Diseño de gobernanza para varios equiposGovernance design for multiple teams

El objetivo de esta guía es ayudarle a obtener información sobre el proceso de diseño de un modelo de gobernanza de recursos en Azure que admita varios equipos, varias cargas de trabajo y varios entornos.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support multiple teams, multiple workloads, and multiple environments. Primero, veremos un conjunto de requisitos de gobernanza hipotéticos y, después, describiremos varias implementaciones de ejemplo que cumplen dichos requisitos.First you'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

Los requisitos son:The requirements are:

  • La empresa planea la transición de nuevos roles y responsabilidades en la nube a un conjunto de usuarios y, por tanto, se requiere la administración de identidades para varios equipos con diferentes necesidades de acceso a los recursos de Azure.The enterprise plans to transition new cloud roles and responsibilities to a set of users and therefore requires identity management for multiple teams with different resource access needs in Azure. Este sistema de administración de identidades es necesario para almacenar la identidad de los usuarios siguientes:This identity management system is required to store the identity of the following users:
    • La persona de la organización responsable de la propiedad de las suscripciones.The individual in your organization responsible for ownership of subscriptions.
    • La persona de la organización responsable de los recursos de la infraestructura compartida utilizados para conectar la red local a una red virtual en Azure.The individual in your organization responsible for the shared infrastructure resources used to connect your on-premises network to a virtual network in Azure.
    • Dos personas de la organización responsables de administrar una carga de trabajo.Two individuals in your organization responsible for managing a workload.
  • Compatibilidad para varios entornos.Support for multiple environments. Un entorno es una agrupación lógica de recursos, como máquinas virtuales, redes virtuales y servicios de enrutamiento de tráfico de red.An environment is a logical grouping of resources, such as virtual machines, virtual networking, and network traffic routing services. Estos grupos de recursos tienen requisitos de seguridad y administración similares y se suelen usar para un propósito específico, como pruebas o producción.These groups of resources have similar management and security requirements and are typically used for a specific purpose such as testing or production. En este ejemplo, son necesarios cuatro entornos:In this example, the requirement is for four environments:
    • Un entorno de infraestructura compartida que incluya los recursos compartidos por las cargas de trabajo en otros entornos.A shared infrastructure environment that includes resources shared by workloads in other environments. Por ejemplo, una red virtual con una subred de puerta de enlace que proporciona conectividad con el entorno local.For example, a virtual network with a gateway subnet that provides connectivity to on-premises.
    • Un entorno de producción con las directivas de seguridad más restrictivas.A production environment with the most restrictive security policies. Puede incluir las cargas de trabajo de acceso interno o externo.Could include internal or external facing workloads.
    • Un entorno que no sea de preproducción para trabajos de desarrollo y pruebas.A nonproduction environment for development and testing work. Las directivas de seguridad, de cumplimiento normativo y de costos de este entorno difieren de los del entorno de producción.This environment has security, compliance, and cost policies that differ from those in the production environment. En Azure, esto adopta la forma de una suscripción de desarrollo/pruebas - Enterprise.In Azure, this takes the form of an Enterprise Dev/Test subscription.
    • Un entorno de espacio aislado con fines de prueba de concepto y educativos.A sandbox environment for proof of concept and education purposes. Este entorno se asigna normalmente por cada empleado que participa en las actividades de desarrollo e incluye estrictos controles de seguridad de procedimientos y controles operativos para evitar que los datos corporativos entren aquí.This environment is typically assigned per employee participating in development activities and has strict procedural and operational security controls in place to prevent corporate data from landing here. En Azure, estos adoptan la forma de suscripciones de Visual Studio.In Azure, these take the form of Visual Studio subscriptions. Estas suscripciones no se deben asociar tampoco a la instancia de Azure Active Directory de la empresa.These subscriptions should also not be tied to the enterprise Azure Active Directory.
  • Un modelo de permisos de privilegios mínimos en el cual los usuarios no poseen permisos de forma predeterminada.A permissions model of least privilege in which users have no permissions by default. El modelo debe admitir lo siguiente:The model must support the following:
    • Un único usuario de confianza en el ámbito de la suscripción, tratado como una cuenta de servicio, con permiso para asignar derechos de acceso a los recursos.A single trusted user at the subscription scope, treated like a service account and granted permission to assign resource access rights.
    • De forma predeterminada, a los propietarios de las cargas de trabajo se les deniega el acceso a los recursos.Each workload owner is denied access to resources by default. Los derechos de acceso a los recursos los concede explícitamente el usuario único de confianza en el ámbito del grupo de recursos.Resource access rights are granted explicitly by the single trusted user at the resource group scope.
    • Acceso de administración a los recursos compartidos de la infraestructura limitado a los propietarios de la infraestructura compartida.Management access for the shared infrastructure resources, limited to the shared infrastructure owners.
    • Acceso de administración para cada carga de trabajo limitado al propietario de la carga de trabajo en producción, con el aumento de los niveles de control a medida que el desarrollo continúa a través de los distintos entornos de implementación (desarrollo, prueba, ensayo y producción).Management access for each workload restricted to the workload owner in production, and increasing levels of control as development proceeds through the various deployment environments (development, test, staging, and production).
    • La empresa no quiere tener que administrar los roles de forma independiente en cada uno de los tres entornos principales, por lo tanto, solo se necesita el uso de los roles integrados que están disponibles en el control de acceso basado en rol de Azure (RBAC de Azure).The enterprise does not want to have to manage roles independently in each of the three main environments, and therefore requires the use of only built-in roles available in Azure role-based access control (Azure RBAC). Si la empresa requiere necesariamente roles personalizados, serán necesarios procesos adicionales para sincronizar los roles personalizados en los tres entornos.If the enterprise absolutely requires custom roles, additional processes would be needed to synchronize custom roles across the three environments.
  • Seguimiento de los costos por nombre de propietario de la carga de trabajo, entorno o ambos.Cost tracking by workload owner name, environment, or both.

Administración de identidadesIdentity management

Antes de diseñar la administración de identidades para nuestro modelo de gobernanza, es importante comprender las cuatro áreas principales que incluye:Before you can design identity management for your governance model, it's important to understand the four major areas it encompasses:

  • Administración: procesos y herramientas para crear, editar y eliminar identidades de usuario.Administration: The processes and tools for creating, editing, and deleting user identity.
  • Autenticación: validación de las credenciales, por ejemplo, nombre de usuario y contraseña, para comprobar la identidad del usuario.Authentication: Verifying user identity by validating credentials, such as a user name and password.
  • Authorization: determinación de cuáles son los recursos a los que puede acceder un usuario autenticado o qué operaciones está autorizado a realizar.Authorization: Determining which resources an authenticated user is allowed to access or what operations they have permission to perform.
  • Auditoría: revisión periódica de los registros y otra información para detectar problemas de seguridad relacionados con la identidad de los usuarios.Auditing: Periodically reviewing logs and other information to discover security issues related to user identity. Esto incluye la revisión de los patrones de uso sospechosos, la revisión periódica de los permisos de usuario para comprobar que son precisos, entre otras funciones.This includes reviewing suspicious usage patterns, periodically reviewing user permissions to verify they're accurate, and other functions.

Hay solo un servicio de Azure de confianza para la identidad y es Azure Active Directory (Azure AD).There is only one service trusted by Azure for identity, and that is Azure Active Directory (Azure AD). Los usuarios se agregan a Azure AD, que se usa para todas las funciones enumeradas anteriormente.You'll be adding users to Azure AD and using it for all of the functions listed above. Antes de ver cómo configurar Azure AD, es importante comprender las cuentas con privilegios que se utilizan para administrar el acceso a estos servicios.Before looking at how to configure Azure AD, it's important to understand the privileged accounts that are used to manage access to these services.

Cuando la organización se registró para una cuenta de Azure, se asignó al menos un propietario de la cuenta de Azure.When your organization signed up for an Azure account, at least one Azure account owner was assigned. Además, se creó un inquilino de Azure AD, a menos que ya hubiera un inquilino asociado con el uso por parte de la organización de otros servicios de Microsoft como Microsoft 365.Also, an Azure AD tenant was created, unless an existing tenant was already associated with your organization's use of other Microsoft services such as Microsoft 365. Al crear el inquilino de Azure AD, se asocia un administrador global con permisos completos.A global administrator with full permissions on the Azure AD tenant was associated when it was created.

Ambas identidades de usuario, administrador global de Azure AD y propietario de la cuenta de Azure, se almacenan en un sistema de identidades de alta seguridad administrado por Microsoft.The user identities for both the Azure account owner and the Azure AD Global Administrator are stored in a highly secure identity system that is managed by Microsoft. El propietario de la cuenta de Azure tiene autorización para crear, actualizar y eliminar suscripciones.The Azure account owner is authorized to create, update, and delete subscriptions. El administrador global de Azure AD tiene autorización para realizar muchas acciones en Azure AD pero, para los fines de esta guía de diseño, nos centraremos en la creación y eliminación de identidades de usuario.The Azure AD Global Administrator is authorized to perform many actions in Azure AD, but for this design guide you'll focus on the creation and deletion of user identity.

Nota

Puede que su organización ya tenga un inquilino de Azure AD si ya hay una licencia de Microsoft 365, Intune o Dynamics 365 asociada a su cuenta.Your organization may already have an existing Azure AD tenant if there's an existing Microsoft 365, Intune, or Dynamics 365 license associated with your account.

El propietario de la cuenta de Azure tiene permiso para crear, actualizar y eliminar suscripciones:The Azure account owner has permission to create, update, and delete subscriptions:

Diagrama que muestra una cuenta de Azure con un propietario de la cuenta de Azure y el administrador global de Azure AD. Figura 1: Una cuenta de Azure con un propietario de la cuenta de Azure y el administrador global de Azure ADDiagram showing an Azure account with an Azure account owner and Azure AD global admin. Figure 1: An Azure account with an Azure account owner and Azure AD global administrator.

El administrador global de Azure AD tiene permiso para crear cuentas de usuario:The Azure AD global administrator has permission to create user accounts:

Diagrama que muestra que el administrador global de Azure AD crea las cuentas de usuario necesarias en el inquilino. Figura 2: El administrador global de Azure AD crea las cuentas de usuario necesarias en el inquilino.Diagram showing that the Azure AD global administrator creates the required user accounts in the tenant. Figure 2: The Azure AD global administrator creates the required user accounts in the tenant.

Las dos primeras cuentas, propietario de la carga de trabajo de app1 y propietario de la carga de trabajo de app2, están asociadas a una persona de la organización responsable de administrar una carga de trabajo.The first two accounts, app1 workload owner and app2 workload owner, are each associated with an individual in your organization responsible for managing a workload. La cuenta de operaciones de red pertenece a la persona responsable de los recursos de la infraestructura compartida.The network operations account is owned by the individual that is responsible for the shared infrastructure resources. Por último, la cuenta del propietario de la suscripción está asociada con la persona responsable de la propiedad de las suscripciones.Finally, the subscription owner account is associated with the individual responsible for ownership of subscriptions.

Modelo de permisos de acceso a recursos con privilegios mínimosResource access permissions model of least privilege

Ahora que se han creado las cuentas de usuario y el sistema de administración de identidades, debe decidir cómo aplicar roles de Azure a cada cuenta para admitir un modelo de permisos con privilegios mínimos.Now that your identity management system and user accounts have been created, you have to decide how to apply Azure roles to each account to support a permissions model of least privilege.

Otro requisito indica que los recursos asociados a cada carga de trabajo estén aislados entre sí para que ningún propietario de carga de trabajo tenga acceso administrativo a otras cargas de trabajo que no les pertenezcan.There's another requirement stating the resources associated with each workload be isolated from one another such that no one workload owner has management access to any other workload they do not own. También hay un requisito para implementar este modelo solo con los roles integrados del control de acceso basado en rol de Azure.There's also a requirement to implement this model using only built-in roles for Azure role-based access control.

Cada rol de Azure se aplica en uno de los tres ámbitos en Azure: suscripción, grupo de recursos y recursos individuales.Each Azure role is applied at one of three scopes in Azure: subscription, resource group, then an individual resource. Los roles se heredan en los ámbitos inferiores.Roles are inherited at lower scopes. Por ejemplo, si a un usuario se le asigna el rol de propietario integrado en el nivel de suscripción, ese rol también se asigna a ese usuario en el nivel de recurso individual y grupal, a menos que se invalide.For example, if a user is assigned the built-in Owner role at the subscription level, that role is also assigned to that user at the resource group and individual resource level unless overridden.

Por lo tanto, para crear un modelo de acceso con privilegios mínimos, hay que decidir qué acciones puede realizar un determinado tipo de usuario en cada uno de estos tres ámbitos.Therefore, to create a model of least-privilege access you have to decide the actions a particular type of user is allowed to take at each of these three scopes. Por ejemplo, el requisito es que el propietario de una carga de trabajo tenga permiso para administrar el acceso únicamente a los recursos asociados con su carga de trabajo y no a otros.For example, the requirement is for a workload owner to have permission to manage access to only the resources associated with their workload and no others. Si quisiéramos asignar el rol de propietario integrado en el ámbito de la suscripción, cada propietario de carga de trabajo tendría acceso de administración a todas las cargas de trabajo.If you were to assign the built-in Owner role at the subscription scope, each workload owner would have management access to all workloads.

Veamos dos ejemplos de modelos de permisos para entender este concepto algo mejor.Let's take a look at two example permission models to understand this concept a little better. En el primer ejemplo, el modelo confía solo en el administrador de servicios para crear grupos de recursos.In the first example, the model trusts only the Service Administrator to create resource groups. En el segundo ejemplo, el modelo asigna el rol de propietario integrado a cada propietario de carga de trabajo en el ámbito de la suscripción.In the second example, the model assigns the built-in Owner role to each workload owner at the subscription scope.

En ambos ejemplos, hay un administrador de servicios de la suscripción al que se asigna el rol integrado Propietario en el ámbito de la suscripción.In both examples, there is a subscription Service Administrator that is assigned the built-in Owner role at the subscription scope. Recuerde que el rol de propietario integrado concede todos los permisos, incluida la administración del acceso a los recursos.Recall that the built-in Owner role grants all permissions including the management of access to resources.

Administrador de servicios de suscripción con el rol de propietario Figura 3: Una suscripción con un administrador de servicios al que se asigna el rol integrado Propietario.Subscription service administrator with owner role Figure 3: A subscription with a Service Administrator assigned the built-in Owner role.

  1. En el primer ejemplo, el propietario de carga de trabajo A no tiene ningún permiso en el ámbito de suscripción y ningún derecho de administración de acceso a los recursos de manera predeterminada.In the first example, workload owner A has no permissions at the subscription scope and no resource access management rights by default. Este usuario quiere volver a implementar y administrar los recursos de su carga de trabajo.This user wants to deploy and manage the resources for their workload. Debe ponerse en contacto con el administrador de servicios para pedir la creación de un grupo de recursos.They must contact the service administrator to request creation of a resource group. El propietario de la carga de trabajo solicita la creación del grupo de recursos AWorkload owner requests creation of resource group A
  2. El administrador de servicios revisa la solicitud y crea el grupo de recursos A. En este momento, el propietario de carga de trabajo A aún no tiene permiso para hacer nada.The service administrator reviews their request and creates resource group A. At this point, workload owner A still doesn't have permission to do anything. El administrador de servicios crea el grupo de recursos AService administrator creates resource group A
  3. El administrador de servicios agrega al propietario de la carga de trabajo A al grupo de recursos A y le asigna el rol integrado Colaborador.The service administrator adds workload owner A to resource group A and assigns the built-in Contributor role. El rol Colaborador concede todos los permisos en el grupo de recursos A excepto la administración de los permisos de acceso.The Contributor role grants all permissions on resource group A except managing access permission. El administrador del servicio agrega el propietario de carga de trabajo A al grupo de recursos AService administrator adds workload owner A to resource group A
  4. Supongamos que el propietario de carga de trabajo A necesita que un par de miembros del equipo vean los datos de supervisión del tráfico de red y la CPU como parte de la planeación de la capacidad para la carga de trabajo.Let's assume that workload owner A has a requirement for a pair of team members to view the CPU and network traffic monitoring data as part of capacity planning for the workload. Dado que el propietario de la carga de trabajo A tiene asignado el rol Colaborador, no tiene permisos para agregar un usuario al grupo de recursos A. Debe enviar esta solicitud al administrador de servicios.Because workload owner A is assigned the Contributor role, they do not have permission to add a user to resource group A. They must send this request to the service administrator. El propietario de la carga de trabajo solicita que los colaboradores de carga de trabajo se añadan al grupo de recursosWorkload owner requests workload contributors be added to resource group
  5. El administrador de servicios revisa la solicitud y agrega los dos usuarios colaboradores de carga de trabajo al grupo de recursos A. Ninguno de estos dos usuarios necesitan permisos para administrar los recursos, por lo que se les asigna el rol integrado Lector.The service administrator reviews the request, and adds the two workload contributor users to resource group A. Neither of these two users require permission to manage resources, so they're assigned the built-in Reader role. El administrador de servicios añade colaboradores de carga de trabajo al grupo de recursos AService administrator adds workload contributors to resource group A
  6. El propietario de carga de trabajo B también necesita un grupo de recursos para incluir los recursos de su carga de trabajo.Next, workload owner B also requires a resource group to contain the resources for their workload. Al igual que con el propietario de carga de trabajo A, el propietario de carga de trabajo B inicialmente no tiene permisos para realizar ninguna acción en el ámbito de la suscripción, por lo que debe enviar una solicitud al administrador de servicios.As with workload owner A, workload owner B initially does not have permission to take any action at the subscription scope so they must send a request to the service administrator. El propietario de la carga de trabajo B solicita la creación del grupo de recursos BWorkload owner B requests creation of resource group B
  7. El administrador de servicios revisa la solicitud y crea el grupo de recursos B. El administrador del servicio crea el grupo de recursos BThe service administrator reviews the request and creates resource group B. Service administrator creates resource group B
  8. El administrador de servicios agrega al propietario de la carga de trabajo B al grupo de recursos B y le asigna el rol integrado Colaborador.The service administrator then adds workload owner B to resource group B and assigns the built-in Contributor role. El administrador del servicio agrega el propietario de carga de trabajo B al grupo de recursos BService administrator adds workload owner B to resource group B

En este momento, cada uno de los propietarios de carga de trabajo está aislado en su propio grupo de recursos.At this point, each of the workload owners is isolated in their own resource group. Ninguno de los propietarios de carga de trabajo ni los miembros del equipo tienen acceso administrativo a los recursos de otros grupos de recursos.None of the workload owners or their team members have management access to the resources in any other resource group.

Un diagrama que muestra una suscripción con los grupos de recursos A y B. Figura 4: Una suscripción con dos propietarios de cargas de trabajo aislados con su propio grupo de recursos.A diagram showing a subscription with resource groups A and B. Figure 4: a subscription with two workload owners isolated with their own resource group.

Este es un modelo con privilegios mínimos.This model is a least-privilege model. A cada usuario se le asignan los permisos correctos en el ámbito de administración de recursos correcto.Each user is assigned the correct permission at the correct resource management scope.

Tenga en cuenta que todas las tareas del ejemplo las realizó el administrador de servicios.Consider that every task in this example was performed by the service administrator. Este es un ejemplo sencillo y quizás esto no parezca un problema porque hay solo dos propietarios de cargas de trabajo, pero es fácil imaginar los tipos de problemas que habría en una organización grande.While this is a simple example and may not appear to be an issue because there were only two workload owners, it's easy to imagine the types of issues that would result for a large organization. Por ejemplo, el administrador de servicios puede convertirse en un cuello de botella con muchas solicitudes acumuladas que, como resultado, producen retrasos.For example, the service administrator can become a bottleneck with a large backlog of requests that result in delays.

Veamos otro ejemplo que reduce el número de tareas realizadas por el administrador de servicios.Let's take a look at second example that reduces the number of tasks performed by the service administrator.

  1. En este modelo, al propietario de la carga de trabajo A se le asigna el rol de propietario integrado en el ámbito de la suscripción, lo que le permite crear su propio grupo de recursos: grupo de recursos A. El administrador del servicio agrega el propietario de carga de trabajo A a la suscripciónIn this model, workload owner A is assigned the built-in Owner role at the subscription scope, enabling them to create their own resource group: resource group A. Service administrator adds workload owner A to subscription
  2. Cuando se crea el grupo de recursos A, se agrega el propietario de la carga de trabajo A de forma predeterminada y se hereda el rol de propietario integrado del ámbito de la suscripción.When resource group A is created, workload owner A is added by default and inherits the built-in Owner role from the subscription scope. El propietario de carga de trabajo A crea el grupo de recursos AWorkload owner A creates resource group A
  3. El rol de propietario integrado concede al propietario de la carga de trabajo A permisos para administrar el acceso al grupo de recursos.The built-in Owner role grants workload owner A permission to manage access to the resource group. El propietario de la carga de trabajo A agrega dos colaboradores de carga de trabajo y les asigna a cada uno el rol integrado Lector.Workload owner A adds two workload contributors and assigns the built-in Reader role to each of them. El propietario de carga de trabajo A agrega colaboradores de carga de trabajoWorkload owner A adds workload contributors
  4. Ahora, el administrador de servicios agrega al propietario de la carga de trabajo B a la suscripción con el rol integrado Propietario.The Service Administrator now adds workload owner B to the subscription with the built-in Owner role. El administrador de servicios agrega el propietario de la carga de trabajo B a la suscripciónService Administrator adds workload owner B to subscription
  5. El propietario de carga de trabajo B crea el grupo de recursos B y se agrega de forma predeterminada.Workload owner B creates resource group B and is added by default. Una vez más, el propietario de carga de trabajo B hereda el rol de propietario integrado del ámbito de la suscripción.Again, workload owner B inherits the built-in Owner role from the subscription scope. El propietario de carga de trabajo B crea el grupo de recursos BWorkload owner B creates resource group B

Tenga en cuenta que, en este modelo, el administrador de servicios realizó menos acciones que en el primer ejemplo debido a que se delegó la administración del acceso a cada uno de los propietarios de carga de trabajo individuales.Note that in this model, the service administrator performed fewer actions than they did in the first example due to the delegation of management access to each of the individual workload owners.

Diagrama que muestra un administrador de servicios y dos propietarios de cargas de trabajo para los grupos de recursos A y B. Figura 5: Una suscripción con un administrador de servicios y dos propietarios de cargas de trabajo a los que se asigna el rol integrado Propietario.A diagram showing a Service Administrator and two workload owners for resource groups A and B. Figure 5: A subscription with a Service Administrator and two workload owners, all assigned the built-in Owner role.

Because both workload owner A and workload owner B are assigned the built-in Owner role at the subscription scope, they have each inherited the built-in Owner role for each other's resource group.Because both workload owner A and workload owner B are assigned the built-in Owner role at the subscription scope, they have each inherited the built-in Owner role for each other's resource group. Esto significa que no solo tienen acceso total a los recursos mutuos sino que también pueden delegar el acceso administrativo a los grupos de recursos mutuos.This means that not only do they have full access to each other's resources, they can also delegate management access to each other's resource groups. Por ejemplo, el propietario de carga de trabajo B tiene derechos para agregar otros usuarios al grupo de recursos A y puede asignarles cualquier rol, como el rol de propietario integrado.For example, workload owner B has rights to add any other user to resource group A and can assign any role to them, including the built-in Owner role.

Si comparamos cada ejemplo con los requisitos, vemos que ambos ejemplos admiten un único usuario de confianza en el ámbito de la suscripción con permisos para conceder derechos de acceso a los recursos a los dos propietarios de carga de trabajo.If you compare each example to the requirements, you'll see that both examples support a single trusted user at the subscription scope with permission to grant resource access rights to the two workload owners. Ninguno de los dos propietarios de carga de trabajo tenía acceso a la administración de recursos de forma predeterminada y necesitaron que el administrador de servicios les asignara los permisos explícitamente.Each of the two workload owners did not have access to resource management by default and required the service administrator to explicitly assign permissions to them. Solo el primer ejemplo admite que los recursos asociados a cada carga de trabajo estén aislados entre sí, de manera que ningún propietario de carga de trabajo tenga acceso a los recursos de otras cargas de trabajo.Only the first example supports the requirement that the resources associated with each workload are isolated from one another such that no workload owner has access to the resources of any other workload.

Modelo de administración de recursosResource management model

Ahora que hemos diseñado un modelo de permisos con privilegios mínimos, vamos a ver algunas aplicaciones prácticas de estos modelos de gobernanza.Now that you've designed a permissions model of least privilege, let's move on to take a look at some practical applications of these governance models. Recuerde que los requisitos son que debemos admitir los siguientes tres entornos:Recall from the requirements that you must support the following three environments:

  1. Entorno de infraestructura compartida: un grupo de recursos que todas las cargas de trabajo comparten.Shared infrastructure environment: A group of resources shared by all workloads. Estos son recursos tales como puertas de enlace de red, firewalls y servicios de seguridad.These are resources such as network gateways, firewalls, and security services.
  2. Entorno de producción: varios grupos de recursos que representan varias cargas de trabajo de producción.Production environment: Multiple groups of resources representing multiple production workloads. Estos recursos se utilizan para hospedar los artefactos de aplicación de acceso privado y público.These resources are used to host the private and public-facing application artifacts. Estos recursos normalmente tienen una gobernanza y modelos de seguridad más estrictos para proteger los recursos, el código de la aplicación y los datos contra accesos no autorizados.These resources typically have the tightest governance and security models to protect the resources, application code, and data from unauthorized access.
  3. Entorno de preproducción: varios grupos de recursos que representan varias cargas de trabajo que no están listas para producción.Preproduction environment: Multiple groups of resources representing multiple non-production-ready workloads. Estos recursos se usan con fines de desarrollo y pruebas y pueden tener un modelo de gobernanza más flexible para ofrecer más agilidad a los desarrolladores.These resources are used for development and testing, and may have a more relaxed governance model to enable increased developer agility. La seguridad dentro de estos grupos debe aumentar a medida que el proceso de desarrollo de aplicaciones se acerca al entorno de producción.Security within these groups should increase as the application development process moves closer to production.

En cada uno de estos tres entornos, hay que realizar el seguimiento de los datos de costo por propietario de carga de trabajo, entorno o ambos.For each of these three environments, there is a requirement to track cost data by workload owner, environment, or both. Es decir, querrá conocer el costo actual de la infraestructura compartida, los costos en los que incurren los usuarios tanto en entornos que no son de producción como en entornos de producción y, por último, el costo total de los entornos que no son de producción y los de producción.That is, you'll want to know the ongoing cost of the shared infrastructure, the costs incurred by individuals in both the nonproduction and production environments, and finally the overall cost of nonproduction and production environments.

Ya ha aprendido que el ámbito de los recursos se establece en dos niveles: suscripción y grupo de recursos.You have already learned that resources are scoped to two levels: subscription and resource group. Por lo tanto, la primera decisión es cómo organizar los entornos por suscripción.Therefore, the first decision is how to organize environments by subscription. Hay solo dos posibilidades: una sola suscripción o varias suscripciones.There are only two possibilities: a single subscription or multiple subscriptions.

Antes de adentrarnos en los ejemplos de cada uno de estos modelos, revisemos la estructura de administración de las suscripciones de Azure.Before you look at examples of each of these models, let's review the management structure for subscriptions in Azure.

Recuerde que necesitamos tener una persona en la organización que sea responsable de las suscripciones y que este usuario tiene la cuenta de propietario de la suscripción en el inquilino de Azure AD.Recall from the requirements that you have an individual in the organization who is responsible for subscriptions, and this user owns the subscription owner account in the Azure AD tenant. Esta cuenta no tiene permisos para crear suscripciones.This account does not have permission to create subscriptions. Solo el propietario de la cuenta de Azure tiene permisos para hacerlo:Only the Azure account owner has permission to do this:

Un propietario de la cuenta de Azure crea una suscripción Figura 6: El propietario de una cuenta de Azure crea una suscripción.An Azure account owner creates a subscription Figure 6: An Azure account owner creates a subscription.

Una vez creada la suscripción, el propietario de la cuenta de Azure puede agregar la cuenta del propietario de la suscripción a la suscripción con el rol Propietario:Once the subscription has been created, the Azure account owner can add the subscription owner account to the subscription with the owner role:

El propietario de la cuenta de Azure agrega la cuenta de usuario de propietario de la suscripción a la suscripción con el rol de propietario. Figura 7: El propietario de la cuenta de Azure agrega la cuenta de usuario de propietario de la suscripción a la suscripción con el rol de propietario.The Azure account owner adds the subscription owner user account to the subscription with the owner role. Figure 7: The Azure account owner adds the subscription owner user account to the subscription with the owner role.

Ahora, la cuenta del propietario de la suscripción puede crear grupos de recursos y delegar la administración del acceso a los recursos.The subscription owner account can now create resource groups and delegate resource access management.

Veamos primero un ejemplo de un modelo de administración de recursos con una sola suscripción.First let's look at an example resource management model using a single subscription. La primera decisión es cómo alinear los grupos de recursos con los tres entornos.The first decision is how to align resource groups to the three environments. Tiene dos opciones:You have two options:

  1. Alinear cada entorno con un único grupo de recursos.Align each environment to a single resource group. Todos los recursos de la infraestructura compartida se implementan en un único grupo de recursos de la infraestructura compartida.All shared infrastructure resources are deployed to a single shared infrastructure resource group. Todos los recursos asociados con las cargas de trabajo de desarrollo se implementan en un único grupo de recursos de desarrollo.All resources associated with development workloads are deployed to a single development resource group. Todos los recursos asociados con las cargas de trabajo de producción se implementan en un solo grupo de recursos de producción para el entorno de producción.All resources associated with production workloads are deployed into a single production resource group for the production environment.
  2. Crear grupos de recursos independientes para cada carga de trabajo, utilizando una convención de nomenclatura y etiquetas para alinear los grupos de recursos con cada uno de los tres entornos.Create separate resource groups for each workload, using a naming convention and tags to align resource groups with each of the three environments.

Comencemos evaluando la primera opción.Let's begin by evaluating the first option. Vamos a usar el modelo de permisos que analizamos en la sección anterior, con un único administrador de servicios de la suscripción que crea los grupos de recursos y agrega los usuarios a ellos con el rol integrado Colaborador o Lector.You'll be using the permissions model that was discussed in the previous section, with a single subscription Service Administrator who creates resource groups and adds users to them with either the built-in contributor or reader role.

  1. El primer grupo de recursos implementado representa el entorno de infraestructura compartida.The first resource group deployed represents the shared infrastructure environment. La cuenta del propietario de la suscripción crea un grupo de recursos para los recursos de la infraestructura compartida llamado netops-shared-rg.The subscription owner account creates a resource group for the shared infrastructure resources named netops-shared-rg. Creación de un grupo de recursosCreating a resource group
  2. La cuenta del propietario de la suscripción agrega la cuenta del usuario de operaciones de red al grupo de recursos y le asigna el rol de colaborador.The subscription owner account adds the network operations user account to the resource group and assigns the contributor role. Adición de un usuario de operaciones de redAdding a network operations user
  3. El usuario de operaciones de red crea una puerta de enlace VPN y la configura para que se conecte al dispositivo VPN local.The network operations user creates a VPN gateway and configures it to connect to the on-premises VPN appliance. El usuario de operaciones de red también aplica un par de etiquetas a cada uno de los recursos: environment:shared y managedBy:netops.The network operations user also applies a pair of tags to each of the resources: environment:shared and managedBy:netops. Cuando el administrador de servicios de suscripción exporta un informe de costos, los costos se alinearán con cada una de estas etiquetas.When the subscription service administrator exports a cost report, costs will be aligned with each of these tags. Esto permite al administrador de servicios de la suscripción dinamizar los costos con las etiquetas environment y managedBy.This allows the subscription service administrator to pivot costs using the environment tag and the managedBy tag. Observe el contador límites de recursos en la parte superior derecha de la ilustración.Notice the resource limits counter at the top right-hand side of the figure. Cada suscripción de Azure tiene límites de servicio y, para ayudarle a comprender el efecto de estos límites, seguiremos los límites de redes virtuales para cada suscripción.Each Azure subscription has service limits, and to help you understand the effect of these limits you'll follow the virtual network limit for each subscription. Hay un límite de 1000 redes virtuales por suscripción y, después de implementar la primera red virtual, quedan 999 disponibles.There is a limit of 1,000 virtual networks per subscription, and after the first virtual network is deployed there are now 999 available. Creación de una puerta de enlace de VPNCreating a VPN gateway
  4. Se implementan dos grupos de recursos más.Two more resource groups are deployed. El primero se llama prod-rg.The first is named prod-rg. Este grupo de recursos se alinea con el entorno de producción.This resource group is aligned with the production environment. El segundo se llama dev-rg y se alinea con el entorno de desarrollo.The second is named dev-rg and is aligned with the development environment. Todos los recursos asociados con las cargas de trabajo de producción se implementan en el entorno de producción y todos los recursos asociados con las cargas de trabajo de desarrollo se implementan en el entorno de desarrollo.All resources associated with production workloads are deployed to the production environment and all resources associated with development workloads are deployed to the development environment. En este ejemplo solo implementaremos dos cargas de trabajo en cada uno de estos dos entornos, por lo que no encontraremos ningún límite del servicio de suscripción de Azure.In this example, you'll only deploy two workloads to each of these two environments, so you won't encounter any Azure subscription service limits. Hay que tener en cuenta que cada grupo de recursos tiene un límite de 800 recursos por grupo.Consider that each resource group has a limit of 800 resources per resource group. Si continúa agregando cargas de trabajo a cada grupo de recursos, con el tiempo alcanzará este límite.If you continue to add workloads to each resource group, you'll eventually reach this limit. Creación de grupos de recursosCreating resource groups
  5. El primer propietario de carga de trabajo envía una solicitud al administrador de servicios de suscripción y se agrega a cada uno de los grupos de recursos de los entornos de desarrollo y producción con el rol de colaborador.The first workload owner sends a request to the subscription service administrator and is added to each of the development and production environment resource groups with the contributor role. Tal y como hemos visto, el rol de colaborador permite al usuario realizar cualquier operación distinta de la asignación de un rol a otro usuario.As you learned earlier, the contributor role allows the user to perform any operation other than assigning a role to another user. Ahora, el primer propietario de carga de trabajo puede crear los recursos asociados con la carga de trabajo.The first workload owner can now create the resources associated with their workload. Diagrama que muestra el primer propietario de la carga de trabajo que crea redes virtuales y aplica las etiquetas del entorno y administrado por en todos los recursos.Diagram showing the first workload owner creating virtual networks and applying the environment and managed By tags to all resources.
  6. El primer propietario de carga de trabajo crea una red virtual en cada uno de los dos grupos de recursos con un par de máquinas virtuales en cada una.The first workload owner creates a virtual network in each of the two resource groups with a pair of virtual machines in each. El primer propietario de carga de trabajo aplica las etiquetas environment y managedBy a todos los recursos.The first workload owner applies the environment and managedBy tags to all resources. Tenga en cuenta que el contador de límite de servicio de Azure ahora está en 997 redes virtuales restantes.Note that the Azure service limit counter is now at 997 virtual networks remaining. Creación de redes virtualesCreating virtual networks
  7. Ninguna de las redes virtuales tiene conectividad local cuando se crean.None of the virtual networks has connectivity to on-premises when created. En este tipo de arquitectura, se debe emparejar cada red virtual con la red hub-vnet en el entorno de la infraestructura compartida.In this type of architecture, each virtual network must be peered to the hub-vnet in the shared infrastructure environment. El emparejamiento de redes virtuales crea una conexión entre dos redes virtuales diferentes y permite que el tráfico de red viaje entre ellas.Virtual network peering creates a connection between two separate virtual networks and allows network traffic to travel between them. Tenga en cuenta que el emparejamiento de redes virtuales no es intrínsecamente transitivo.Note that virtual network peering is not inherently transitive. Un emparejamiento debe especificarse entre las dos redes virtuales que están conectadas y, si solo una de las redes virtuales especifica un emparejamiento, entonces la conexión está incompleta.A peering must be specified in each of the two virtual networks that are connected, and if only one of the virtual networks specifies a peering, then the connection is incomplete. Para mostrar este efecto, el primer propietario de carga de trabajo especifica un emparejamiento entre prod-vnet y hub-vnet.To illustrate the effect of this, the first workload owner specifies a peering between prod-vnet and hub-vnet. Se crea el primer emparejamiento, pero el tráfico no circula porque el emparejamiento complementario de hub-vnet a prod-vnet todavía no se ha especificado.The first peering is created, but no traffic flows because the complementary peering from hub-vnet to prod-vnet has not yet been specified. El primer propietario de carga de trabajo se pone en contacto con el usuario de operaciones de red y solicita esta conexión de emparejamiento complementaria.The first workload owner contacts the network operations user and requests this complementary peering connection. Diagrama que muestra la creación de una conexión de emparejamiento.Diagram that shows the creation og a peering connection.
  8. El usuario de operaciones de red revisa la solicitud, la aprueba y luego especifica el emparejamiento en la configuración de hub-vnet.The network operations user reviews the request, approves it, then specifies the peering in the settings for the hub-vnet. La conexión de emparejamiento ya está completa y el tráfico de red circula entre las dos redes virtuales.The peering connection is now complete, and network traffic flows between the two virtual networks. Diagrama que muestra la aprobación de la solicitud y la especificación de la configuración de emparejamiento.Diagram showing the approval of the request and the specifying of the peering settings.
  9. Ahora, el segundo propietario de carga de trabajo envía una solicitud al administrador de servicios de suscripción y se agrega a los grupos de recursos existentes en los entornos de desarrollo y producción con el rol de colaborador.Now, a second workload owner sends a request to the subscription service administrator and is added to the existing production and development environment resource groups with the contributor role. El segundo propietario de carga de trabajo tiene los mismos permisos en todos los recursos que el primer propietario de carga de trabajo en cada grupo de recursos.The second workload owner has the same permissions on all resources as the first workload owner in each resource group. Diagrama que muestra la adición del segundo propietario de la carga de trabajo a los grupos de recursos.Diagram showing the second workload owner being added to teh resource groups.
  10. El segundo propietario de carga de trabajo crea una subred en la red virtual prod-vnet y luego agrega dos máquinas virtuales.The second workload owner creates a subnet in the prod-vnet virtual network, then adds two virtual machines. El segundo propietario de carga de trabajo aplica las etiquetas environment y managedBy a todos los recursos.The second workload owner applies the environment and managedBy tags to each resource. Creación de subredesCreating subnets

Este modelo de administración de recursos de ejemplo permite administrar los recursos en los tres entornos necesarios.This example resource management model enables us to manage resources in the three required environments. Los recursos de la infraestructura compartida están protegidos porque hay un único usuario en la suscripción con permisos para acceder a esos recursos.The shared infrastructure resources are protected because only a single user in the subscription has permission to access those resources. Cada uno de los propietarios de cargas de trabajo puede utilizar los recursos de la infraestructura compartida sin tener permisos en los recursos compartidos en sí.Each of the workload owners can use the shared infrastructure resources without having any permissions on the shared resources themselves. Este modelo de administración no cumple el requisito de aislamiento de las cargas de trabajo; los dos propietarios de cargas de trabajo pueden acceder a los recursos de la carga de trabajo del otro.This management model fails the requirement for workload isolation, because both workload owners can access the resources of each other's workload.

Hay otra consideración importante con este modelo puede no resultar obvio a simple vista.There's another important consideration with this model that may not be immediately obvious. En el ejemplo, el propietario de carga de trabajo app1 solicitó la conexión de emparejamiento de red con la red virtual hub-vnet para proporcionar conectividad a la red local.In the example, it was app1 workload owner that requested the network peering connection with the hub-vnet to provide connectivity to the on-premises network. El usuario de operaciones de red evaluó la solicitud según los recursos implementados con esa carga de trabajo.The network operations user evaluated that request based on the resources deployed with that workload. Cuando la cuenta de propietario de la suscripción agregó al propietario de carga de trabajo app2 con el rol de colaborador, ese usuario tenía derechos de acceso de administración a todos los recursos del grupo de recursos prod-rg.When the subscription owner account added app2 workload owner with the contributor role, that user had management access rights to all resources in the prod-rg resource group.

Diagrama que muestra los derechos de acceso de administración

Esto significa que el propietario de carga de trabajo app2 tenía permisos para implementar su propia subred con máquinas virtuales en la red virtual prod-vnet.This means app2 workload owner had permission to deploy their own subnet with virtual machines in the prod-vnet virtual network. De forma predeterminada, esas máquinas virtuales tienen acceso a la red local.By default, those virtual machines have access to the on-premises network. El usuario de operaciones de red no es consciente de esas máquinas y no aprobó su conectividad al entorno local.The network operations user is not aware of those machines and did not approve their connectivity to on-premises.

Ahora, veamos a un única suscripción con varios grupos de recursos para diferentes entornos y cargas de trabajo.Next, let's look at a single subscription with multiple resource groups for different environments and workloads. Tenga en cuenta que, en el ejemplo anterior, los recursos de cada entorno se podían identificar fácilmente porque estaban en el mismo grupo de recursos.Note that in the previous example, the resources for each environment were easily identifiable because they were in the same resource group. Ahora que ya no tenemos esa agrupación, tenemos que utilizar una convención de nomenclatura en el grupo de recursos para proporcionar esa funcionalidad.Now that you no longer have that grouping, you will have to rely on a resource group naming convention to provide that functionality.

  1. Los recursos de la infraestructura compartida seguirán teniendo un grupo de recursos independiente en este modelo, por lo que esta parte sigue igual.The shared infrastructure resources will still have a separate resource group in this model, so that remains the same. Cada carga de trabajo requiere dos grupos de recursos, uno para cada uno de los entornos de desarrollo y producción.Each workload requires two resource groups, one for each of the development and production environments. Para la primera carga de trabajo, la cuenta del propietario de la suscripción crea dos grupos de recursos.For the first workload, the subscription owner account creates two resource groups. El primero se denomina app1-prod-rg y el segundo app1-dev-rg.The first is named app1-prod-rg and the second is named app1-dev-rg. Tal y como se indicó anteriormente, esta convención de nomenclatura identifica los recursos como asociados con la primera carga de trabajo, app1, y el entorno de desarrollo o producción.As discussed earlier, this naming convention identifies the resources as being associated with the first workload, app1, and either the development or production environment. Una vez más, la cuenta del propietario de la suscripción agrega el propietario de carga de trabajo app1 al grupo de recursos con el rol de colaborador.Again, the subscription owner account adds app1 workload owner to the resource group with the contributor role. Diagrama que muestra la adición de los grupos de recursos de producción de la aplicación 1 y de desarrollo de la aplicación 1.A diagram showing the addition of the app 1 prod r g and app 1 dev r g resource groups.
  2. De forma similar al primer ejemplo, el propietario de carga de trabajo app1 implementa una red virtual llamada app1-prod-vnet en el entorno de producción, y otra llamada app1-dev-vnet en el entorno de desarrollo.Similar to the first example, app1 workload owner deploys a virtual network named app1-prod-vnet to the production environment, and another named app1-dev-vnet to the development environment. Una vez más, el propietario de carga de trabajo app1 envía una solicitud al usuario de operaciones de red para crear una conexión de emparejamiento.Again, app1 workload owner sends a request to the network operations user to create a peering connection. Tenga en cuenta que el propietario de carga de trabajo app1 agrega las mismas etiquetas que en el primer ejemplo, y el límite de contadores se ha reducido a 997 redes virtuales disponibles en la suscripción.Note that app1 workload owner adds the same tags as in the first example, and the limit counter has been decremented to 997 virtual networks remaining in the subscription. Diagrama en el que se muestra la implementación de las redes virtuales de producción de la aplicación 1 y de desarrollo de la aplicación 1.A diagram showing the deployment of the app 1 prod v net and app 1 dev v net virtual networks.
  3. La cuenta del propietario de la suscripción ahora crea dos grupos de recursos para el propietario de carga de trabajo app2.The subscription owner account now creates two resource groups for app2 workload owner. Siguiendo las mismas convenciones que para el propietario de carga de trabajo app1, los grupos de recursos se llaman app2-prod-rg y app2-dev-rg.Following the same conventions as for app1 workload owner, the resource groups are named app2-prod-rg and app2-dev-rg. La cuenta del propietario de la suscripción agrega el propietario de carga de trabajo app2 a cada uno de los grupos de recursos con el rol de colaborador.The subscription owner account adds app2 workload owner to each of the resource groups with the contributor role. Diagrama que muestra la adición de los grupos de recursos de producción de la aplicación 2 y de desarrollo de la aplicación 2.A diagram showing the addition of the app 2 prod r g and app 2 dev r g resource groups.
  4. La cuenta del propietario de carga de trabajo app2 implementa las redes virtuales y las máquinas virtuales en los grupos de recursos con las mismas convenciones de nomenclatura.The app2 workload owner account deploys virtual networks and virtual machines to the resource groups with the same naming conventions. Se agregan las etiquetas y el contador de límite se ha reducido a 995 redes virtuales disponibles en la suscripción.Tags are added and the limit counter has been decremented to 995 virtual networks remaining in the subscription. Implementación de redes virtuales y máquinas virtualesDeploying virtual networks and VMs
  5. La cuenta del propietario de carga de trabajo app2 envía una solicitud al usuario de operaciones de red para emparejar app2-prod-vnet con hub-vnet.The app2 workload owner account sends a request to the network operations user to peer the app2-prod-vnet with the hub-vnet. El usuario de operaciones de red crea la conexión de emparejamiento.The network operations user creates the peering connection. Diagrama que muestra el emparejamiento de la red virtual de producción de la aplicación 2 con la red virtual del concentrador.A diagram showing the peering of app 2 prod v net with the hub v net.

El modelo de administración resultante es similar al primer ejemplo, con algunas diferencias importantes:The resulting management model is similar to the first example, with several key differences:

  • Cada una de las dos cargas de trabajo se aísla por carga de trabajo y por entorno.Each of the two workloads is isolated by workload and by environment.
  • Este modelo requiere dos redes virtuales más que el primer ejemplo de modelo.This model required two more virtual networks than the first example model. Aunque esto no supone mucha diferencia cuando solo hay dos cargas de trabajo, el límite teórico en el número de cargas de trabajo en este modelo es 24.While this is not an important distinction with only two workloads, the theoretical limit on the number of workloads for this model is 24.
  • Los recursos ya no se agrupan en un único grupo de recursos para cada entorno.Resources are no longer grouped in a single resource group for each environment. Para agrupar los recursos es necesario conocer las convenciones de nomenclatura que se usan en cada entorno.Grouping resources requires an understanding of the naming conventions used for each environment.
  • El usuario de operaciones de red ha revisado y aprobado cada una de las conexiones de emparejamiento de red virtual.Each of the peered virtual network connections was reviewed and approved by the network operations user.

Veamos ahora un ejemplo de un modelo de administración de recursos con varias suscripciones.Now let's look at a resource management model using multiple subscriptions. En este modelo, alinearemos cada uno de los tres entornos con una suscripción diferente: una suscripción de servicios compartidos, una suscripción de producción y, por último, una suscripción de desarrollo.In this model, you'll align each of the three environments to a separate subscription: a shared services subscription, production subscription, and finally a development subscription. Las consideraciones para este modelo son similares a las del modelo con una sola suscripción en el sentido de que hay que decidir cómo alinear los grupos de recursos con las cargas de trabajo.The considerations for this model are similar to a model using a single subscription in that you have to decide how to align resource groups to workloads. Ya hemos determinado que crear un grupo de recursos para cada carga de trabajo satisface el requisito de aislamiento de las cargas de trabajo, por lo que nos quedaremos con ese modelo en este ejemplo.Already determined is that creating a resource group for each workload satisfies the workload isolation requirement, so you'll stick with that model in this example.

  1. En este modelo, hay tres suscripciones: infraestructura compartida, producción y desarrollo.In this model, there are three subscriptions: shared infrastructure, production, and development. Cada una de estas tres suscripciones requiere un propietario de la suscripción y, en el ejemplo sencillo, usaremos la misma cuenta de usuario para las tres.Each of these three subscriptions requires a subscription owner, and in the simple example you'll use the same user account for all three. Los recursos de la infraestructura compartida se administran de manera similar a los primeros dos ejemplos anteriores, y la primera carga de trabajo se asocia con el grupo de recursos app1-rg en el entorno de producción y el segundo grupo de recursos con el mismo nombre en el entorno de desarrollo.The shared infrastructure resources are managed similarly to the first two examples above, and the first workload is associated with the app1-rg resource group in the production environment and the same-named resource group in the development environment. La cuenta del propietario de carga de trabajo app1 se agrega a cada uno de los grupos de recursos con el rol de colaborador.The app1 workload owner account is added to each of the resource group with the contributor role.

    Diagrama que muestra cómo se administran los recursos de infraestructura compartidos.

  2. Al igual que en los ejemplos anteriores, el propietario de carga de trabajo app1 crea los recursos y solicita la conexión de emparejamiento con la red virtual de la infraestructura compartida.As with the earlier examples, app1 workload owner creates the resources and requests the peering connection with the shared infrastructure virtual network. La cuenta del propietario de carga de trabajo app1 agrega solo la etiqueta managedBy porque ya no se necesita la etiqueta environment.The app1 workload owner account adds only the managedBy tag because there is no longer a need for the environment tag. Es decir, los recursos de cada entorno están agrupados en la misma suscripción y la etiqueta environment es redundante.That is, resources are for each environment are now grouped in the same subscription and the environment tag is redundant. El contador de límite se reduce a 999 redes virtuales disponibles.The limit counter is decremented to 999 virtual networks remaining.

    Diagrama que muestra que los recursos de cada entorno ahora se agrupan en la misma suscripción.

  3. Por último, la cuenta del propietario de la suscripción repite el proceso para la segunda carga de trabajo, y agrega el propietario de carga de trabajo app2 a los grupos de recursos con el rol de colaborador.Finally, the subscription owner account repeats the process for the second workload, adding the resource groups with app2 workload owner in the contributor role. El contador de límite para cada una de las suscripciones del entorno se reducido a 998 redes virtuales disponibles.The limit counter for each of the environment subscriptions is decremented to 998 virtual networks remaining.

Este modelo de administración tiene las ventajas del segundo ejemplo anterior.This management model has the benefits of the second example above. La principal diferencia es que los límites suponen un problema menor porque se extienden a dos suscripciones.The key difference is that limits are less of an issue due to the fact that they're spread over two subscriptions. El inconveniente es que los datos de los costos que se controlan con las etiquetas se deben agregar a las tres suscripciones.The drawback is that the cost data tracked by tags must be aggregated across all three subscriptions.

Por lo tanto, puede seleccionar cualquiera de estos dos ejemplos de modelos de administración de recursos según la prioridad de sus requisitos.Therefore, you can select any of these two examples resource management models depending on the priority of your requirements. Si prevé que su organización no llegará a los límites de servicio para una sola suscripción, puede utilizar una sola suscripción con varios grupos de recursos.If you anticipate that your organization will not reach the service limits for a single subscription, you can use a single subscription with multiple resource groups. Por el contrario, si su organización anticipa muchas cargas de trabajo, puede ser mejor tener varias suscripciones para cada entorno.Conversely, if your organization anticipates many workloads, multiple subscriptions for each environment may be better.

Implementación del modelo de administración de recursosImplement the resource management model

Ha aprendido varios modelos diferentes para gobernar el acceso a los recursos de Azure.You've learned about several different models for governing access to Azure resources. Ahora veremos los pasos necesarios para implementar el modelo de administración de recursos con una suscripción para cada uno de los entornos de infraestructura compartida, producción y desarrollo con la guía de diseño.Now you'll walk through the steps necessary to implement the resource management model with one subscription for each of the shared infrastructure, production, and development environments from the design guide. Tendremos una cuenta de propietario de la suscripción para los tres entornos.You'll have one subscription owner account for all three environments. Cada carga de trabajo se aislará en un grupo de recursos y se agregará propietario de carga de trabajo con el rol de colaborador.Each workload will be isolated in a resource group with a workload owner added with the contributor role.

Nota

Consulte Descripción del acceso a los recursos de Azure para más información sobre la relación entre las cuentas y las suscripciones de Azure.To learn more about the relationship between Azure accounts and subscriptions, see Understanding resource access in Azure.

Siga estos pasos:Follow these steps:

  1. Cree una cuenta de Azure si su organización aún no tiene una.Create an Azure account if your organization doesn't already have one. La persona que se suscribe a la cuenta de Azure se convierte en el administrador de la cuenta de Azure y los responsables de su organización deben seleccionar la persona que asumirá este rol.The person who signs up for the Azure account becomes the Azure account administrator, and your organization's leadership must select an individual to assume this role. Esta persona será responsable de:This individual will be responsible for:
  2. El equipo directivo de su organización decide quién es responsable de:Your organization's leadership team decides who is responsible for:
    • Administrar las identidades de usuario; de forma predeterminada, se crea un inquilino de Azure AD cuando se crea la cuenta de Azure de su organización y el administrador de la cuenta se agrega como administrador global de Azure AD.Management of user identity; an Azure AD tenant is created by default when your organization's Azure account is created, and the account administrator is added as the Azure AD Global Administrator by default. Su organización puede elegir que otro usuario administre las identidades de usuario; para ello, puede asignar el rol de administrador global de Azure AD para ese usuario.Your organization can choose another user to manage user identity by assigning the Azure AD Global Administrator role to that user.
    • Suscripciones, lo que significa que estos usuarios son responsables de:Subscriptions, which means these users:
      • Administrar los costos asociados con el uso de recursos en esa suscripciónManage costs associated with resource usage in that subscription.
      • Implementar y mantener el modelo de permisos mínimos para el acceso a los recursosImplement and maintain least permission model for resource access.
      • Realizar un seguimiento de los límites de servicio.Keep track of service limits.
    • Servicios de infraestructura compartida (si su organización decide usar este modelo), lo que significa que este usuario es responsable de:Shared infrastructure services (if your organization decides to use this model), which means this user is responsible for:
      • La conectividad del entorno local a la red de Azure.On-premises to Azure network connectivity.
      • La propiedad de la conectividad de red dentro de Azure mediante el emparejamiento de redes virtuales.Ownership of network connectivity within Azure through virtual network peering.
    • Propietarios de cargas de trabajo.Workload owners.
  3. El administrador global de Azure AD crea las cuentas de usuario nuevas para:The Azure AD Global Administrator creates the new user accounts for:
    • La persona que será el propietario de la suscripción para cada suscripción asociada con cada entorno.The person who will be the subscription owner for each subscription associated with each environment. Tenga en cuenta que esto es necesario solo si el administrador de servicios de la suscripción no será responsable de administrar el acceso a los recursos para cada suscripción o entorno.Note that this is necessary only if the subscription service administrator will not be tasked with managing resource access for each subscription/environment.
    • La persona que será el usuario de operaciones de red.The person who will be the network operations user.
    • Las personas que serán propietarios de cargas de trabajo.The people who are workload owners.
  4. El administrador de cuenta de Azure crea tres suscripciones de Azure:The Azure account administrator creates three Azure subscriptions:
    • Una suscripción para el entorno de infraestructura compartida.A subscription for the shared infrastructure environment.
    • Una suscripción para el entorno de producción.A subscription for the production environment.
    • Una suscripción para el entorno de desarrollo.A subscription for the development environment.
  5. El administrador de la cuenta de Azure agrega el propietario del servicio de suscripción a cada suscripción.The Azure account administrator adds the subscription service owner to each subscription.
  6. Cree un proceso de aprobación para que propietarios de cargas de trabajo soliciten la creación de grupos de recursos.Create an approval process for workload owners to request the creation of resource groups. El proceso de aprobación se puede implementar de muchas maneras, por ejemplo, por correo electrónico, o bien puede usar una herramienta de administración de procesos como flujos de trabajo de Sharepoint.The approval process can be implemented in many ways, such as over email, or you can using a process management tool such as SharePoint workflows. El proceso de aprobación puede seguir estos pasos:The approval process can follow these steps:
    • El propietario de la carga de trabajo prepara una lista de materiales de los recursos de Azure que necesita en el entorno de desarrollo, de producción o ambos, y la envía al propietario de la suscripción.The workload owner prepares a bill of materials for required Azure resources in either the development environment, production environment, or both, and submits it to the subscription owner.
    • El propietario de la suscripción revisa la lista de materiales y valida los recursos solicitados para asegurarse de que son los adecuados para el uso previsto; por ejemplo, comprueba que los tamaños de máquina virtual solicitados sean los correctos.The subscription owner reviews the bill of materials and validates the requested resources to ensure that the requested resources are appropriate for their planned use, such as checking that the requested virtual machine sizes are correct.
    • Si no se aprueba la solicitud, el propietario de la carga de trabajo recibe una notificación.If the request is not approved, the workload owner is notified. Si se aprueba la solicitud, el propietario de la suscripción crea el grupo de recursos solicitado según las convenciones de nomenclatura de la organización, agrega el propietario de carga de trabajo con el rol de colaborador y notifica al propietario de la carga de trabajo que se ha creado el grupo de recursos.If the request is approved, the subscription owner creates the requested resource group following your organization's naming conventions, adds the workload owner with the contributor role and sends notification to the workload owner that the resource group has been created.
  7. Crear un proceso de aprobación para que los propietarios de cargas de trabajo soliciten una conexión de emparejamiento de red virtual desde el propietario de la infraestructura compartida.Create an approval process for workload owners to request a virtual network peering connection from the shared infrastructure owner. Al igual que con el paso anterior, este proceso de aprobación se puede implementar mediante correo electrónico o con una herramienta de administración de procesos.As with the previous step, this approval process can be implemented using email or a process management tool.

Ahora que ha implementado el modelo de gobernanza, puede implementar los servicios de infraestructura compartida.Now that you've implemented your governance model, you can deploy your shared infrastructure services.

Roles integrados en los recursos de AzureAzure built-in roles