Azure 基本概念
在本文中,瞭解基本概念、Microsoft Azure 中使用的詞彙,以及概念彼此的關聯性。
Azure 術語
當您開始 Azure 雲端採用旅程時,瞭解下列定義會很有説明:
- 資源: 由 Azure 管理的實體。 範例包括 Azure 虛擬機器、虛擬網路和儲存體帳戶。
- 訂用帳戶: 資源的邏輯容器。 每個 Azure 資源只會與一個訂用帳戶相關聯。 建立訂用帳戶是採用 Azure 的第一個步驟。
- Azure 帳戶: 您在建立 Azure 訂用帳戶時提供的電子郵件地址是訂用帳戶的 Azure 帳戶。 與電子郵件帳戶相關聯的合作物件負責訂用帳戶中資源所產生的每月成本。 當您建立 Azure 帳戶時,您會提供連絡資訊和帳單詳細資料,例如信用卡。 您可以針對多個訂用帳戶使用相同的 Azure 帳戶。 每個訂用帳戶只會與一個 Azure 帳戶相關聯。
- 帳戶管理員: 與用來建立 Azure 訂用帳戶的電子郵件地址相關聯的合作物件。 帳戶管理員負責支付訂用帳戶資源所產生的所有成本。
- Microsoft Entra ID: Microsoft 雲端式身分識別和存取管理服務。 Microsoft Entra ID 可讓您的員工登入和存取資源。
- Microsoft Entra 租使用者: 專用且受信任的 Microsoft Entra 識別碼實例。 當您的組織註冊 Microsoft 雲端服務訂用帳戶時,它會自動建立 Microsoft Entra 租使用者。 例如,Microsoft Azure、Intune 或 Microsoft 365。 一個 Azure 租用戶代表一個組織。
- Microsoft Entra 目錄: 每個 Microsoft Entra 租使用者都有單一、專用且受信任的目錄。 目錄包含租使用者的使用者、群組和應用程式。 使用 目錄來管理租使用者資源的身分識別和存取管理功能。 您可以將目錄與多個訂用帳戶產生關聯,但每個訂用帳戶只與一個目錄相關聯。
- 資源群組: 您用來群組訂用帳戶中相關資源的邏輯容器。 每個資源只能存在於一個資源群組中。 資源群組允許在訂用帳戶內進行更細微的群組。 它們通常用來代表支援訂用帳戶內工作負載、應用程式或特定函式所需的資產集合。
- 管理群組: 您用於一或多個訂用帳戶的邏輯容器。 您可以定義管理群組、訂用帳戶、資源群組和資源的階層,透過繼承來有效率地管理存取、原則和合規性。
- 區域: 在延遲定義的周邊內部署的一組 Azure 資料中心。 資料中心會透過專用、區域、低延遲的網路進行連線。 大部分的 Azure 資源都會在特定 Azure 區域中執行。
Azure 訂用帳戶用途
Azure 訂用帳戶有數個用途,例如:
- 法律協定。 每個訂用帳戶都會與 Azure 供應專案 相關聯,例如免費試用或隨用隨付。 每個供應專案都會提供特定的費率方案、權益,以及相關聯的條款及條件。 當您建立訂用帳戶時,請選擇 Azure 供應專案。
- 付款合約。 當您建立訂用帳戶時,您會提供該訂用帳戶的付款資訊,例如信用卡號碼。 每個月,部署至訂用帳戶的資源所產生的成本會計算並計費給該付款條件。
- 縮放界限。 您為訂用帳戶定義的調整限制。 訂用帳戶的資源不能超過設定的調整限制。 例如,您可以在單一訂用帳戶中建立的虛擬機器數目有限制。
- 系統管理界限。 訂用帳戶可作為管理、安全性和原則的界限。 Azure 也提供其他機制來符合這些需求,例如管理群組、資源群組和 Azure 角色型存取控制。
Azure 訂用帳戶考慮
當您建立 Azure 訂用帳戶時,您會對訂用帳戶進行數個主要選擇:
- 神秘負責支付訂用帳戶的費用嗎? 根據預設,帳戶管理員是與您建立訂用帳戶時提供的電子郵件地址相關聯的人員。 此人負責支付訂用帳戶資源所產生的所有費用。
- 我感興趣的 Azure 供應專案為何? 每個訂用帳戶都會與特定的 Azure 供應專案 相關聯。 您可以選擇最符合需求的 Azure 供應專案。 例如,如果您想要使用訂用帳戶來執行非生產工作負載,您可以選擇隨用隨付開發/測試供應專案或企業開發/測試供應專案。
注意
當您註冊 Azure 時,您可能會看到建立 Azure 帳戶 的片語 。 當您建立 Azure 訂用帳戶時,您會建立 Azure 帳戶。 您可以將訂用帳戶與電子郵件帳戶產生關聯。
Azure 系統管理角色
Azure 定義三種類型的角色來管理訂用帳戶、身分識別和資源:
- 傳統訂用帳戶管理員角色
- Azure 角色
- Microsoft Entra 角色
帳戶管理員角色會指派給用來建立 Azure 訂用帳戶的電子郵件帳戶。 帳戶管理員是訂用帳戶的計費擁有者。 帳戶管理員可以 管理Azure 入口網站中的訂用帳戶管理員 。
根據預設,訂用帳戶的服務管理員角色也會指派給用來建立 Azure 訂用帳戶的電子郵件帳戶。 服務管理員具有訂用帳戶的許可權,相當於 Azure 角色型存取控制擁有者角色。 服務管理員也具有Azure 入口網站的完整存取權。 帳戶管理員可以將服務管理員變更為不同的電子郵件帳戶。
當您建立 Azure 訂用帳戶時,您可以將它與現有的 Microsoft Entra 租使用者產生關聯。 否則,建立新的訂用帳戶會建立具有相關聯目錄的新 Microsoft Entra 租使用者。 將 Microsoft Entra 目錄中的全域管理員角色指派給用來建立 Microsoft Entra 訂用帳戶的電子郵件帳戶。
您可以將電子郵件帳戶與多個 Azure 訂用帳戶產生關聯。 帳戶管理員可以將訂用帳戶轉移至另一個帳戶。
如需詳細資訊,請參閱 傳統訂用帳戶管理員角色、Azure 角色和 Microsoft Entra 角色 。
訂用帳戶和區域
每個 Azure 資源都會以邏輯方式與一個訂用帳戶相關聯。 當您建立資源時,您可以選擇要部署該資源的 Azure 訂用帳戶。 您稍後可以將資源移至另一個訂用帳戶。
訂用帳戶不會系結至特定的 Azure 區域,但每個 Azure 資源只會部署到一個區域。 您可以在多個與相同訂用帳戶相關聯的區域中擁有資源。
注意
大部分的 Azure 資源都會部署到特定區域。 某些資源類型會被視為全域資源,例如您使用 Azure 原則 服務所設定的原則。
相關資源
下列資源提供本文所討論概念的詳細資訊:
- Azure 如何運作?
- Azure 中的資源存取管理
- Azure Resource Manager 概觀
- Azure 角色型存取控制 (Azure RBAC)
- 什麼是 Microsoft Entra 識別碼?
- 將 Azure 訂用帳戶關聯或新增至您的 Microsoft Entra 租使用者
- Microsoft Entra 連線拓撲
- Microsoft 雲端供應專案的訂用帳戶、授權、帳戶和租使用者
下一步
既然您已瞭解基本的 Azure 概念,請瞭解如何使用多個 Azure 訂用帳戶進行調整。