanan amaçları için kullanın. Bu mimari, aynı yönetim grubu düzeyinde aynı türde güvenlik ve uyumluluk gerektiren iş yükleri için Azure ilkeleri sağlar.
Barındırdığınız iş yükü türlerini temsil etmek için kök düzeyi yönetim grubunuzun altında yönetim grupları oluşturun. Bu gruplar iş yüklerinin güvenlik, uyumluluk, bağlantı ve özellik gereksinimlerini temel alır. Bu gruplandırma yapısıyla, yönetim grubu düzeyinde bir dizi Azure ilkesi uygulanabilir. Aynı güvenlik, uyumluluk, bağlantı ve özellik ayarları gerektiren tüm iş yükleri için bu gruplandırma yapısını kullanın.
Yönetim grubu hiyerarşisini sorgulamak ve yatay olarak gezinmek için kaynak etiketlerini kullanın. Kaynak etiketlerini zorunlu kılmak veya eklemek için Azure İlkesi kullanabilirsiniz. Daha sonra, karmaşık bir yönetim grubu hiyerarşisi kullanmak zorunda kalmadan arama gereksinimleri için kaynakları gruplayabilirsiniz.
Kaynakları üretim ortamlarına taşımadan önce hemen denemeler yapmak için üst düzey bir korumalı alan yönetim grubu oluşturun. Korumalı alan, geliştirme, test ve üretim ortamlarınızdan yalıtım sağlar.
Yaygın platform ilkelerini ve Azure rol atamalarını desteklemek için kök yönetim grubu altında bir platform yönetim grubu oluşturun. Bu gruplandırma yapısı, Azure temelinizdeki aboneliklere çeşitli ilkeler uygulayabilmenizi sağlar. Bu yaklaşım ayrıca tek bir temel abonelik kümesindeki ortak kaynaklar için faturalamayı merkezi hale getirmektedir.
Kök yönetim grubu kapsamındaki Azure İlkesi atamalarının sayısını sınırlayın. Bu sınırlama, düşük düzeyli yönetim gruplarında devralınan ilkelerin hata ayıklamasını da en aza indirir.
İlke temelli idare elde etmek için yönetim grubunda veya abonelik kapsamında uyumluluk gereksinimlerini zorunlu kılmak için ilkeleri kullanın.
Kiracıda yönetim gruplarını yalnızca ayrıcalıklı kullanıcıların çalıştıradığından emin olun. Kullanıcı ayrıcalıklarını iyileştirmek için yönetim grubu hiyerarşi ayarlarında Azure RBAC yetkilendirmesini etkinleştirin. Varsayılan olarak, tüm kullanıcılar kök yönetim grubu altında kendi yönetim gruplarını oluşturabilir.
Yeni abonelikler için varsayılan, ayrılmış bir yönetim grubu yapılandırın. Bu grup, hiçbir aboneliğin kök yönetim grubunun altına girmemesini sağlar. Bu grup özellikle kullanıcıların Microsoft Developer Network (MSDN) veya Visual Studio avantajları ve abonelikleri varsa önemlidir. Bu tür bir yönetim grubu için iyi bir aday, korumalı alan yönetim grubudur. Daha fazla bilgi için bkz . Varsayılan yönetim grubunu ayarlama.
Üretim, test ve geliştirme ortamları için yönetim grupları oluşturmayın. Gerekirse, bu grupları aynı yönetim grubundaki farklı aboneliklere ayırın. Daha fazla bilgi için bkz.
Çoklu bölge dağıtımları için standart Azure giriş bölgesi yönetim grubu yapısını kullanmanızı öneririz. Yalnızca farklı Azure bölgelerini modellemek için yönetim grupları oluşturmayın. Yönetim grubu yapınızı bölge veya çoklu bölge kullanımına göre değiştirmeyin veya genişletmeyin.
Veri yerleşimi, veri güvenliği veya veri hakimiyeti gibi konum tabanlı mevzuat gereksinimleriniz varsa, konuma göre bir yönetim grubu yapısı oluşturmanız gerekir. Bu yapıyı çeşitli düzeylerde uygulayabilirsiniz. Daha fazla bilgi için bkz . Azure giriş bölgesi mimarisini değiştirme.
Azure giriş bölgesi hızlandırıcısı ve ALZ-Bicep deposundaki yönetim grupları
Aşağıdaki örnekte bir yönetim grubu yapısı gösterilmektedir. Bu örnekteki yönetim grupları Azure giriş bölgesi hızlandırıcısında ve ALZ-Bicep deposunun yönetim grupları modülünde yer alır.
Not
ManagementGroups.bicep dosyasını düzenleyerek Azure giriş bölgesi bicep modülünde yönetim grubu hiyerarşisini değiştirebilirsiniz.
| Yönetim grubu | Açıklama |
|---|---|
| Ara kök yönetim grubu | Bu yönetim grubu doğrudan kiracı kök grubunun altındadır. Kuruluş, bu yönetim grubuna kök grubu kullanmaları gerekmeyecek şekilde bir ön ek sağlar. Kuruluş mevcut Azure aboneliklerini hiyerarşiye taşıyabilir. Bu yaklaşım gelecekteki senaryoları da ayarlar. Bu yönetim grubu, Azure giriş bölgesi hızlandırıcısı tarafından oluşturulan diğer tüm yönetim gruplarının üst öğesidir. |
| Platform | Bu yönetim grubu yönetim, bağlantı ve kimlik gibi tüm platform alt yönetim gruplarını içerir. |
| Yönetim | Bu yönetim grubu yönetim, izleme ve güvenlik için ayrılmış bir abonelik içerir. Bu abonelik, ilişkili çözümler ve Azure Otomasyonu hesabı da dahil olmak üzere bir Azure İzleyici Günlükleri çalışma alanını barındırır. |
| Bağlantı | Bu yönetim grubu, bağlantı için ayrılmış bir abonelik içerir. Bu abonelik, platformun gerektirdiği Azure Sanal WAN, Azure Güvenlik Duvarı ve Azure DNS özel bölgeleri gibi Azure ağ kaynaklarını barındırmaktadır. Farklı bölgelerde dağıtılan sanal ağlar, güvenlik duvarı örnekleri ve sanal ağ geçitleri gibi kaynakları içermek için çeşitli kaynak gruplarını kullanabilirsiniz. Bazı büyük dağıtımlarda bağlantı kaynakları için abonelik kotası kısıtlamaları olabilir. Her bölgede bağlantı kaynakları için ayrılmış abonelikler oluşturabilirsiniz. |
| Kimlik | Bu yönetim grubu, kimlik için ayrılmış bir abonelik içerir. Bu abonelik, Active Directory Etki Alanı Hizmetleri (AD DS) sanal makineleri (VM' ler) veya Microsoft Entra Domain Services için bir yer tutucudur. Farklı bölgelerde dağıtılan sanal ağlar ve VM'ler gibi kaynakları içermek için çeşitli kaynak gruplarını kullanabilirsiniz. Abonelik ayrıca giriş bölgeleri içindeki iş yükleri için AuthN veya AuthZ'yi etkinleştirir. Kimlik aboneliğindeki kaynakları sağlamlaştırmak ve yönetmek için belirli Azure ilkeleri atayın. Bazı büyük dağıtımlarda bağlantı kaynakları için abonelik kotası kısıtlamaları olabilir. Her bölgede bağlantı kaynakları için ayrılmış abonelikler oluşturabilirsiniz. |
| Giriş bölgeleri | Tüm giriş bölgesi alt yönetim gruplarını içeren üst yönetim grubu. İş yüklerinin güvenli ve uyumlu olduğundan emin olmak için iş yükü belirsiz Azure ilkeleri atanmıştır. |
| Online | Çevrimiçi giriş bölgeleri için ayrılmış yönetim grubu. Bu grup, doğrudan İnternet'e gelen veya giden bağlantı gerektirebilecek iş yükleri ya da sanal ağ gerektirmeyen iş yükleri içindir. |
| Corp | Kurumsal giriş bölgeleri için ayrılmış yönetim grubu. Bu grup, bağlantı aboneliğindeki hub üzerinden şirket ağıyla bağlantı veya karma bağlantı gerektiren iş yüklerine yöneliktir. |
| Korumalı Alanlar | Abonelikler için ayrılmış yönetim grubu. Kuruluş, test ve araştırma için korumalı alanları kullanır. Bu abonelikler, kurumsal ve çevrimiçi giriş bölgelerinden güvenli bir şekilde yalıtılır. Korumalı alanlar ayrıca Azure hizmetlerinin testini, keşfini ve yapılandırmasını etkinleştirmek için daha az kısıtlayıcı bir ilke kümesine de atanır. |
| Kullanımdan alındı | İptal edilen giriş bölgeleri için ayrılmış yönetim grubu. İptal edilen giriş bölgelerini bu yönetim grubuna taşırsınız ve azure bunları 30-60 gün sonra siler. |
Not
Birçok kuruluş için varsayılan Corp ve Online yönetim grupları ideal bir başlangıç noktası sağlar.
Bazı kuruluşların daha fazla yönetim grubu eklemesi gerekir.
Yönetim grubu hiyerarşisini değiştirmek istiyorsanız bkz . Azure giriş bölgesi mimarisini gereksinimleri karşılayacak şekilde uyarlama.
Azure giriş bölgesi hızlandırıcısı için izinler
Azure giriş bölgesi hızlandırıcısı:
Yönetim grubu işlemlerini, abonelik yönetimi işlemlerini ve rol atamalarını çalıştırmak için ayrılmış hizmet asıl adı (SPN) gerektirir. Yükseltilmiş haklara sahip kullanıcı sayısını azaltmak ve en düşük ayrıcalık yönergelerini izlemek için SPN kullanın.
SPN'ye kök düzeyde erişim vermek için kök yönetim grubu kapsamında Kullanıcı Erişimi Yönetici istrator rolünü gerektirir. SPN'nin izinleri olduktan sonra, Kullanıcı Erişimi Yönetici istrator rolünü güvenle kaldırabilirsiniz. Bu yaklaşım, Kullanıcı Erişimi Yönetici istrator rolüne yalnızca SPN'nin bağlı olmasını sağlar.
Kiracı düzeyinde işlemlere izin veren kök yönetim grubu kapsamında daha önce bahsedilen SPN için Katkıda Bulunan rolünü gerektirir. Bu izin düzeyi, kuruluşunuzdaki herhangi bir aboneliğe kaynak dağıtmak ve yönetmek için SPN'yi kullanabilmenizi sağlar.
Sonraki adım
Büyük ölçekli bir Azure benimsemesi planlarken abonelikleri kullanmayı öğrenin.