Décrire l’infrastructure de gestion Azure

  • 7 minutes

L’infrastructure de gestion comprend des ressources et des groupes de ressources, des abonnements et des comptes Azure. La compréhension de l’organisation hiérarchique vous aidera à planifier vos projets et produits dans Azure.

Ressources et groupes de ressources Azure

Une ressource est le bloc de construction de base d’Azure. Tout ce que vous créez, provisionnez, déployez, etc. est une ressource. Les machines virtuelles, les réseaux virtuels, les bases de données, les services cognitifs, etc. sont tous considérés comme des ressources dans Azure.

Diagram showing a resource group box with a function, VM, database, and app included.

Les groupes de ressources sont simplement des regroupements de ressources. Quand vous créez une ressource, vous devez la placer dans un groupe de ressources. Même si un groupe de ressources peut contenir de nombreuses ressources, une même ressource ne peut se trouver que dans un seul groupe de ressources à la fois. Certaines ressources peuvent être déplacées entre les groupes de ressources, mais une fois que vous avez déplacé une ressource dans un nouveau groupe, elle n’est plus associée à l’ancien groupe. Par ailleurs, il n’est pas possible d’imbriquer des groupes de ressources. Autrement dit, vous ne pouvez pas placer le groupe de ressources B dans le groupe de ressources A.

Les groupes de ressources offrent un moyen pratique de regrouper des ressources. Quand vous appliquez une action à un groupe de ressources, cette action s’applique à toutes les ressources contenues dans le groupe de ressources. Si vous supprimez un groupe de ressources, toutes les ressources qu’il contient sont supprimées. Si vous accordez ou refusez l’accès à un groupe de ressources, vous accordez ou refusez l’accès à toutes les ressources contenues dans le groupe de ressources.

Quand vous provisionnez des ressources, il est judicieux de réfléchir à la structure de groupe de ressources qui répond le mieux à vos besoins.

Par exemple, si vous configurez un environnement de développement provisoire, le fait de regrouper toutes les ressources signifie que vous pourrez déprovisionner toutes les ressources associées à la fois en supprimant le groupe de ressources. Si vous provisionnez des ressources de calcul qui auront besoin de trois schémas d’accès différents, il est peut-être préférable de regrouper les ressources en fonction du schéma d’accès, puis d’attribuer l’accès au niveau du groupe de ressources.

Il n’existe pas de règles strictes concernant la façon d’utiliser les groupes de ressources. Réfléchissez à la meilleure façon de configurer vos groupes de ressources pour en optimiser l’utilité.

Abonnements Azure

Dans Azure, les abonnements sont une unité de gestion, de facturation et de mise à l’échelle. Comme les groupes de ressources offrent un moyen d’organiser logiquement les ressources, les abonnements vous permettent d’organiser logiquement vos groupes de ressources et facilitent la facturation.

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

L’utilisation d’Azure nécessite un abonnement Azure. Un abonnement vous donne un accès authentifié et autorisé aux produits et services Azure. Il vous permet également de provisionner des ressources. Un abonnement Azure est lié à un compte Azure, qui est une identité dans Microsoft Entra ID ou dans un répertoire approuvé par Microsoft Entra ID.

Un compte peut comporter plusieurs abonnements, mais il est seulement nécessaire d’en posséder un. Dans un compte multi-abonnement, vous pouvez utiliser les abonnements pour configurer différents modèles de facturation et appliquer différentes stratégies de gestion d’accès. Vous pouvez utiliser des abonnements Azure pour définir des limites autour de produits, de services et de ressources Azure. Vous pouvez utiliser deux types de limites d’abonnement :

  • Limites de facturation : Ce type d’abonnement détermine la façon dont l’utilisation d’Azure est facturée à un compte Azure. Vous pouvez créer plusieurs abonnements en fonction des conditions de facturation. Azure génère des factures et des rapports de facturation distincts pour chaque abonnement afin que vous puissiez organiser et gérer les coûts.
  • Limites de contrôle d’accès : Azure applique des stratégies de gestion des accès au niveau de l’abonnement, ce qui vous permet de créer des abonnements distincts pour les différentes structures organisationnelles. Par exemple, dans une entreprise, vous avez différents services auxquels vous appliquez des stratégies d’abonnement Azure distinctes. Ce modèle de facturation vous permet de gérer et de contrôler l’accès aux ressources provisionnées par les utilisateurs dans les différents abonnements.

Créer des abonnements Azure supplémentaires

De la même manière que vous utilisez des groupes de ressources pour séparer les ressources par fonction ou accès, vous pouvez créer des abonnements supplémentaires à des fins de gestion des ressources ou de la facturation. Par exemple, vous pouvez choisir de créer des abonnements supplémentaires pour une facturation séparée :

  • Environnements : vous pouvez choisir de créer plusieurs abonnements pour configurer des environnements distincts pour le développement et les tests, pour des raisons de sécurité ou pour isoler les données à des fins de conformité. Cette conception est particulièrement utile, car le contrôle d’accès aux ressources s’effectue au niveau de l’abonnement.
  • Structures organisationnelles : vous pouvez créer des abonnements qui reflètent vos différentes structures organisationnelles. Par exemple, vous pouvez limiter l’accès d’une équipe aux ressources à faible coût, mais autoriser le service informatique à accéder à l’ensemble des ressources. Cette conception vous permet de gérer et contrôler l’accès aux ressources provisionnées par les utilisateurs au sein de chaque abonnement.
  • Facturation : vous pouvez créer des abonnements supplémentaires pour vos besoins de facturation. Les coûts sont initialement agrégés au niveau de l’abonnement, mais vous pouvez créer plusieurs abonnements pour gérer et suivre les coûts de la manière qui vous convient le mieux. Par exemple, créez un abonnement dédié à vos charges de travail de production et un autre abonnement réservé à vos charges de travail de développement et de test.

Groupes d’administration Azure

Le dernier élément est le groupe d’administration. Les ressources sont rassemblées dans des groupes de ressources, et les groupes de ressources sont rassemblés dans des abonnements. Si vous débutez dans Azure, vous pouvez juger que cette hiérarchie suffit à maintenir les choses organisées. Mais imaginez que vous ayez affaire à plusieurs applications, plusieurs équipes de développement, dans plusieurs zones géographiques.

Si vous disposez d’un grand nombre d’abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Vous organisez les abonnements en conteneurs appelés groupes d’administration, et vous appliquez des conditions de gouvernance aux groupes d’administration. Tous les abonnements contenus dans un groupe d’administration héritent automatiquement des conditions appliquées au groupe d’administration, de la même façon que les groupes de ressources héritent des paramètres des abonnements et que les ressources héritent des groupes de ressources. Les groupes d’administration vous permettent une gestion de niveau entreprise à grande échelle, quel que soit le type de vos abonnements. Les groupes d’administration peuvent être imbriqués.

Groupe d’administration, abonnements et hiérarchie de groupes de ressources

Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion de l’accès. Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.

Diagram showing an example of a management group hierarchy tree.

Voici quelques exemples de la façon dont vous pouvez utiliser les groupes d’administration :

  • Créer une hiérarchie qui applique une stratégie. Vous pouvez limiter la localisation des machines virtuelles à la région USA Ouest dans un groupe nommé Production. Cette stratégie est héritée par tous les abonnements descendants de ce groupe d’administration et s’applique à toutes les machines virtuelles relevant de ces abonnements. Cette stratégie de sécurité ne peut pas être modifiée par le propriétaire de la ressource ou de l’abonnement, ce qui permet une gouvernance améliorée.
  • Fournir aux utilisateurs un accès à plusieurs abonnements. En déplaçant plusieurs abonnements relevant d’un groupe d’administration, vous pouvez créer une affectation de contrôle d’accès en fonction du rôle (RBAC) dans le groupe d’administration. L’affectation du contrôle d’accès en fonction du rôle Azure au niveau du groupe d’administration signifie que tous les sous-groupes d’administration, abonnements, groupes de ressources et ressources relevant de ce groupe d’administration hériteraient également de ces autorisations. Une affectation sur le groupe d’administration peut autoriser les utilisateurs à accéder à tout ce dont ils ont besoin, au lieu de créer un script Azure RBAC sur différents abonnements.

Informations importantes concernant les groupes d’administration :

  • 10 000 groupes d’administration peuvent être pris en charge dans un seul annuaire.
  • Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profondeur. Cette limite n’inclut pas le niveau Racine ni le niveau de l’abonnement.
  • Chaque groupe d’administration et chaque abonnement ne peut avoir qu’un seul parent.