Administración del acceso a recursos de Azure
En este artículo, aprenderá cómo se implementan los recursos en Azure, empezando por las construcciones fundamentales de Azure de recursos, suscripciones y grupos de recursos. A continuación, aprenderá cómo Azure Resource Manager (ARM) implementa los recursos.
¿Qué es un recurso de Azure?
En Azure, un recurso es una entidad administrada por Azure. Las máquinas virtuales, las redes virtuales y las cuentas de almacenamiento son todos ejemplos de recursos de Azure.
¿Qué es un grupo de recursos de Azure?
En Azure, todos los recursos deben pertenecer a un grupo de recursos. Un grupo de recursos es simplemente un contenedor lógico que asocia varios recursos para poder administrarlos como una sola entidad en función del ciclo de vida y la seguridad. Por ejemplo, puede crear o eliminar recursos como grupo si los recursos comparten un ciclo de vida similar, como el recurso de una aplicación de n niveles. Es decir, todo lo que cree, administre y deje de usar juntos se asocia a un grupo de recursos.
El procedimiento recomendado es asociar los grupos de recursos y los recursos que contienen a una suscripción de Azure.
¿Qué es una suscripción de Azure?
Una suscripción de Azure es similar a un grupo de recursos en cuanto que se trata de un contenedor lógico que asocia los grupos de recursos y sus recursos correspondientes. Además, está asociada con los controles que usa Azure Resource Manager. Obtenga información sobre Azure Resource Manager y su relación con las suscripciones de Azure.
¿Qué es Azure Resource Manager?
En ¿Cómo funciona Azure?, aprendió que Azure incluye un front-end con servicios que orquestan las funciones de Azure. Uno de estos servicios es Azure Resource Manager. Este servicio hospeda los clientes de API RESTful que usan para administrar recursos.
En la siguiente ilustración se muestran tres clientes: Azure PowerShell, Azure Portal y la CLI de Azure:
Aunque estos clientes se conectan a Resource Manager mediante la API REST, Resource Manager no incluye una funcionalidad para administrar los recursos directamente. En su lugar, la mayoría de los tipos de recursos de Azure tienen sus propios proveedores de recursos.
Cuando un cliente realiza una solicitud para administrar un recurso específico, Azure Resource Manager conecta con el proveedor de recursos para ese tipo de recurso para completar la solicitud. Por ejemplo, si un cliente realiza una solicitud para administrar un recurso de máquina virtual, Azure Resource Manager conecta con el proveedor de recursos Microsoft.Compute.
Azure Resource Manager requiere que el cliente especifique un identificador de suscripción y de grupo de recursos para poder administrar el recurso de máquina virtual.
Una vez que comprenda cómo funciona Azure Resource Manager, puede aprender a asociar una suscripción a Azure a los controles de Azure Resource Manager. Para que Azure Resource Manager pueda ejecutar cualquier solicitud de administración de recursos, revise el siguiente conjunto de controles.
El primer control es que un usuario validado debe realizar una solicitud. Además, Azure Resource Manager debe tener una relación de confianza con Microsoft Entra ID para proporcionar funcionalidad de identidad de usuario.
En Microsoft Entra ID, puede segmentar los usuarios en inquilinos. Un inquilino es una construcción lógica que representa una instancia segura y dedicada de Microsoft Entra ID, por lo general, asociada a una organización. También puede asociar cada suscripción a un inquilino de Microsoft Entra.
Para poder procesar solicitudes de cliente para administrar un recurso en una determinada suscripción, el usuario debe tener una cuenta en el inquilino de Microsoft Entra.
El control siguiente es una comprobación de que el usuario tiene permisos suficientes para realizar la solicitud. Los permisos se asignan a los usuarios con el control de acceso basado en rol de Azure (RBAC de Azure).
Un rol de Azure especifica un conjunto de permisos que un usuario puede tener en un recurso específico. Cuando se asigna el rol al usuario, se aplican estos permisos. Por ejemplo, el rol integrado de propietario permite a un usuario ejecutar cualquier acción en un recurso.
El siguiente control es una comprobación de que la solicitud se permite de acuerdo con la configuración especificada para la directiva de recursos de Azure. Las directivas de recursos de Azure especifican las operaciones permitidas para un recurso específico. Por ejemplo, una directiva de recursos de Azure puede especificar que los usuarios solo pueden implementar un tipo específico de máquina virtual.
El siguiente control es una comprobación de que la solicitud no supera un límite de suscripción de Azure. Por ejemplo, cada suscripción tiene un límite de 980 grupos de recursos por suscripción. Si recibe una solicitud para implementar otro grupo de recursos cuando se haya alcanzado el límite, deniéguela.
El control final es una comprobación de que la solicitud está dentro del compromiso financiero asociado a la suscripción. Por ejemplo, Azure Resource Manager comprueba que la suscripción tiene suficiente información de pago si la solicitud es para implementar una máquina virtual.
Resumen
En este artículo, ha aprendido cómo se administra el acceso a los recursos en Azure mediante Azure Resource Manager.
Pasos siguientes
Más información sobre la adopción de la nube en Microsoft Cloud Adoption Framework para Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de