Kaynak hiyerarşinizi koruma
Kaynaklarınız, kaynak gruplarınız, abonelikleriniz, yönetim gruplarınız ve kiracınız birlikte kaynak hiyerarşinizi oluşturur. Kök yönetim grubundaki Azure özel rolleri veya Azure İlkesi ilke atamaları gibi ayarlar, kaynak hiyerarşinizdeki tüm kaynakları etkileyebilir. Kaynak hiyerarşisini tüm kaynakları olumsuz etkileyebilecek değişikliklerden korumak önemlidir.
Yönetim grupları artık kiracı yöneticisinin bu davranışları denetlemesini sağlayan hiyerarşi ayarlarına sahiptir. Bu makale, kullanılabilir hiyerarşi ayarlarının her birini ve bunların nasıl ayarlandığını kapsar.
Hiyerarşi ayarları için Azure RBAC izinleri
Hiyerarşi ayarlarından herhangi birinin yapılandırılması için kök yönetim grubunda aşağıdaki iki kaynak sağlayıcısı işlemi gerekir:
Microsoft.Management/managementgroups/settings/writeMicrosoft.Management/managementgroups/settings/read
Bu işlemler yalnızca kullanıcının hiyerarşi ayarlarını okumasına ve güncelleştirmesine izin verir. İşlemler, yönetim grubu hiyerarşisine veya hiyerarşideki kaynaklara başka erişim sağlamaz. Bu işlemlerin her ikisi de Azure yerleşik rolü Hiyerarşi Ayarları Yöneticisi'nde kullanılabilir.
Ayar - Varsayılan yönetim grubu
Varsayılan olarak, kiracıya eklenen yeni bir abonelik kök yönetim grubunun üyesi olarak eklenir. İlke atamaları, Azure rol tabanlı erişim denetimi (Azure RBAC) ve diğer idare yapıları kök yönetim grubuna atanırsa, bu yeni abonelikleri hemen etkiler. Bu nedenle, birçok kuruluş bu yapıları atamak için istenen yer olsa bile kök yönetim grubunda uygulamaz. Diğer durumlarda, yeni abonelikler için daha kısıtlayıcı bir denetim kümesi istenir, ancak tüm aboneliklere atanmamalıdır. Bu ayar her iki kullanım örneğini de destekler.
Yeni abonelikler için varsayılan yönetim grubunun tanımlanmasına izin vererek, kök yönetim grubunda kuruluş genelinde idare yapıları uygulanabilir ve yeni bir aboneliğe daha uygun ilke atamaları veya Azure rol atamaları içeren ayrı bir yönetim grubu tanımlanabilir.
Portalda varsayılan yönetim grubunu ayarlama
Azure portal bu ayarı yapılandırmak için şu adımları izleyin:
'Yönetim grupları'nı aramak ve seçmek için arama çubuğunu kullanın.
Kök yönetim grubunda, yönetim grubunun adının yanındaki ayrıntıları seçin.
Ayarlar'ın altında Hiyerarşi ayarları'nı seçin.
Varsayılan yönetim grubunu değiştir düğmesini seçin.
Not
Varsayılan yönetim grubunu değiştir düğmesi devre dışı bırakılırsa, görüntülenen yönetim grubu kök yönetim grubu değildir veya güvenlik sorumlunuzun hiyerarşi ayarlarını değiştirmek için gerekli izinleri yoktur.
Hiyerarşinizden bir yönetim grubu seçin ve Seç düğmesini kullanın.
REST API ile varsayılan yönetim grubunu ayarlama
Bu ayarı REST API ile yapılandırmak için Hiyerarşi Ayarları uç noktası çağrılır. Bunu yapmak için aşağıdaki REST API URI'sini ve gövde biçimini kullanın. öğesini kök yönetim grubunuzun kimliğiyle ve {defaultGroupID} varsayılan yönetim grubu olmak için yönetim grubunun kimliğiyle değiştirin{rootMgID}:
REST API URI'si
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01İstek Gövdesi
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Varsayılan yönetim grubunu kök yönetim grubuna geri ayarlamak için aynı uç noktayı kullanın ve defaultManagementGroup/providers/Microsoft.Management/managementGroups/{rootMgID}değerini değerine ayarlayın.
Ayar - Yetkilendirme gerektir
Varsayılan olarak tüm kullanıcılar kiracı içinde yeni yönetim grupları oluşturabilir. Bir kiracının yöneticileri, yönetim grubu hiyerarşisinde tutarlılığı ve uyumluluğu korumak için yalnızca belirli kullanıcılara bu izinleri sağlamak isteyebilir. Etkinleştirilirse, bir kullanıcı yeni alt yönetim grupları oluşturmak için kök yönetim grubunda işlemi gerektirir Microsoft.Management/managementGroups/write .
Portalda yetkilendirme gerektir'i ayarlama
Azure portal bu ayarı yapılandırmak için şu adımları izleyin:
'Yönetim grupları'nı aramak ve seçmek için arama çubuğunu kullanın.
Kök yönetim grubunda, yönetim grubunun adının yanındaki ayrıntıları seçin.
Ayarlar'ın altında Hiyerarşi ayarları'nı seçin.
Yeni yönetim grupları oluşturmak için izin iste seçeneğini açık konuma getirin.
Not
Yeni yönetim grupları oluşturmak için izin iste iki durumlu düğmesi devre dışı bırakılırsa, görüntülenen yönetim grubu kök yönetim grubu değildir veya güvenlik sorumlunuz hiyerarşi ayarlarını değiştirmek için gerekli izinlere sahip değildir.
REST API ile yetkilendirme gerektir'i ayarlama
Bu ayarı REST API ile yapılandırmak için Hiyerarşi Ayarları uç noktası çağrılır. Bunu yapmak için aşağıdaki REST API URI'sini ve gövde biçimini kullanın. Bu değer bir boole değeridir, bu nedenle değer için true veya false değerini belirtin. true değeri, yönetim grubu hiyerarşinizi korumak için bu yöntemi etkinleştirir:
REST API URI'si
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01İstek Gövdesi
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Ayarı yeniden kapatmak için aynı uç noktayı kullanın ve requireAuthorizationForGroupCreation değerini false değerine ayarlayın.
PowerShell örneği
PowerShell'de varsayılan yönetim grubunu veya yetkilendirme gerektiren bir kümeyi ayarlamak için 'Az' komutu yoktur, ancak geçici bir çözüm olarak REST API'yi aşağıdaki PowerShell örneğiyle kullanabilirsiniz:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Sonraki adımlar
Yönetim grupları hakkında daha fazla bilgi almak için bkz.: