Azure 中的資源存取管理

  • 發行項

在本文中,瞭解如何在 Azure 中部署資源,從資源、訂用帳戶和資源群組的基本 Azure 建構開始。 接著,您將瞭解 Azure Resource Manager (ARM) 如何部署資源。

什麼是 Azure 資源?

在 Azure 中,資源是由 Azure 管理的實體。 虛擬機器、虛擬網路和儲存體帳戶都是 Azure 資源的範例。

Diagram of a resource.

什麼是 Azure 資源群組?

Azure 中的每個資源都必須屬於 資源群組 。 資源群組是一個邏輯容器,可建立多個資源的關聯,因此您可以根據生命週期和安全性,將其管理為單一實體。 例如,如果資源分享類似的生命週期,例如多層式應用程式 的資源 ,您可以建立或刪除資源作為群組。 換句話說,您在資源群組內建立、管理和取代的所有專案都相關聯。

Diagram of a resource group containing a resource.

建議的最佳做法是將資源群組及其包含的資源與 Azure 訂用帳戶產生關聯。

什麼是 Azure 訂用帳戶?

Azure 訂用帳戶類似于資源群組,其邏輯容器會關聯資源群組及其各自的資源。 Azure 訂用帳戶也會與 Azure Resource Manager 控制項相關聯。 瞭解 Azure Resource Manager 及其與 Azure 訂用帳戶的關聯性。

Diagram of an Azure subscription.

什麼是 Azure Resource Manager?

Azure 的運作方式中 ,您會瞭解 Azure 包含一個前端,其中包含協調 Azure 函式的服務。 其中一項服務是 Azure Resource Manager 。 此服務會裝載 RESTful API 用戶端,以用來管理資源。

Diagram of Azure Resource Manager.

下圖顯示三個用戶端: Azure PowerShell Azure 入口網站 Azure CLI

Diagram of Azure clients connecting to the Resource Manager REST API.

雖然這些用戶端會使用 REST API 連線到 Resource Manager,但 Resource Manager 不包含直接管理資源的功能。 相反地,Azure 中的大部分資源類型都有自己的 資源提供者

Diagram of Azure resource providers.

當用戶端提出管理特定資源的要求時,Azure Resource Manager 會連線至該資源類型的資源提供者,以完成要求。 例如,如果用戶端提出管理虛擬機器資源的要求,Azure Resource Manager 會連線到 Microsoft.Compute 資源提供者。

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

Azure Resource Manager 需要用戶端指定訂用帳戶和資源群組的識別碼,以管理虛擬機器資源。

瞭解 Azure Resource Manager 的運作方式後,您可以瞭解如何將 Azure 訂用帳戶與 Azure Resource Manager 控制項產生關聯。 在 Azure Resource Manager 可以執行任何資源管理要求之前,請先檢閱下列一組控制項。

第一個控制項是已驗證的使用者必須提出要求。 此外,Azure Resource Manager 必須與 Microsoft Entra ID 有信任關係 ,才能提供使用者身分識別功能。

Diagram of Microsoft Entra ID.

在 Microsoft Entra ID 中,您可以將使用者分割成租使用者。 租使用者 是邏輯建構,代表一個通常與組織建立關聯的安全專用 Microsoft Entra 識別碼實例。 您也可以將每個訂用帳戶與 Microsoft Entra 租使用者產生關聯。

A Microsoft Entra tenant associated with a subscription

每個用戶端要求管理特定訂用帳戶中的資源,都需要使用者在相關聯的 Microsoft Entra 租使用者中擁有帳戶。

下一個控制項是檢查使用者是否有足夠的許可權可提出要求。 許可權會使用 Azure 角色型存取控制 (Azure RBAC) 指派給使用者。

Users assigned to Azure roles

Azure 角色會指定一組使用者可接受特定資源的許可權。 將角色指派給使用者時,會套用這些許可權。 例如, 內建擁有者角色 可讓使用者在資源上執行任何動作。

下一個控制項是檢查要求是否允許在針對 Azure 資源原則 指定的設定下 。 Azure 資源原則會指定特定資源允許的作業。 例如,Azure 資源原則可以指定使用者只允許部署特定類型的虛擬機器。

Azure resource policy

下一個控制項是檢查要求未超過 Azure 訂用帳戶限制 。 例如,每個訂用帳戶每個訂用帳戶的限制為 980 個資源群組。 如果您在達到限制時收到部署另一個資源群組的要求,請予以拒絕。

Diagram of Azure resource limits.

最後一個控制項是檢查,以確認要求在您與訂用帳戶相關聯的財務承諾範圍內。 例如,如果要求是部署虛擬機器,Azure Resource Manager 會確認訂用帳戶有足夠的付款資訊。

Diagram of a financial commitment associated with a subscription.

摘要

在本文中,您已瞭解如何使用 Azure Resource Manager 在 Azure 中管理資源存取。

下一步

深入瞭解使用適用于 Azure 的 Microsoft 雲端採用架構 雲端採用。

適用於 Azure 的 Microsoft 雲端採用架構