Progettazione di governance per più teamGovernance design for multiple teams

L'obiettivo di questa guida è illustrare il processo di progettazione di un modello di governance delle risorse in Azure per supportare più team, più carichi di lavoro e più ambienti.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support multiple teams, multiple workloads, and multiple environments. Per prima cosa verranno esaminati alcuni ipotetici requisiti di governance, quindi verranno illustrate diverse implementazioni di esempio che soddisfano tali requisiti.First you'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

I requisiti sono:The requirements are:

  • L'azienda prevede di passare i nuovi ruoli cloud e le nuove responsabilità a un insieme di utenti e pertanto richiede la gestione delle identità per più team con diverse esigenze di accesso alle risorse in Azure.The enterprise plans to transition new cloud roles and responsibilities to a set of users and therefore requires identity management for multiple teams with different resource access needs in Azure. Il sistema di gestione delle identità è necessario per memorizzare l'identità degli utenti seguenti:This identity management system is required to store the identity of the following users:
    • L'utente dell'organizzazione responsabile della proprietà delle sottoscrizioni.The individual in your organization responsible for ownership of subscriptions.
    • La persona dell'organizzazione responsabile delle risorse di infrastruttura condivise usate per connettere la rete locale a una rete virtuale in Azure.The individual in your organization responsible for the shared infrastructure resources used to connect your on-premises network to a virtual network in Azure.
    • Due utenti dell'organizzazione responsabili della gestione di un carico di lavoro.Two individuals in your organization responsible for managing a workload.
  • Supporto di più ambienti.Support for multiple environments. Un ambiente è un raggruppamento logico di risorse, ad esempio macchine virtuali, reti virtuali e servizi di routing del traffico di rete.An environment is a logical grouping of resources, such as virtual machines, virtual networking, and network traffic routing services. Questi gruppi di risorse hanno requisiti di sicurezza e gestione simili e vengono in genere usati per uno scopo specifico, ad esempio test o produzione.These groups of resources have similar management and security requirements and are typically used for a specific purpose such as testing or production. In questo esempio il requisito è per quattro ambienti:In this example, the requirement is for four environments:
    • Un ambiente di infrastruttura condivisa che include risorse condivise dai carichi di lavoro in altri ambienti.A shared infrastructure environment that includes resources shared by workloads in other environments. Ad esempio, una rete virtuale con una subnet gateway che fornisce connettività all'ambiente locale.For example, a virtual network with a gateway subnet that provides connectivity to on-premises.
    • Un ambiente di produzione con i criteri di sicurezza più restrittivi.A production environment with the most restrictive security policies. Potrebbe includere carichi di lavoro interni o esterni.Could include internal or external facing workloads.
    • Ambiente non di produzione per il lavoro di sviluppo e test.A nonproduction environment for development and testing work. Questo ambiente ha criteri di sicurezza, conformità e costi diversi da quelli dell'ambiente di produzione.This environment has security, compliance, and cost policies that differ from those in the production environment. In Azure il formato di una sottoscrizione Sviluppo/test Enterprise.In Azure, this takes the form of an Enterprise Dev/Test subscription.
    • Ambiente sandbox a scopo di prova e istruzione.A sandbox environment for proof of concept and education purposes. Questo ambiente viene in genere assegnato a ogni dipendente che partecipa alle attività di sviluppo e dispone di controlli di sicurezza operativi e procedurali rigorosi per impedire l'atterraggio dei dati aziendali.This environment is typically assigned per employee participating in development activities and has strict procedural and operational security controls in place to prevent corporate data from landing here. In Azure, le sottoscrizioni di Visual Studio sono di tipo.In Azure, these take the form of Visual Studio subscriptions. Queste sottoscrizioni non devono inoltre essere associate all'Azure Active Directory aziendale.These subscriptions should also not be tied to the enterprise Azure Active Directory.
  • Un modello di autorizzazione con privilegi minimi in cui gli utenti non hanno autorizzazioni predefinite.A permissions model of least privilege in which users have no permissions by default. Il modello deve supportare quanto segue:The model must support the following:
    • Un singolo utente attendibile nell'ambito della sottoscrizione, considerato come un account del servizio e ha concesso l'autorizzazione per assegnare i diritti di accesso alle risorse.A single trusted user at the subscription scope, treated like a service account and granted permission to assign resource access rights.
    • Per impostazione predefinita, a ogni proprietario del carico di lavoro viene negato l'accesso alle risorse.Each workload owner is denied access to resources by default. I diritti di accesso alle risorse vengono concessi in modo esplicito dal singolo utente attendibile nell'ambito del gruppo di risorse.Resource access rights are granted explicitly by the single trusted user at the resource group scope.
    • Accesso di gestione per le risorse dell'infrastruttura condivisa, limitato ai proprietari dell'infrastruttura condivisa.Management access for the shared infrastructure resources, limited to the shared infrastructure owners.
    • Accesso di gestione per ogni carico di lavoro limitato al proprietario del carico di lavoro nell'ambiente di produzione e livelli di controllo crescenti durante il processo di sviluppo nei vari ambienti di distribuzione (sviluppo, test, gestione temporanea e produzione).Management access for each workload restricted to the workload owner in production, and increasing levels of control as development proceeds through the various deployment environments (development, test, staging, and production).
    • L'azienda non vuole avere la necessità di gestire i ruoli in modo indipendente in ognuno dei tre ambienti principali e pertanto richiede l'uso dei soli ruoli predefiniti disponibili nel controllo degli accessi in base al ruolo (RBAC) di Azure.The enterprise does not want to have to manage roles independently in each of the three main environments, and therefore requires the use of only built-in roles available in Azure's role-based access control (RBAC). Se l'azienda richiede assolutamente ruoli RBAC personalizzati, saranno necessari processi aggiuntivi per sincronizzare i ruoli personalizzati nei tre ambienti.If the enterprise absolutely requires custom RBAC roles, additional processes would be needed to synchronize custom roles across the three environments.
  • Monitoraggio dei costi in base al nome del proprietario del carico di lavoro, all'ambiente o a entrambi.Cost tracking by workload owner name, environment, or both.

Gestione delle identitàIdentity management

Prima di poter progettare la gestione delle identità per il modello di governance, è importante comprendere le quattro aree principali che lo compongono:Before you can design identity management for your governance model, it's important to understand the four major areas it encompasses:

  • Amministrazione: Processi e strumenti per la creazione, la modifica e l'eliminazione dell'identità utente.Administration: The processes and tools for creating, editing, and deleting user identity.
  • Autenticazione: Verifica dell'identità dell'utente tramite la convalida delle credenziali, ad esempio un nome utente e una password.Authentication: Verifying user identity by validating credentials, such as a user name and password.
  • Autorizzazione: Determinare le risorse a cui un utente autenticato può accedere o le operazioni di cui dispone dell'autorizzazione per l'esecuzione.Authorization: Determining which resources an authenticated user is allowed to access or what operations they have permission to perform.
  • Controllo: Esaminare periodicamente i log e altre informazioni per individuare i problemi di sicurezza correlati all'identità utente.Auditing: Periodically reviewing logs and other information to discover security issues related to user identity. Ciò include la revisione di modelli di utilizzo sospetti, la revisione periodica delle autorizzazioni utente per verificare che siano accurati e altre funzioni.This includes reviewing suspicious usage patterns, periodically reviewing user permissions to verify they're accurate, and other functions.

Azure ritiene attendibile un solo servizio per l'identità, ovvero Azure Active Directory (Azure AD).There is only one service trusted by Azure for identity, and that is Azure Active Directory (Azure AD). Verranno aggiunti utenti ad Azure AD e questo servizio verrà usato per tutte le funzioni elencate in precedenza.You'll be adding users to Azure AD and using it for all of the functions listed above. Prima di esaminare la configurazione di Azure AD, è importante comprendere gli account con privilegi utilizzati per gestire l'accesso a questi servizi.Before looking at how to configure Azure AD, it's important to understand the privileged accounts that are used to manage access to these services.

Quando l'organizzazione si è iscritta a un account Azure, è stato assegnato almeno un proprietario dell'account Azure.When your organization signed up for an Azure account, at least one Azure account owner was assigned. È stato creato anche un tenant di Azure ad, a meno che un tenant esistente non fosse già associato all'uso di altri servizi Microsoft, ad esempio Microsoft 365.Also, an Azure AD tenant was created, unless an existing tenant was already associated with your organization's use of other Microsoft services such as Microsoft 365. Un **amministratore globale ** con autorizzazioni complete per il tenant di Azure AD è stato associato al momento della creazione.A global administrator with full permissions on the Azure AD tenant was associated when it was created.

Le identità utente per il proprietario dell'account Azure e per il Azure AD amministratore globale sono archiviate in un sistema di identità altamente sicuro gestito da Microsoft.The user identities for both the Azure account owner and the Azure AD global administrator are stored in a highly secure identity system that is managed by Microsoft. Il proprietario dell'account Azure è autorizzato a creare, aggiornare ed eliminare le sottoscrizioni.The Azure account owner is authorized to create, update, and delete subscriptions. L'amministratore globale di Azure AD è autorizzato a eseguire molte azioni in Azure AD, ma questa guida alla progettazione si concentrerà sulla creazione e sull'eliminazione dell'identità utente.The Azure AD global administrator is authorized to perform many actions in Azure AD, but for this design guide you'll focus on the creation and deletion of user identity.

Nota

È possibile che l'organizzazione disponga già di un tenant di Azure AD esistente se è presente una licenza di Microsoft 365, Intune o Dynamics 365 esistente associata all'account.Your organization may already have an existing Azure AD tenant if there's an existing Microsoft 365, Intune, or Dynamics 365 license associated with your account.

Il proprietario dell'account Azure dispone dell'autorizzazione per creare, aggiornare ed eliminare le sottoscrizioni:The Azure account owner has permission to create, update, and delete subscriptions:

Account Azure con un proprietario dell'account di Azure e Azure AD amministratore globale Figura 1: un account Azure con un proprietario dell'account azure e Azure ad amministratore globale.Azure account with an Azure account owner and Azure AD global admin Figure 1: An Azure account with an Azure account owner and Azure AD global administrator.

L'amministratore globale di Azure AD è autorizzato a creare account utente:The Azure AD global administrator has permission to create user accounts:

Account Azure con proprietario dell'account di Azure e Azure AD amministratore globale Figura 2: l'amministratore globale Azure ad crea gli account utente necessari nel tenant.Azure account with an Azure account owner and Azure AD global admin Figure 2: The Azure AD global administrator creates the required user accounts in the tenant.

I primi due account, il proprietario del carico di lavoro App1 e il proprietario del carico di lavoro App2, sono ognuno associato a un utente dell'organizzazione responsabile della gestione di un carico di lavoro.The first two accounts, app1 workload owner and app2 workload owner, are each associated with an individual in your organization responsible for managing a workload. L'account Network Operations è di proprietà dell'utente responsabile delle risorse dell'infrastruttura condivisa.The network operations account is owned by the individual that is responsible for the shared infrastructure resources. Infine, l'account Subscription Owner è associato al responsabile della proprietà delle sottoscrizioni.Finally, the subscription owner account is associated with the individual responsible for ownership of subscriptions.

Modello di autorizzazioni di accesso alle risorse con privilegi minimiResource access permissions model of least privilege

Ora che sono disponibili il sistema di gestione delle identità e gli account utente, è necessario decidere come applicare i ruoli di controllo degli accessi in base al ruolo a ogni account per supportare un modello di autorizzazioni con privilegi minimi.Now that your identity management system and user accounts have been created, you have to decide how to apply role-based access control (RBAC) roles to each account to support a permissions model of least privilege.

Un altro requisito prevede che le risorse associate a ogni carico di lavoro siano isolate l'una dall'altra in modo che nessun proprietario di un carico di lavoro abbia accesso di gestione ad altri carichi di lavoro di cui non è proprietario.There's another requirement stating the resources associated with each workload be isolated from one another such that no one workload owner has management access to any other workload they do not own. È anche necessario implementare questo modello usando solo i ruoli predefiniti per il controllo degli accessi in base al ruolo di Azure.There's also a requirement to implement this model using only built-in roles for Azure role-based access control.

Ogni ruolo di Controllo degli accessi in base al ruolo viene applicato a uno di tre ambiti in Azure: sottoscrizione, gruppo di risorse e singola risorsa.Each RBAC role is applied at one of three scopes in Azure: subscription, resource group, then an individual resource. I ruoli vengono ereditati negli ambiti inferiori.Roles are inherited at lower scopes. Ad esempio, se a un utente viene assegnato il ruolo proprietario predefinito a livello di sottoscrizione, tale ruolo viene assegnato anche a tale utente a livello di gruppo di risorse e a livello di risorsa singolo a meno che non venga sottoposto a override.For example, if a user is assigned the built-in owner role at the subscription level, that role is also assigned to that user at the resource group and individual resource level unless overridden.

Pertanto, per creare un modello di accesso con privilegi minimi è necessario decidere le azioni che un determinato tipo di utente può eseguire in ognuno di questi tre ambiti.Therefore, to create a model of least-privilege access you have to decide the actions a particular type of user is allowed to take at each of these three scopes. Ad esempio, il requisito prevede che il proprietario di un carico di lavoro sia autorizzato a gestire l'accesso solo alle risorse associate al proprio carico di lavoro e non ad altre.For example, the requirement is for a workload owner to have permission to manage access to only the resources associated with their workload and no others. Se si dovesse assegnare il ruolo di proprietario predefinito a livello di sottoscrizione, ogni proprietario del carico di lavoro avrebbe accesso di gestione a tutti i carichi di lavoro.If you were to assign the built-in owner role at the subscription scope, each workload owner would have management access to all workloads.

Di seguito sono riportati due modelli di autorizzazioni di esempio per comprendere meglio questo concetto.Let's take a look at two example permission models to understand this concept a little better. Nel primo esempio il modello considera attendibile solo l'amministratore per creare i gruppi di risorse.In the first example, the model trusts only the service administrator to create resource groups. Nel secondo esempio il modello assegna il ruolo di proprietario predefinito a ogni proprietario del carico di lavoro nell'ambito della sottoscrizione.In the second example, the model assigns the built-in owner role to each workload owner at the subscription scope.

In entrambi gli esempi, a un amministratore del servizio della sottoscrizione è assegnato il ruolo di proprietario predefinito nell'ambito della sottoscrizione.In both examples, there is a subscription service administrator that is assigned the built-in owner role at the subscription scope. Il ruolo di proprietario predefinito concede tutte le autorizzazioni, inclusa la gestione dell'accesso alle risorse.Recall that the built-in owner role grants all permissions including the management of access to resources.

Amministratore del servizio di sottoscrizione con ruolo proprietario Figura 3: una sottoscrizione a un amministratore del servizio ha assegnato il ruolo proprietario predefinito.Subscription service administrator with owner role Figure 3: A subscription with a service administrator assigned the built-in owner role.

  1. Nel primo esempio, il proprietario del carico di lavoro a non dispone di autorizzazioni nell'ambito della sottoscrizione e nessun diritto di gestione dell'accesso alle risorse per impostazione predefinita.In the first example, workload owner A has no permissions at the subscription scope and no resource access management rights by default. Questo utente vuole distribuire e gestire le risorse per il proprio carico di lavoro.This user wants to deploy and manage the resources for their workload. Deve contattare l'amministratore del servizio per richiedere la creazione di un gruppo di risorse.They must contact the service administrator to request creation of a resource group. Il proprietario del carico di lavoro richiede la creazione del gruppo di risorse AWorkload owner requests creation of resource group A
  2. L' amministratore del servizio esamina la richiesta e crea il gruppo di risorse A. A questo punto, il proprietario del carico di lavoro a non è ancora autorizzato a eseguire alcuna operazione.The service administrator reviews their request and creates resource group A. At this point, workload owner A still doesn't have permission to do anything. L'amministratore del servizio crea un gruppo di risorse AService administrator creates resource group A
  3. L' amministratore del servizio aggiunge il proprietario del carico di lavoro a al gruppo di risorse a e assegna il ruolo Collaboratore predefinito.The service administrator adds workload owner A to resource group A and assigns the built-in Contributor role. Il ruolo Collaboratore concede tutte le autorizzazioni per il gruppo di risorse a tranne la gestione dell'autorizzazione di accesso.The Contributor role grants all permissions on resource group A except managing access permission. L'amministratore del servizio aggiunge il proprietario del carico di lavoro a al gruppo di risorse AService administrator adds workload owner A to resource group A
  4. Si supponga che il proprietario del carico di lavoro a disponga di un requisito per una coppia di membri del team per visualizzare i dati di monitoraggio del traffico di rete e della CPU nell'ambito della pianificazione della capacità per il carico di lavoro.Let's assume that workload owner A has a requirement for a pair of team members to view the CPU and network traffic monitoring data as part of capacity planning for the workload. Poiché il proprietario del carico di lavoro a è assegnato al ruolo Collaboratore, non dispone dell'autorizzazione per aggiungere un utente al gruppo di risorse a. È necessario che invii questa richiesta all' amministratore del servizio.Because workload owner A is assigned the Contributor role, they do not have permission to add a user to resource group A. They must send this request to the service administrator. Il proprietario del carico di lavoro richiede l'aggiunta di collaboratori al gruppo di risorseWorkload owner requests workload contributors be added to resource group
  5. L' amministratore del servizio esamina la richiesta e aggiunge i due utenti collaboratore del carico di lavoro al gruppo di risorse a. Nessuno di questi due utenti richiede l'autorizzazione per la gestione delle risorse, pertanto viene assegnato il ruolo predefinito Reader.The service administrator reviews the request, and adds the two workload contributor users to resource group A. Neither of these two users require permission to manage resources, so they're assigned the built-in reader role. L'amministratore del servizio aggiunge collaboratori del carico di lavoro al gruppo di risorse AService administrator adds workload contributors to resource group A
  6. Successivamente, anche il proprietario del carico di lavoro B richiede che un gruppo di risorse contenga le risorse per il proprio carico di lavoro.Next, workload owner B also requires a resource group to contain the resources for their workload. Come il proprietario del carico di lavoro A, il proprietario del carico di lavoro B non è inizialmente autorizzato a eseguire azioni a livello di sottoscrizione, quindi deve inviare una richiesta all'amministratore del servizio.As with workload owner A, workload owner B initially does not have permission to take any action at the subscription scope so they must send a request to the service administrator. Il proprietario del carico di lavoro B richiede la creazione del gruppo di risorse BWorkload owner B requests creation of resource group B
  7. L' amministratore del servizio esamina la richiesta e crea il gruppo di risorse B. L'  amministratore del servizio crea il gruppo di risorse BThe service administrator reviews the request and creates resource group B. Service administrator creates resource group B
  8. L' amministratore del servizio aggiunge quindi il proprietario del carico di lavoro b al gruppo di risorse b e assegna il ruolo Collaboratore predefinito.The service administrator then adds workload owner B to resource group B and assigns the built-in Contributor role. L'amministratore del servizio aggiunge il proprietario del carico di lavoro B al gruppo di risorse BService administrator adds workload owner B to resource group B

A questo punto, ogni proprietario del carico di lavoro è isolato nel proprio gruppo di risorse.At this point, each of the workload owners is isolated in their own resource group. I proprietari del carico di lavoro o i componenti dei loro team non hanno accesso alle risorse di altri gruppi di risorse.None of the workload owners or their team members have management access to the resources in any other resource group.

Sottoscrizione con gruppi di risorse A e B gfigure 4: una sottoscrizione con due proprietari del carico di lavoro isolati con il proprio gruppo di risorse. gfigure 4: a subscription with two workload owners isolated with their own resource group.

Questo modello è un modello con privilegi minimi.This model is a least-privilege model. A ogni utente viene assegnata l'autorizzazione corretta nell'ambito di gestione delle risorse corretto.Each user is assigned the correct permission at the correct resource management scope.

Tenere presente che tutte le attività di questo esempio sono state eseguite dall' amministratore del servizio.Consider that every task in this example was performed by the service administrator. Anche se in un esempio semplice come questo può non sembrare un problema perché ci sono solo due proprietari del carico di lavoro, è facile immaginare i problemi che ne deriverebbero per una grande organizzazione.While this is a simple example and may not appear to be an issue because there were only two workload owners, it's easy to imagine the types of issues that would result for a large organization. Ad esempio, l'amministratore del servizio può andare incontro a un collo di bottiglia con un gran numero di richieste arretrate che causano ritardi.For example, the service administrator can become a bottleneck with a large backlog of requests that result in delays.

Di seguito è riportato un secondo esempio che riduce il numero di attività eseguite dall'amministratore del servizio.Let's take a look at second example that reduces the number of tasks performed by the service administrator.

  1. In questo modello, al proprietario del carico di lavoro a viene assegnato il ruolo proprietario predefinito nell'ambito della sottoscrizione, consentendo loro di creare il proprio gruppo di risorse: gruppo di risorse a. L'amministratore del servizio aggiunge al proprietario del carico di lavoro una sottoscrizioneIn this model, workload owner A is assigned the built-in owner role at the subscription scope, enabling them to create their own resource group: resource group A. Service administrator adds workload owner A to subscription
  2. Quando viene creato il gruppo di risorse A, il proprietario del carico di lavoro A viene aggiunto per impostazione predefinita ed eredita il ruolo di proprietario predefinito dall'ambito della sottoscrizione.When resource group A is created, workload owner A is added by default and inherits the built-in owner role from the subscription scope. Proprietario del carico di lavoro A crea il gruppo di risorse AWorkload owner A creates resource group A
  3. Il ruolo di proprietario predefinito concede al **proprietario del carico di lavoro A ** l'autorizzazione a gestire l'accesso al gruppo di risorse.The built-in owner role grants workload owner A permission to manage access to the resource group. Il proprietario del carico di lavoro A aggiunge due **collaboratori del carico di lavoro ** e assegna il ruolo di lettore predefinito a ognuno di essi.Workload owner A adds two workload contributors and assigns the built-in reader role to each of them. Proprietario del carico di lavoro A aggiunge collaboratori del carico di lavoroWorkload owner A adds workload contributors
  4. L'amministratore del servizio aggiunge ora il proprietario del carico di lavoro B alla sottoscrizione con il ruolo di proprietario predefinito.Service administrator now adds workload owner B to the subscription with the built-in owner role. L'amministratore del servizio aggiunge il proprietario del carico di lavoro B alla sottoscrizioneService administrator adds workload owner B to subscription
  5. Il proprietario del carico di lavoro B crea il ** gruppo di risorse B** e viene aggiunto per impostazione predefinita.Workload owner B creates resource group B and is added by default. Anche in questo caso, il proprietario del carico di lavoro B eredita il ruolo di proprietario predefinito dall'ambito della sottoscrizione.Again, workload owner B inherits the built-in owner role from the subscription scope. Proprietario del carico di lavoro B crea il gruppo di risorse BWorkload owner B creates resource group B

Si noti che in questo modello l'amministratore del servizio ha eseguito meno azioni rispetto al primo esempio, avendo delegato l'accesso di gestione a ognuno dei proprietari dei carichi di lavoro.Note that in this model, the service administrator performed fewer actions than they did in the first example due to the delegation of management access to each of the individual workload owners.

Sottoscrizione con gruppi di risorse A e B Figura 5: una sottoscrizione con un amministratore del servizio e due proprietari del carico di lavoro, tutti assegnati al ruolo proprietario predefinito.Subscription with resource groups A and B Figure 5: A subscription with a service administrator and two workload owners, all assigned the built-in owner role.

Poiché il proprietario del carico di lavoro a e il proprietario del carico di lavoro B sono assegnati al ruolo proprietario predefinito nell'ambito della sottoscrizione, ognuno di essi ha ereditato il ruolo predefinito proprietario per ogni gruppo di risorse.Because both workload owner A and workload owner B are assigned the built-in owner role at the subscription scope, they have each inherited the built-in owner role for each other's resource group. Ciò significa che non solo hanno accesso completo alle risorse, ma possono anche delegare l'accesso di gestione a tutti i gruppi di risorse.This means that not only do they have full access to each other's resources, they can also delegate management access to each other's resource groups. Ad esempio, il proprietario del carico di lavoro B è autorizzato ad aggiungere qualsiasi altro utente al gruppo di risorse A e può assegnare agli utenti qualsiasi ruolo, incluso il ruolo di proprietario predefinito.For example, workload owner B has rights to add any other user to resource group A and can assign any role to them, including the built-in owner role.

Se si confronta ogni esempio con i requisiti definiti, entrambi gli esempi supportano un singolo utente attendibile nell'ambito della sottoscrizione, autorizzato a concedere diritti di accesso alle risorse ai due proprietari dei carichi di lavoro.If you compare each example to the requirements, you'll see that both examples support a single trusted user at the subscription scope with permission to grant resource access rights to the two workload owners. Nessuno dei due proprietari dei carichi di lavoro aveva accesso alla gestione delle risorse per impostazione predefinita e doveva richiedere all'amministratore del servizio di assegnare esplicitamente le autorizzazioni.Each of the two workload owners did not have access to resource management by default and required the service administrator to explicitly assign permissions to them. Solo il primo esempio supporta il requisito in base al quale le risorse associate a ogni carico di lavoro sono isolate l'una dall'altra, in modo che nessun proprietario del carico di lavoro abbia accesso alle risorse di qualsiasi altro carico di lavoro.Only the first example supports the requirement that the resources associated with each workload are isolated from one another such that no workload owner has access to the resources of any other workload.

Modello di gestione delle risorseResource management model

Ora che è stato progettato un modello di autorizzazioni con privilegi minimi, verranno esaminate alcune applicazioni pratiche di questi modelli di governance.Now that you've designed a permissions model of least privilege, let's move on to take a look at some practical applications of these governance models. Secondo i requisiti definiti, è necessario supportare i tre ambienti seguenti:Recall from the requirements that you must support the following three environments:

  1. Ambiente infrastruttura condivisa: Gruppo di risorse condivise da tutti i carichi di lavoro.Shared infrastructure environment: A group of resources shared by all workloads. Si tratta di risorse quali gateway di rete, firewall e servizi di sicurezza.These are resources such as network gateways, firewalls, and security services.
  2. Ambiente di produzione: Più gruppi di risorse che rappresentano più carichi di lavoro di produzione.Production environment: Multiple groups of resources representing multiple production workloads. Queste risorse vengono usate per ospitare gli elementi dell'applicazione privati e pubblici.These resources are used to host the private and public-facing application artifacts. Queste risorse hanno in genere i modelli di governance e sicurezza più rigorosi per proteggere le risorse, il codice delle applicazioni e i dati da accessi non autorizzati.These resources typically have the tightest governance and security models to protect the resources, application code, and data from unauthorized access.
  3. Ambiente di preproduzione: Più gruppi di risorse che rappresentano più carichi di lavoro non pronti per la produzione.Preproduction environment: Multiple groups of resources representing multiple non-production-ready workloads. Queste risorse vengono usate per lo sviluppo e il test e possono avere un modello di governance più rilassato per consentire una maggiore agilità degli sviluppatori.These resources are used for development and testing, and may have a more relaxed governance model to enable increased developer agility. La sicurezza all'interno di questi gruppi dovrebbe aumentare man mano che il processo di sviluppo dell'applicazione si avvicina alla produzione.Security within these groups should increase as the application development process moves closer to production.

Per ognuno di questi tre ambienti è necessario tenere traccia dei dati sui costi per proprietario del carico di lavoro, ambiente o entrambi.For each of these three environments, there is a requirement to track cost data by workload owner, environment, or both. In altre termini, sarà necessario ottenere informazioni sui costi in corso dell' infrastruttura condivisa, i costi sostenuti da singoli utenti negli ambienti di produzione e non di produzione e infine il costo complessivo degli ambienti di produzione e non produzione .That is, you'll want to know the ongoing cost of the shared infrastructure, the costs incurred by individuals in both the nonproduction and production environments, and finally the overall cost of nonproduction and production environments.

Si è già appreso che le risorse sono suddivise in due livelli: sottoscrizione e gruppo di risorse.You have already learned that resources are scoped to two levels: subscription and resource group. La prima decisione da prendere è quindi come organizzare gli ambienti per sottoscrizione.Therefore, the first decision is how to organize environments by subscription. Esistono solo due possibilità: una singola sottoscrizione o più sottoscrizioni.There are only two possibilities: a single subscription or multiple subscriptions.

Prima di esaminare gli esempi di ognuno di questi modelli, verrà esaminata la struttura di gestione per le sottoscrizioni in Azure.Before you look at examples of each of these models, let's review the management structure for subscriptions in Azure.

Secondo i requisiti definiti, un utente dell'organizzazione è responsabile delle sottoscrizioni e ha l'account proprietario della sottoscrizione nel tenant di Azure AD.Recall from the requirements that you have an individual in the organization who is responsible for subscriptions, and this user owns the subscription owner account in the Azure AD tenant. Questo account non dispone dell'autorizzazione per la creazione di sottoscrizioni.This account does not have permission to create subscriptions. Solo il proprietario dell'account Azure dispone dell'autorizzazione per eseguire questa operazione:Only the Azure account owner has permission to do this:

Un proprietario dell'account Azure crea una sottoscrizione Figura 6: un proprietario dell'account Azure crea una sottoscrizione.An Azure account owner creates a subscription Figure 6: An Azure account owner creates a subscription.

Una volta creata la sottoscrizione, il proprietario dell'account Azure può aggiungere l'account proprietario della sottoscrizione alla sottoscrizione con il ruolo proprietario :Once the subscription has been created, the Azure account owner can add the subscription owner account to the subscription with the owner role:

Il proprietario dell'account Azure aggiunge l'account utente del proprietario della sottoscrizione alla sottoscrizione con il ruolo proprietario. Figura 7: il proprietario dell'account Azure aggiunge l'account utente del proprietario della sottoscrizione alla sottoscrizione con il ruolo proprietario .The Azure account owner adds the subscription owner user account to the subscription with the owner role. Figure 7: The Azure account owner adds the subscription owner user account to the subscription with the owner role.

L'account proprietario della sottoscrizione ora può creare gruppi di risorse e delegare la gestione dell'accesso alle risorse.The subscription owner account can now create resource groups and delegate resource access management.

Verrà ora esaminato un esempio di modello di gestione delle risorse che usa una sottoscrizione singola.First let's look at an example resource management model using a single subscription. La prima decisione da prendere è come allineare i gruppi di risorse ai tre ambienti.The first decision is how to align resource groups to the three environments. Sono disponibili due opzioni:You have two options:

  1. Allineare ogni ambiente a un singolo gruppo di risorse.Align each environment to a single resource group. Tutte le risorse dell'infrastruttura condivisa vengono distribuite in un singolo gruppo di risorse dell'infrastruttura condivisa.All shared infrastructure resources are deployed to a single shared infrastructure resource group. Tutte le risorse associate ai carichi di lavoro di sviluppo vengono distribuite in un singolo gruppo di risorse di sviluppo.All resources associated with development workloads are deployed to a single development resource group. Tutte le risorse associate ai carichi di lavoro di produzione vengono distribuite in un singolo gruppo di risorse di **produzione ** per l'ambiente di produzione.All resources associated with production workloads are deployed into a single production resource group for the production environment.
  2. Creare un gruppo di risorse separato per ciascun carico di lavoro, usando una convenzione di denominazione e tag per allineare i gruppi di risorse a ognuno dei tre ambienti.Create separate resource groups for each workload, using a naming convention and tags to align resource groups with each of the three environments.

Verrà ora valutata la prima opzione.Let's begin by evaluating the first option. Si userà il modello di autorizzazioni illustrato nella sezione precedente, con un solo amministratore del servizio della sottoscrizione che crea i gruppi di risorse e aggiunge gli utenti ai gruppi con il ruolo di collaboratore o lettore predefiniti.You'll be using the permissions model that was discussed in the previous section, with a single subscription service administrator who creates resource groups and adds users to them with either the built-in contributor or reader role.

  1. Il primo gruppo di risorse distribuito rappresenta l'ambiente dell'infrastruttura condivisa.The first resource group deployed represents the shared infrastructure environment. L'account proprietario della sottoscrizione crea un gruppo di risorse per le risorse di infrastruttura condivise denominate netops-shared-rg .The subscription owner account creates a resource group for the shared infrastructure resources named netops-shared-rg. Creazione di un gruppo di risorseCreating a resource group
  2. L'account proprietario della sottoscrizione aggiunge l'account utente per le operazioni di rete al gruppo di risorse e assegna il ruolo collaboratore .The subscription owner account adds the network operations user account to the resource group and assigns the contributor role. Aggiunta di un utente di operazioni di reteAdding a network operations user
  3. L'utente delle operazioni di rete crea un gateway VPN e lo configura per la connessione all'appliance VPN locale.The network operations user creates a VPN gateway and configures it to connect to the on-premises VPN appliance. L' utente delle operazioni di rete applica anche una coppia di tag a ognuna delle risorse: environment:shared e managedBy:netops .The network operations user also applies a pair of tags to each of the resources: environment:shared and managedBy:netops. Quando l'amministratore del servizio della sottoscrizione esporta un report sui costi, i costi verranno allineati a ognuno di questi tag.When the subscription service administrator exports a cost report, costs will be aligned with each of these tags. Questo consente all' amministratore del servizio di sottoscrizione di trasformare i costi tramite il environment tag e il managedBy tag.This allows the subscription service administrator to pivot costs using the environment tag and the managedBy tag. Si noti il contatore dei limiti delle risorse in alto a destra nella figura.Notice the resource limits counter at the top right-hand side of the figure. Ogni sottoscrizione di Azure ha limiti del servizio. Per comprendere l'effetto di questi limiti si seguirà il limite della rete virtuale per ogni sottoscrizione.Each Azure subscription has service limits, and to help you understand the effect of these limits you'll follow the virtual network limit for each subscription. È previsto un limite di 1.000 reti virtuali per ogni sottoscrizione e dopo la distribuzione della prima rete virtuale è ora disponibile 999.There is a limit of 1,000 virtual networks per subscription, and after the first virtual network is deployed there are now 999 available. Creazione di un gateway VPNCreating a VPN gateway
  4. Vengono distribuiti altri due gruppi di risorse.Two more resource groups are deployed. Il primo è denominato prod-rg.The first is named prod-rg. Questo gruppo di risorse è allineato all'ambiente di produzione.This resource group is aligned with the production environment. Il secondo è denominato dev-rg ed è allineato all'ambiente di sviluppo.The second is named dev-rg and is aligned with the development environment. Tutte le risorse associate ai carichi di lavoro di produzione sono distribuite nell'ambiente di produzione e tutte le risorse associate ai carichi di lavoro di sviluppo sono distribuite nell'ambiente di sviluppo.All resources associated with production workloads are deployed to the production environment and all resources associated with development workloads are deployed to the development environment. In questo esempio verranno distribuiti solo due carichi di lavoro in ognuno di questi due ambienti, quindi non si incontrerà alcun limite di servizio della sottoscrizione di Azure.In this example, you'll only deploy two workloads to each of these two environments, so you won't encounter any Azure subscription service limits. Si consideri che ogni gruppo di risorse ha un limite di 800 risorse per gruppo di risorse.Consider that each resource group has a limit of 800 resources per resource group. Se si continua ad aggiungere i carichi di lavoro a ogni gruppo di risorse, si raggiungerà il limite.If you continue to add workloads to each resource group, you'll eventually reach this limit. Creazione di gruppi di risorseCreating resource groups
  5. Il primo proprietario del carico di lavoro invia una richiesta all'amministratore del servizio della sottoscrizione e viene aggiunto a ognuno dei gruppo di risorse di sviluppo e produzione con il ruolo di collaboratore.The first workload owner sends a request to the subscription service administrator and is added to each of the development and production environment resource groups with the contributor role. Come si è appreso in precedenza, il ruolo di collaboratore consente all'utente di eseguire qualsiasi operazione, tranne l'assegnazione di un ruolo a un altro utente.As you learned earlier, the contributor role allows the user to perform any operation other than assigning a role to another user. Il primo proprietario del carico di lavoro può ora creare le risorse associate al proprio carico di lavoro.The first workload owner can now create the resources associated with their workload. Aggiunta di collaboratoriAdding contributors
  6. Il primo proprietario del carico di lavoro crea una rete virtuale in ognuno dei due gruppi di risorse con una coppia di macchine virtuali in ciascuno.The first workload owner creates a virtual network in each of the two resource groups with a pair of virtual machines in each. Il primo proprietario del carico di lavoro applica i environment managedBy tag e a tutte le risorse.The first workload owner applies the environment and managedBy tags to all resources. Si noti che il contatore dei limiti del servizio di Azure indica ora 997 reti virtuali rimanenti.Note that the Azure service limit counter is now at 997 virtual networks remaining. Creazione di reti virtualiCreating virtual networks
  7. Nessuna delle reti virtuali dispone di connettività all'istanza locale al momento della creazione.None of the virtual networks has connectivity to on-premises when created. In questo tipo di architettura è necessario eseguire il peering di ogni rete virtuale a hub-vnet nell'ambiente dell' infrastruttura condivisa .In this type of architecture, each virtual network must be peered to the hub-vnet in the shared infrastructure environment. Il peering di rete virtuale crea una connessione tra due reti virtuali separate e consente al traffico di rete di passare da una rete all'altra.Virtual network peering creates a connection between two separate virtual networks and allows network traffic to travel between them. Si noti che il peering di rete virtuale non è intrinsecamente transitivo.Note that virtual network peering is not inherently transitive. È necessario specificare un peering in ognuna delle due reti virtuali connesse. se solo una delle reti virtuali specifica un peering, la connessione non è completa.A peering must be specified in each of the two virtual networks that are connected, and if only one of the virtual networks specifies a peering, then the connection is incomplete. Per illustrare l'effetto di questo, il primo proprietario del carico di lavoro specifica un peering tra prod-vnet e hub-vnet .To illustrate the effect of this, the first workload owner specifies a peering between prod-vnet and hub-vnet. Il primo peering viene creato, ma non viene generato alcun flusso di traffico perché il peering complementare da hub-vnet a prod-vnet non è stato ancora specificato.The first peering is created, but no traffic flows because the complementary peering from hub-vnet to prod-vnet has not yet been specified. Il primo proprietario del carico di lavoro contatta l'utente delle operazioni di rete e richiede questa connessione di peering complementare.The first workload owner contacts the network operations user and requests this complementary peering connection. Creazione di una connessione di peeringCreating a peering connection
  8. L'utente delle operazioni di rete esamina la richiesta, la approva, quindi specifica il peering nelle impostazioni per hub-vnet .The network operations user reviews the request, approves it, then specifies the peering in the settings for the hub-vnet. La connessione di peering è ora completa e il traffico di rete tra le due reti virtuali.The peering connection is now complete, and network traffic flows between the two virtual networks. Creazione di una connessione di peeringCreating a peering connection
  9. Un secondo **proprietario del carico di lavoro ** invia ora una richiesta all'**all'amministratore del servizio della sottoscrizione** e viene aggiunto ai gruppi di risorse degli ambienti di produzione e sviluppo esistenti con il ruolo di collaboratore.Now, a second workload owner sends a request to the subscription service administrator and is added to the existing production and development environment resource groups with the contributor role. Il secondo proprietario del carico di lavoro ha per tutte le risorse le stesse autorizzazioni del primo proprietario del carico di lavoro in ogni gruppo di risorse.The second workload owner has the same permissions on all resources as the first workload owner in each resource group. Aggiunta di collaboratoriAdding contributors
  10. Il secondo proprietario del carico di lavoro crea una subnet nella prod-vnet rete virtuale e quindi aggiunge due macchine virtuali.The second workload owner creates a subnet in the prod-vnet virtual network, then adds two virtual machines. Il secondo proprietario del carico di lavoro applica i environment managedBy tag e a ogni risorsa.The second workload owner applies the environment and managedBy tags to each resource. Creazione di subnetCreating subnets

Questo modello di esempio per la gestione delle risorse consente di gestire le risorse nei tre ambienti richiesti.This example resource management model enables us to manage resources in the three required environments. Le risorse di infrastruttura condivise sono protette perché solo un singolo utente nella sottoscrizione dispone dell'autorizzazione per accedere a tali risorse.The shared infrastructure resources are protected because only a single user in the subscription has permission to access those resources. Ogni proprietario del carico di lavoro può usare le risorse dell'infrastruttura condivisa senza avere autorizzazioni per le risorse condivise.Each of the workload owners can use the shared infrastructure resources without having any permissions on the shared resources themselves. Questo modello di gestione ha esito negativo per l'isolamento del carico di lavoro, perché entrambi i proprietari del carico di lavoro possono accedere alle risorse degli altri carichi di lavoro.This management model fails the requirement for workload isolation, because both workload owners can access the resources of each other's workload.

Un'altra considerazione importante per questo modello potrebbe non essere così ovvia.There's another important consideration with this model that may not be immediately obvious. Nell'esempio è stato App1 il proprietario del carico di lavoro che ha richiesto la connessione del peering di rete con il hub-vnet per fornire la connettività alla rete locale.In the example, it was app1 workload owner that requested the network peering connection with the hub-vnet to provide connectivity to the on-premises network. L'utente delle operazioni di rete ha valutato la richiesta in base alle risorse distribuite con tale carico di lavoro.The network operations user evaluated that request based on the resources deployed with that workload. Quando l'account proprietario della sottoscrizione ha aggiunto il proprietario del carico di lavoro App2 al ruolo collaboratore , l'utente dispone dei diritti di accesso di gestione a tutte le risorse nel prod-rg gruppo di risorse.When the subscription owner account added app2 workload owner with the contributor role, that user had management access rights to all resources in the prod-rg resource group.

Diagramma che illustra i diritti di accesso alla gestione

Questo significa che il proprietario del carico di lavoro di App2 dispone dell'autorizzazione per distribuire una propria subnet con macchine virtuali nella prod-vnet rete virtuale.This means app2 workload owner had permission to deploy their own subnet with virtual machines in the prod-vnet virtual network. Per impostazione predefinita, le macchine virtuali possono accedere alla rete locale.By default, those virtual machines have access to the on-premises network. L'utente delle operazioni di rete non è a conoscenza di tali macchine e non ne ha approvato la connettività con l'ambiente locale.The network operations user is not aware of those machines and did not approve their connectivity to on-premises.

Verrà ora esaminata una singola sottoscrizione con più gruppi di risorse per diversi ambienti e carichi di lavoro.Next, let's look at a single subscription with multiple resource groups for different environments and workloads. Si noti che nell'esempio precedente le risorse per ogni ambiente erano facilmente identificabili perché facevano parte dello stesso gruppo di risorse.Note that in the previous example, the resources for each environment were easily identifiable because they were in the same resource group. Ora che quel raggruppamento non è più disponibile, sarà necessario fare affidamento su una convenzione di denominazione dei gruppi di risorse per ottenere tale funzionalità.Now that you no longer have that grouping, you will have to rely on a resource group naming convention to provide that functionality.

  1. Le risorse dell'infrastruttura condivisa avranno ancora un gruppo di risorse separato in questo modello, che quindi non cambia.The shared infrastructure resources will still have a separate resource group in this model, so that remains the same. Ogni carico di lavoro richiede due gruppi di risorse, uno per ogni ambiente di sviluppo e di produzione .Each workload requires two resource groups, one for each of the development and production environments. Per il primo carico di lavoro, l'account proprietario della sottoscrizione crea due gruppi di risorse.For the first workload, the subscription owner account creates two resource groups. Il primo è denominato app1-prod-rg e il secondo è denominato app1-dev-rg .The first is named app1-prod-rg and the second is named app1-dev-rg. Come illustrato in precedenza, questa convenzione di denominazione identifica le risorse come associate al primo carico di lavoro, app1 e all'ambiente di sviluppo o di produzione .As discussed earlier, this naming convention identifies the resources as being associated with the first workload, app1, and either the development or production environment. Anche in questo caso, l'account proprietario della sottoscrizione aggiunge il proprietario del carico di lavoro App1 al gruppo di risorse con il ruolo collaboratore .Again, the subscription owner account adds app1 workload owner to the resource group with the contributor role. Aggiunta di collaboratoriAdding contributors
  2. Analogamente al primo esempio, il proprietario del carico di lavoro App1 distribuisce una rete virtuale denominata nell' app1-prod-vnet ambiente di produzione e un'altra denominata app1-dev-vnet per l'ambiente di sviluppo .Similar to the first example, app1 workload owner deploys a virtual network named app1-prod-vnet to the production environment, and another named app1-dev-vnet to the development environment. Anche in questo caso, app1 workload owner invia una richiesta all'utente delle operazioni di rete per la creazione di una connessione di peering.Again, app1 workload owner sends a request to the network operations user to create a peering connection. Si noti che app1 workload owner aggiunge gli stessi tag del primo esempio e il contatore dei limiti indica 997 reti virtuali rimanenti nella sottoscrizione.Note that app1 workload owner adds the same tags as in the first example, and the limit counter has been decremented to 997 virtual networks remaining in the subscription. Creazione di una connessione di peeringCreating a peering connection
  3. L'account proprietario della sottoscrizione crea ora due gruppi di risorse per il proprietario del carico di lavoro App2.The subscription owner account now creates two resource groups for app2 workload owner. Seguendo le stesse convenzioni del proprietario del carico di lavoro App1, i gruppi di risorse vengono denominati app2-prod-rg e app2-dev-rg .Following the same conventions as for app1 workload owner, the resource groups are named app2-prod-rg and app2-dev-rg. L'account proprietario della sottoscrizione aggiunge il proprietario del carico di lavoro App2 a ognuno dei gruppi di risorse con il ruolo collaboratore .The subscription owner account adds app2 workload owner to each of the resource groups with the contributor role. Aggiunta di collaboratoriAdding contributors
  4. L'account del proprietario del carico di lavoro App2 distribuisce le reti virtuali e le macchine virtuali nei gruppi di risorse con le stesse convenzioni di denominazione.The app2 workload owner account deploys virtual networks and virtual machines to the resource groups with the same naming conventions. Vengono aggiunti i tag e il contatore dei limiti scende a 995 reti virtuali rimanenti nella sottoscrizione.Tags are added and the limit counter has been decremented to 995 virtual networks remaining in the subscription. Distribuzione di reti virtuali e VMDeploying virtual networks and VMs
  5. L'account proprietario del carico di lavoro App2 invia una richiesta all' utente delle operazioni di rete per eseguire il peering app2-prod-vnet con hub-vnet .The app2 workload owner account sends a request to the network operations user to peer the app2-prod-vnet with the hub-vnet. L'utente delle **operazioni di rete ** crea la connessione di peering.The network operations user creates the peering connection. Creazione di una connessione di peeringCreating a peering connection

Il modello di gestione ottenuto è simile al primo esempio, con numerose differenze fondamentali:The resulting management model is similar to the first example, with several key differences:

  • Ognuno dei due carichi di lavoro è isolato per carico di lavoro e ambiente.Each of the two workloads is isolated by workload and by environment.
  • Questo modello richiedeva due reti virtuali in più rispetto al primo modello di esempio.This model required two more virtual networks than the first example model. Pur non trattandosi di una distinzione importante con due soli carichi di lavoro, il limite teorico del numero di carichi di lavoro per questo modello è 24.While this is not an important distinction with only two workloads, the theoretical limit on the number of workloads for this model is 24.
  • Le risorse non sono più raggruppate in un unico gruppo di risorse per ogni ambiente.Resources are no longer grouped in a single resource group for each environment. Il raggruppamento delle risorse richiede la comprensione delle convenzioni di denominazione usate per ogni ambiente.Grouping resources requires an understanding of the naming conventions used for each environment.
  • Ognuna delle connessioni di rete virtuale con peering è stata esaminata e approvata dall' utente delle operazioni di rete.Each of the peered virtual network connections was reviewed and approved by the network operations user.

Si esaminerà ora un modello di gestione delle risorse con più sottoscrizioni.Now let's look at a resource management model using multiple subscriptions. In questo modello, ognuno dei tre ambienti verrà allineato a una sottoscrizione distinta: una sottoscrizione di servizi condivisi, una sottoscrizione di produzione e, infine, una sottoscrizione di sviluppo.In this model, you'll align each of the three environments to a separate subscription: a shared services subscription, production subscription, and finally a development subscription. Le considerazioni per questo modello sono simili a quelle di un modello che usa una sottoscrizione singola, perché è necessario decidere come allineare i gruppi di risorse ai carichi di lavoro.The considerations for this model are similar to a model using a single subscription in that you have to decide how to align resource groups to workloads. È già stato stabilito che la creazione di un gruppo di risorse per ogni carico di lavoro soddisfa i requisiti di isolamento del carico di lavoro, quindi si seguirà questo modello in questo esempio.Already determined is that creating a resource group for each workload satisfies the workload isolation requirement, so you'll stick with that model in this example.

  1. In questo modello sono disponibili tre sottoscrizioni: infrastruttura condivisa, produzionee sviluppo.In this model, there are three subscriptions: shared infrastructure, production, and development. Ognuna di queste tre sottoscrizioni richiede un proprietario della sottoscrizione e in questo esempio semplice si userà lo stesso account utente per tutte e tre.Each of these three subscriptions requires a subscription owner, and in the simple example you'll use the same user account for all three. Le risorse dell' infrastruttura condivisa vengono gestite in modo analogo ai primi due esempi precedenti e il primo carico di lavoro è associato al app1-rg gruppo di risorse nell'ambiente di produzione e al gruppo di risorse con lo stesso nome nell'ambiente di sviluppo .The shared infrastructure resources are managed similarly to the first two examples above, and the first workload is associated with the app1-rg resource group in the production environment and the same-named resource group in the development environment. L'account proprietario del carico di lavoro App1 viene aggiunto a ogni gruppo di risorse con il ruolo collaboratore .The app1 workload owner account is added to each of the resource group with the contributor role.

    Aggiunta di collaboratori

  2. Come per gli esempi precedenti, app1 workload owner crea le risorse e richiede la connessione di peering con la rete virtuale dell'infrastruttura condivisa.As with the earlier examples, app1 workload owner creates the resources and requests the peering connection with the shared infrastructure virtual network. L'account proprietario del carico di lavoro App1 aggiunge solo il managedBy tag perché non è più necessario il environment tag.The app1 workload owner account adds only the managedBy tag because there is no longer a need for the environment tag. Ovvero le risorse per ogni ambiente sono ora raggruppate nella stessa sottoscrizione e il environment tag è ridondante.That is, resources are for each environment are now grouped in the same subscription and the environment tag is redundant. Il contatore dei limiti scende a 999 reti virtuali rimanenti.The limit counter is decremented to 999 virtual networks remaining.

    Creazione di una connessione di peering

  3. Infine, l'account proprietario della sottoscrizione ripete il processo per il secondo carico di lavoro, aggiungendo i gruppi di risorse con il proprietario del carico di lavoro App2 nel ruolo collaboratore .Finally, the subscription owner account repeats the process for the second workload, adding the resource groups with app2 workload owner in the contributor role. Il contatore dei limiti per ogni sottoscrizione dell'ambiente scende a 998 reti virtuali rimanenti.The limit counter for each of the environment subscriptions is decremented to 998 virtual networks remaining.

Questo modello di gestione ha i vantaggi del secondo esempio illustrato in precedenza.This management model has the benefits of the second example above. La differenza principale consiste nel fatto che i limiti sono meno di un problema perché sono distribuiti in due sottoscrizioni.The key difference is that limits are less of an issue due to the fact that they're spread over two subscriptions. Lo svantaggio è che i dati sui costi rilevati dai tag devono essere aggregati per tutte e tre le sottoscrizioni.The drawback is that the cost data tracked by tags must be aggregated across all three subscriptions.

È quindi possibile selezionare uno di questi due esempi di modelli di gestione delle risorse a seconda della priorità dei propri requisiti.Therefore, you can select any of these two examples resource management models depending on the priority of your requirements. Se si prevede che l'organizzazione non raggiungerà i limiti del servizio per una sottoscrizione singola, è possibile usare una sottoscrizione singola con più gruppi di risorse.If you anticipate that your organization will not reach the service limits for a single subscription, you can use a single subscription with multiple resource groups. Se invece l'organizzazione prevede molti carichi di lavoro, può essere meglio usare più sottoscrizioni per ogni ambiente.Conversely, if your organization anticipates many workloads, multiple subscriptions for each environment may be better.

Implementare il modello di gestione delle risorseImplement the resource management model

Sono stati appresi diversi modelli per la gestione dell'accesso alle risorse di Azure.You've learned about several different models for governing access to Azure resources. Ora verranno esaminati i passaggi necessari per implementare il modello di gestione delle risorse con una sottoscrizione per ognuno degli ambienti, di infrastruttura condivisa, produzione e sviluppo, illustrati nella guida alla progettazione.Now you'll walk through the steps necessary to implement the resource management model with one subscription for each of the shared infrastructure, production, and development environments from the design guide. Si avrà un account proprietario della sottoscrizione per tutti e tre gli ambienti.You'll have one subscription owner account for all three environments. Ogni carico di lavoro sarà isolato in un gruppo di risorse con un proprietario del carico di lavoro aggiunto con il ruolo di collaboratore.Each workload will be isolated in a resource group with a workload owner added with the contributor role.

Nota

Per altre informazioni sulla relazione tra gli account e le sottoscrizioni di Azure, vedere informazioni sull'accesso alle risorse in Azure.To learn more about the relationship between Azure accounts and subscriptions, see Understanding resource access in Azure.

Seguire questa procedura:Follow these steps:

  1. Creare un account di Azure, se l'organizzazione non ne ha già uno.Create an Azure account if your organization doesn't already have one. La persona che effettua l'iscrizione per l'account di Azure diventa l'amministratore account di Azure e i leader dell'organizzazione devono scegliere una persona che assuma questo ruolo.The person who signs up for the Azure account becomes the Azure account administrator, and your organization's leadership must select an individual to assume this role. Questo utente sarà responsabile di:This individual will be responsible for:
  2. Il team di leadership dell'organizzazione decide chi è responsabile di:Your organization's leadership team decides who is responsible for:
    • Gestione dell'identità utente; un tenant di Azure ad viene creato per impostazione predefinita quando viene creato l'account Azure dell'organizzazione e l'amministratore dell'account viene aggiunto come amministratore globale Azure ad per impostazione predefinita.Management of user identity; an Azure AD tenant is created by default when your organization's Azure account is created, and the account administrator is added as the Azure AD global administrator by default. L'organizzazione può scegliere un altro utente per gestire l'identità utente assegnando il ruolo di amministratore globale di Azure AD a tale utente.Your organization can choose another user to manage user identity by assigning the Azure AD global administrator role to that user.
    • Sottoscrizioni, che richiedono che tali utenti:Subscriptions, which means these users:
      • Gestire i costi associati all'utilizzo delle risorse nella sottoscrizione.Manage costs associated with resource usage in that subscription.
      • Implementare e gestire il modello di autorizzazione minima per l'accesso alle risorse.Implement and maintain least permission model for resource access.
      • Tengano traccia dei limiti dei servizi.Keep track of service limits.
    • Servizi di infrastruttura condivisi (se l'organizzazione decide di usare questo modello), che richiedono che l'utente sia responsabile di:Shared infrastructure services (if your organization decides to use this model), which means this user is responsible for:
      • Connettività di rete da sito locale ad Azure.On-premises to Azure network connectivity.
      • Proprietà della connettività di rete all'interno di Azure tramite il peering reti virtuali.Ownership of network connectivity within Azure through virtual network peering.
    • Proprietari dei carichi di lavoro.Workload owners.
  3. L'amministratore globale di Azure AD crea i nuovi account utente per:The Azure AD global administrator creates the new user accounts for:
    • Persona che sarà il proprietario della sottoscrizione per ogni sottoscrizione associata a ogni ambiente.The person who will be the subscription owner for each subscription associated with each environment. Si noti che questo è necessario solo se l'amministratore del servizio di sottoscrizione non ha il compito di gestire l'accesso alle risorse per ogni sottoscrizione/ambiente.Note that this is necessary only if the subscription service administrator will not be tasked with managing resource access for each subscription/environment.
    • Persona che sarà l'utente delle operazioni di rete.The person who will be the network operations user.
    • Le persone che sono proprietari del carico di lavoro.The people who are workload owners.
  4. L'amministratore dell'account Azure crea tre sottoscrizioni di Azure:The Azure account administrator creates three Azure subscriptions:
    • Sottoscrizione per l'ambiente di infrastruttura condivisa .A subscription for the shared infrastructure environment.
    • Sottoscrizione per l'ambiente di produzione .A subscription for the production environment.
    • Una sottoscrizione per l'ambiente di sviluppo.A subscription for the development environment.
  5. L'amministratore account di Azure aggiunge il proprietario del servizio di sottoscrizione a ogni sottoscrizione.The Azure account administrator adds the subscription service owner to each subscription.
  6. Creare un processo di approvazione per i proprietari dei carichi di lavoro per richiedere la creazione dei gruppi di risorse.Create an approval process for workload owners to request the creation of resource groups. Il processo di approvazione può essere implementato in molti modi, ad esempio tramite posta elettronica, oppure è possibile utilizzare uno strumento di gestione dei processi, ad esempio i flussi di lavoro di SharePoint.The approval process can be implemented in many ways, such as over email, or you can using a process management tool such as SharePoint workflows. Il processo di approvazione può seguire questi passaggi:The approval process can follow these steps:
    • Il proprietario del carico di lavoro prepara una distinta base per le risorse di Azure necessarie nell'ambiente di sviluppo, di produzione o in entrambi e la invia al proprietario della sottoscrizione.The workload owner prepares a bill of materials for required Azure resources in either the development environment, production environment, or both, and submits it to the subscription owner.
    • Il proprietario della sottoscrizione esamina la fattura dei materiali e convalida le risorse richieste per assicurarsi che le risorse richieste siano appropriate per l'utilizzo pianificato, ad esempio per verificare che le dimensioni delle macchine virtuali richieste siano corrette.The subscription owner reviews the bill of materials and validates the requested resources to ensure that the requested resources are appropriate for their planned use, such as checking that the requested virtual machine sizes are correct.
    • Se la richiesta non viene approvata, viene inviata una notifica al proprietario del carico di lavoro.If the request is not approved, the workload owner is notified. Se la richiesta viene approvata, il proprietario della sottoscrizione crea il gruppo di risorse richiesto seguendo le convenzioni di denominazione dell'organizzazione, aggiunge il proprietario del carico di lavoro con il ruolo di collaboratore e invia una notifica al proprietario del carico di lavoro per comunicare che il gruppo di risorse è stato creato.If the request is approved, the subscription owner creates the requested resource group following your organization's naming conventions, adds the workload owner with the contributor role and sends notification to the workload owner that the resource group has been created.
  7. Creare un processo di approvazione per i proprietari del carico di lavoro per richiedere una connessione peering reti virtuali dal proprietario dell'infrastruttura condivisa.Create an approval process for workload owners to request a virtual network peering connection from the shared infrastructure owner. Come con il passaggio precedente, questo processo di approvazione può essere implementato tramite posta elettronica o tramite uno strumento di gestione dei processi.As with the previous step, this approval process can be implemented using email or a process management tool.

Ora che il modello di governance è stato implementato, è possibile distribuire i servizi di infrastruttura condivisa.Now that you've implemented your governance model, you can deploy your shared infrastructure services.

Ruoli predefiniti per le risorse di AzureBuilt-in roles for Azure resources