Используйте группы управления Azure для управления разрешениями и политиками.

Функция , которая является частью управления Azure, имеет решающее значение для любой крупной организации, которая имеет дело с несколькими подписками из разных областей бизнеса. В средних и крупных средах, где требуется более пары подписок, использование групп управления становится решающим. Используя группы управления Azure, можно применять RBAC (управление доступом на основе ролей) и политики к группам управления, а после этого часть управления — это просто вопрос назначения подписок группам. После этого шага все глобальные разрешения и политики будут действовать без какого-либо ручного вмешательства со стороны администраторов.
Прежде чем углубиться в задачи группы управления, я хотел бы указать на несколько ключевых моментов, которые нам необходимо понять о группах управления, а именно:
- Создается единая структура для поддержки группы управления в каждой организации.
- Все группы управления объединены в .
- У нас может быть до шести уровней групп управления (корневой клиент не считается).
- Подписка может быть назначена группе управления, и существует соотношение 1:1.
- Группа управления может иметь несколько дочерних групп управления, но только одну родительскую. Как обычная папка в NTFS, просто так.
- Имя группы управления имеет жизненно важное значение, и некоторые моменты, которые я хотел бы выделить:
- Имена групп управления уникальны.
- При создании группы управления у нас есть два поля: идентификатор группы управления и отображаемое имя. Первый не может быть изменен и не может содержать пробелы; последний может содержать пробелы и может быть переименован.
- Использование и не следует использовать, поскольку мы можем использовать только один раз для каждого арендатора.
Управление группами управления Azure
В этом разделе мы рассмотрим основы управления группами управления с помощью портала Azure, включая создание, изменение и исключения, как назначать подписки, и поймем, где мы собираем все части вместе. Для управления группами управления мы можем использовать PowerShell, Azure CLI и Azure Portal. Поскольку это более глобальная конфигурация, которая будет использоваться всей организацией, я предпочитаю использовать портал Azure, который обеспечивает лучшую видимость того, что мы определяем. Пойдем!
Войдите на портал Azure, найдите группы управления, и новая колонка будет иметь список групп управления первого уровня (если они существуют, чего нет на изображении ниже) и существующих подписок.
Чтобы создать новую, нажмите кнопку «Добавить группу управления». В новом блейде нам нужно предоставить и эту информацию нельзя изменить, и , которое можно изменить в любое время. Нажмите «Сохранить» и обновите предыдущую колонку, чтобы увидеть новую группу управления.
При создании дочерней группы управления мастер помогает предоставить информацию о родительской группе, как показано на рисунке ниже. Если вы создали не того родителя, не беспокойтесь, мы всегда можем переместить группы управления.
Поскольку я упомянул о перемещении групп управления, хотя это простой шаг, он требует некоторого планирования и проверки среды перед завершением процесса. Например: при перемещении группы управления будет перемещена требуемая группа управления и ее дочерние группы управления и подписки. Кроме того, новые разрешения и политики из новой родительской группы управления будут применяться к недавно перемещенным подпискам, поэтому перед перемещением убедитесь, что вы оцениваете, что реализуется в целевой группе управления.
Есть несколько способов переместить группу управления с помощью портала Azure, и более простой способ — нажать кнопку … и выбрать место назначения, как показано на рисунке ниже.
Так как мы управляем, последняя тема - удалить группу управления, и это можно сделать быстро, если группа управления пуста, а значит нет дочерних групп управления и/или подписок. Чтобы выполнить исключение, нажмите кнопку … и нажмите Удалить. Если он недоступен, возможно, у вас все еще есть объекты в этой группе управления.
Следующим шагом является возможность перемещать подписки, чтобы организовать их в группы управления, и этого можно легко добиться, нажав … а затем Переместить, новый блейд запросит целевую группу управления, нажмите Сохранить и все!
Осталась последняя остановка перед тем, как перейти к панели управления группы управления, где и происходит все волшебство. В группах управления мы только что перенесли подписку на эту группу , которая является дочерней группой . Используя элемент 1, изображенный на изображении ниже, у нас есть навигационная цепочка, которая помогает нам перемещаться между нашими группами управления. И последнее, но не менее важное: у нас есть ссылка на детали (элемент 2), где она покажет нам панель мониторинга для данной группы управления.
Панель управления для группы управления — это центральное место, где мы можем видеть все назначенные подписки, политики, журналы, контроль доступа и даже стоимость для этой конкретной группы управления. Большинство параметров, которые мы использовали для управления группой управления, также доступны здесь. Однако вы не можете увидеть весь ландшафт групп управления, используя только панель мониторинга, и поэтому я показал вам более ручной процесс создания структуры.
Назначение политик Azure
При создании политик Azure в области мы можем выбрать группу управления (как показано на изображении ниже), и это дает преимущество централизованного управления, при котором любая подписка, добавляемая в эту группу управления, получит эту политику Azure.
Чтобы дважды проверить, применяются ли изменения групп управления к подписке, мы всегда можем перейти прямо к нужной подписке, затем нажать «Соответствие», и с правой стороны мы должны увидеть политику Azure, которая была создана в . уровень.
Если мы посмотрим на столбец , то сможем определить, что политика исходит от группы управления, а это именно то, что мы ищем.
Назначение управления доступом на основе ролей
Эта функция является фантастической при управлении контролем доступа. Допустим, мы хотим добавить GroupA в качестве во всю мою производственную ИТ-среду. Имейте в виду, что если у меня будут добавляться новые подписки, то же самое разрешение будет назначено.
В колонке нажмите «Контроль доступа (IAM)», а затем нажмите « Добавить», затем выберите « Добавить назначение роли», выберите « и кому мы назначим привилегию и нажмите « Сохранить».
Если мы хотим перепроверить, мы всегда можем перейти непосредственно к подписке (Контроль доступа) и проверить текущие разрешения, и мы увидим, что группа, которую мы назначили на уровне группы управления, отображается там. В последнем столбце показано, что конкретное разрешение было унаследовано от группы управления.
Группы управления Azure: подведение итогов
Если вам требуется больший контроль над своими подписками, эта функция для вас! Наличие всех ваших глобальных элементов управления доступом и политик в центральном месте, не беспокоясь о поиске новых подписок и их назначении вручную, меняет правила игры. Еще одна прелесть этой функции в том, что у нас есть аудиторская информация обо всем, что происходит. Например, когда я создал разрешения, которые были распространены на мою группу управления ИТ-производством, запись об этом действии была зарегистрирована. Так что будьте уверены, вы можете проанализировать все изменения, внесенные в вашу среду.