Toegangsbeheer voor resources in Azure
In dit artikel leert u hoe resources worden geïmplementeerd in Azure, te beginnen met de fundamentele Azure-constructies van resources, abonnementen en resourcegroepen. Vervolgens leert u hoe Azure Resource Manager (ARM) resources implementeert.
Wat is een Azure-resource?
In Azure is een resource een entiteit die wordt beheerd door Azure. Virtuele machines, virtuele netwerken en opslagaccounts zijn allemaal voorbeelden van Azure-resources.
Wat is een Azure-resourcegroep?
Elke resource in Azure moet deel uitmaken van een resourcegroep. Een resourcegroep is een logische container die meerdere resources koppelt, zodat u ze als één entiteit kunt beheren op basis van de levenscyclus en beveiliging. U kunt bijvoorbeeld resources maken of verwijderen als een groep als de resources een vergelijkbare levenscyclus delen, zoals de resources voor een toepassing met een n-laag. Met andere woorden, alles wat u samen maakt, beheert en afkeurt, is gekoppeld aan een resourcegroep.
Aanbevolen procedure is om resourcegroepen en de resources die ze bevatten, te koppelen aan een Azure-abonnement.
Wat is een Azure-abonnement?
Een Azure-abonnement is vergelijkbaar met een resourcegroep omdat het een logische container is die resourcegroepen en de bijbehorende resources koppelt. Een Azure-abonnement is ook gekoppeld aan Azure Resource Manager-besturingselementen. Meer informatie over Azure Resource Manager en de relatie met Azure-abonnementen.
Wat is Azure Resource Manager?
In Hoe werkt Azure?, leert u dat Azure een front-end bevat met services die de functies van Azure organiseren. Een van deze services is Azure Resource Manager. Deze service fungeert als host voor de RESTful API-clients die worden gebruikt voor het beheren van resources.
In de volgende afbeelding ziet u drie clients: Azure PowerShell, Azure Portal en De Azure CLI:
Hoewel deze clients verbinding maken met Resource Manager met behulp van de REST API, bevat Resource Manager geen functionaliteit om resources rechtstreeks te beheren. In plaats daarvan hebben de meeste resourcetypen in Azure hun eigen resourceprovider.
Wanneer een client een aanvraag indient om een specifieke resource te beheren, maakt Azure Resource Manager verbinding met de resourceprovider voor dat resourcetype om de aanvraag te voltooien. Als een client bijvoorbeeld een aanvraag doet om een virtuele-machineresource te beheren, maakt Azure Resource Manager verbinding met de Microsoft.Compute resourceprovider.
Voor Azure Resource Manager moet de client een id opgeven voor zowel het abonnement als de resourcegroep om de resource van de virtuele machine te beheren.
Zodra u weet hoe Azure Resource Manager werkt, kunt u leren hoe u een Azure-abonnement koppelt aan de Besturingselementen van Azure Resource Manager. Bekijk de volgende besturingselementen voordat Azure Resource Manager een aanvraag voor resourcebeheer kan uitvoeren.
Het eerste besturingselement is dat een gevalideerde gebruiker een aanvraag moet indienen. Azure Resource Manager moet ook een vertrouwde relatie hebben met Microsoft Entra-id om functionaliteit voor gebruikersidentiteit te bieden.
In Microsoft Entra ID kunt u gebruikers segmenteren in tenants. Een tenant is een logische constructie die een beveiligd, toegewezen exemplaar van Microsoft Entra-id vertegenwoordigt die iemand doorgaans aan een organisatie koppelt. U kunt elk abonnement ook koppelen aan een Microsoft Entra-tenant.
Elke clientaanvraag voor het beheren van een resource in een bepaald abonnement vereist dat de gebruiker een account heeft in de bijbehorende Microsoft Entra-tenant.
Het volgende besturingselement is een controle of de gebruiker voldoende machtigingen heeft om de aanvraag te doen. Machtigingen worden toegewezen aan gebruikers met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
Een Azure-rol geeft een set machtigingen op die een gebruiker kan overnemen voor een specifieke resource. Wanneer de rol wordt toegewezen aan de gebruiker, worden deze machtigingen toegepast. Met de ingebouwde rol Eigenaar kan een gebruiker bijvoorbeeld een actie uitvoeren op een resource.
Het volgende besturingselement is een controle of de aanvraag is toegestaan onder de instellingen die zijn opgegeven voor Azure-resourcebeleid. Azure-resourcebeleid geeft de bewerkingen op die zijn toegestaan voor een specifieke resource. Een Azure-resourcebeleid kan bijvoorbeeld opgeven dat gebruikers alleen een specifiek type virtuele machine mogen implementeren.
Het volgende besturingselement is een controle dat de aanvraag niet groter is dan de limiet voor een Azure-abonnement. Elk abonnement heeft bijvoorbeeld een limiet van 980 resourcegroepen per abonnement. Als u een aanvraag ontvangt om een andere resourcegroep te implementeren wanneer de limiet is bereikt, kunt u deze weigeren.
Het uiteindelijke beheer is een controle om te controleren of de aanvraag binnen de financiële toezegging valt die u aan het abonnement koppelt. Azure Resource Manager controleert bijvoorbeeld of het abonnement voldoende betalingsgegevens heeft als de aanvraag een virtuele machine wil implementeren.
Samenvatting
In dit artikel hebt u geleerd hoe toegang tot resources in Azure wordt beheerd met behulp van Azure Resource Manager.
Volgende stappen
Meer informatie over cloudimplementatie met het Microsoft Cloud Adoption Framework voor Azure.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor