Správa přístupu k prostředkům v Azure
V tomto článku se dozvíte, jak se prostředky nasazují v Azure, počínaje základními konstrukcemi prostředků, předplatných a skupin prostředků Azure. Pak se dozvíte, jak Azure Resource Manager (ARM) nasazuje prostředky.
Co je prostředek Azure?
V Azure je prostředek entitou spravovanou v Azure. Všechny příklady prostředků Azure jsou virtuální počítače, virtuální sítě a účty úložiště.
Co je skupina prostředků Azure?
Každý prostředek v Azure musí patřit do skupiny prostředků. Skupina prostředků je logický kontejner, který přidruží více prostředků, abyste je mohli spravovat jako jednu entitu na základě životního cyklu a zabezpečení. Prostředky můžete například vytvořit nebo odstranit jako skupinu, pokud prostředky sdílejí podobný životní cyklus, například prostředky pro n-vrstvou aplikaci. Jinými slovy, všechno, co vytváříte, spravujete a vyřadíte dohromady, je přidružené ke skupině prostředků.
Doporučeným postupem je přidružit skupiny prostředků a prostředky, které obsahují, s předplatným Azure.
Co je předplatné Azure?
Předplatné Azure se podobá skupině prostředků v tom, že se jedná o logický kontejner, který přidruží skupiny prostředků a jejich příslušné prostředky. Předplatné Azure je také přidružené k ovládacím prvkům Azure Resource Manageru. Seznamte se s Azure Resource Managerem a jeho vztahem k předplatným Azure.
Co je Azure Resource Manager?
V části Jak Azure funguje?, zjistíte, že Azure obsahuje front-end se službami, které orchestrují funkce Azure. Jednou z těchto služeb je Azure Resource Manager. Tato služba hostuje klienty rozhraní RESTful API, které používají ke správě prostředků.
Následující obrázek znázorňuje tři klienty: Azure PowerShell, Azure Portal a Azure CLI:
I když se tito klienti připojují k Resource Manageru pomocí rozhraní REST API, Resource Manager nezahrnuje funkce pro přímou správu prostředků. Většina typů prostředků v Azure má místo toho vlastního poskytovatele prostředků.
Když klient odešle žádost o správu konkrétního prostředku, Azure Resource Manager se připojí k poskytovateli prostředků pro daný typ prostředku, aby žádost dokončila. Pokud například klient požádá o správu prostředku virtuálního počítače, Azure Resource Manager se připojí k poskytovateli Microsoft.Compute prostředků.
Azure Resource Manager vyžaduje, aby klient zadal identifikátor předplatného i skupiny prostředků pro správu prostředku virtuálního počítače.
Jakmile pochopíte, jak Azure Resource Manager funguje, dozvíte se, jak přidružit předplatné Azure k ovládacím prvkům Azure Resource Manageru. Než Azure Resource Manager může provést jakoukoli žádost o správu prostředků, projděte si následující sadu ovládacích prvků.
První ovládací prvek spočívá v tom, že ověřený uživatel musí provést požadavek. Azure Resource Manager musí mít také důvěryhodný vztah s ID Microsoft Entra, aby mohl poskytovat funkce identity uživatele.
V Microsoft Entra ID můžete segmentovat uživatele do tenantů. Tenant je logický konstruktor, který představuje zabezpečenou vyhrazenou instanci ID Microsoft Entra, kterou obvykle někdo přidruží k organizaci. Každé předplatné můžete také přidružit k tenantovi Microsoft Entra.
Každý požadavek klienta na správu prostředku v určitém předplatném vyžaduje, aby uživatel má účet v přidruženém tenantovi Microsoft Entra.
Dalším ovládacím prvek je kontrola, jestli má uživatel dostatečná oprávnění k provedení požadavku. Oprávnění se přiřazují uživatelům pomocí řízení přístupu na základě role v Azure (Azure RBAC).
Role Azure určuje sadu oprávnění, která může uživatel převzít u konkrétního prostředku. Když je role přiřazená uživateli, použijí se tato oprávnění. Například předdefinovaná role Vlastník umožňuje uživateli spustit jakoukoli akci u prostředku.
Dalším ovládacím prostředkem je kontrola, jestli je požadavek povolený v nastavení určených pro zásady prostředků Azure. Zásady prostředků Azure určují operace povolené pro konkrétní prostředek. Zásady prostředků Azure můžou například určit, že uživatelé můžou nasadit jenom konkrétní typ virtuálního počítače.
Dalším řízením je kontrola, že požadavek nepřekračuje limit předplatného Azure. Každé předplatné má například limit 980 skupin prostředků na předplatné. Pokud obdržíte žádost o nasazení jiné skupiny prostředků, jakmile dosáhnete limitu, zamítejte ji.
Poslední kontrolou je kontrola ověření, že žádost je v rámci finančního závazku, který přidružíte k předplatnému. Azure Resource Manager například ověří, že předplatné má dostatek platebních údajů, pokud je žádost o nasazení virtuálního počítače.
Souhrn
V tomto článku jste se dozvěděli, jak se v Azure spravuje přístup k prostředkům pomocí Azure Resource Manageru.
Další kroky
Přečtěte si další informace o přechodu na cloud pomocí architektury přechodu na cloud od Microsoftu pro Azure.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro