Gestione dell'accesso alle risorse in Azure
Questo articolo illustra come vengono distribuite le risorse in Azure, a partire dai costrutti fondamentali di risorse, sottoscrizioni e gruppi di risorse di Azure. Si apprenderà quindi come Azure Resource Manager (ARM) distribuisce le risorse.
Informazioni sulle risorse di Azure
In Azure una risorsa è un'entità gestita da Azure. Le macchine virtuali, le reti virtuali e gli account di archiviazione sono tutti esempi di risorse di Azure.
Informazioni sul gruppo di risorse di Azure
Ogni risorsa in Azure deve appartenere a un gruppo di risorse. Un gruppo di risorse è un contenitore logico che associa più risorse in modo da poterle gestire come singola entità, in base al ciclo di vita e alla sicurezza. Ad esempio, è possibile creare o eliminare risorse come gruppo se le risorse condividono un ciclo di vita simile, ad esempio le risorse per un'applicazione a più livelli. In altre parole, tutti gli elementi creati, gestiti e deprecati insieme sono associati all'interno di un gruppo di risorse.
La procedura consigliata consiste nell'associare i gruppi di risorse e le risorse che contengono a una sottoscrizione di Azure.
Informazioni sulla sottoscrizione di Azure
Una sottoscrizione di Azure è simile a un gruppo di risorse in quanto si tratta di un contenitore logico che associa i gruppi di risorse e le rispettive risorse. Una sottoscrizione di Azure è tuttavia anche associata ai controlli di Azure Resource Manager. Informazioni su Azure Resource Manager e sulla relativa relazione con le sottoscrizioni di Azure.
Informazioni su Azure Resource Manager
In Funzionamento di Azure si apprenderà che Azure include un front-end con servizi che orchestrano le funzioni di Azure. Uno di questi servizi è Azure Resource Manager. Questo servizio ospita l'API RESTful che i client usano per gestire le risorse.
La figura seguente illustra tre client: Azure PowerShell, il portale di Azure e l'interfaccia della riga di comando di Azure:
Anche se questi client si connettono a Resource Manager usando l'API REST, Resource Manager non include funzionalità per gestire direttamente le risorse. La maggior parte dei tipi di risorse in Azure ha invece un proprio provider di risorse.
Quando un client invia una richiesta per gestire una risorsa specifica, Azure Resource Manager si connette al provider di risorse per quel tipo di risorsa per completare la richiesta. Se, ad esempio, un client invia una richiesta per gestire una risorsa macchina virtuale, Azure Resource Manager si connette al provider di risorse Microsoft.Compute.
Azure Resource Manager richiede al client di specificare un identificatore sia per la sottoscrizione che per il gruppo di risorse per gestire la risorsa macchina virtuale.
Dopo aver compreso il funzionamento di Azure Resource Manager, è possibile apprendere come associare una sottoscrizione di Azure ai controlli di Azure Resource Manager. Prima che Azure Resource Manager possa eseguire qualsiasi richiesta di gestione delle risorse, esaminare il set di controlli seguente.
Il primo controllo è che la richiesta deve essere effettuata da un utente convalidato. Inoltre, Azure Resource Manager deve avere una relazione attendibile con Microsoft Entra ID per fornire funzionalità di identità utente.
In Microsoft Entra ID è possibile segmentare gli utenti in tenant. Un tenant è un costrutto logico che rappresenta un'istanza sicura e dedicata dell'ID Microsoft Entra associata a un'organizzazione. È anche possibile associare ogni sottoscrizione a un tenant di Microsoft Entra.
Ogni richiesta client per gestire una risorsa in una determinata sottoscrizione richiede che l'utente disponga di un account nel tenant Microsoft Entra associato.
Il controllo successivo consiste nel verificare che l'utente abbia autorizzazioni sufficienti per effettuare la richiesta. Le autorizzazioni vengono assegnate agli utenti tramite il controllo degli accessi in base al ruolo di Azure.
Un ruolo di Azure specifica un set di autorizzazioni che un utente può assumere su una risorsa specifica. Quando il ruolo viene assegnato all'utente, tali autorizzazioni vengono applicate. Ad esempio, il ruolo proprietario predefinito consente a un utente di eseguire qualsiasi azione su una risorsa.
Il controllo successivo verifica che la richiesta sia consentita nelle impostazioni specificate per i criteri delle risorse di Azure. I criteri delle risorse di Azure specificano le operazioni consentite per una determinata risorsa. Ad esempio, un criterio delle risorse di Azure può specificare che agli utenti sia consentito distribuire solo un tipo specifico di macchina virtuale.
Il controllo successivo consiste nel verificare che la richiesta non superi un limite della sottoscrizione di Azure. Ad esempio, ogni sottoscrizione ha un limite di 980 gruppi di risorse. Se si riceve una richiesta di distribuzione di un altro gruppo di risorse quando è stato raggiunto il limite, verrà negata.
Il controllo finale verifica che la richiesta rientri nell'impegno finanziario associato alla sottoscrizione. Se, ad esempio, se la richiesta riguarda la distribuzione di una macchina virtuale, Azure Resource Manager verifica che la sottoscrizione contenga informazioni sufficienti per il pagamento.
Riepilogo
In questo articolo si è appreso come viene gestito l'accesso alle risorse in Azure con Azure Resource Manager.
Passaggi successivi
Altre informazioni sull'adozione del cloud Adoption Framework con Microsoft Cloud Adoption Framework per Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per