Resource access management in Azure (Zarządzanie dostępem do zasobów na platformie Azure)
W tym artykule dowiesz się, jak zasoby są wdrażane na platformie Azure, począwszy od podstawowych konstrukcji platformy Azure zasobów, subskrypcji i grup zasobów. Następnie dowiesz się, jak usługa Azure Resource Manager (ARM) wdraża zasoby.
Co to jest zasób platformy Azure?
Na platformie Azure zasób jest jednostką zarządzaną przez platformę Azure. Wszystkie przykłady zasobów platformy Azure to maszyny wirtualne, sieci wirtualne i konta magazynu.
Co to jest grupa zasobów platformy Azure?
Każdy zasób na platformie Azure musi należeć do grupy zasobów. Grupa zasobów to logiczny kontener, który kojarzy wiele zasobów, dzięki czemu można zarządzać nimi jako pojedynczą jednostką na podstawie cyklu życia i zabezpieczeń. Możesz na przykład utworzyć lub usunąć zasoby jako grupę, jeśli zasoby współdzielą podobny cykl życia, na przykład zasoby dla aplikacji n-warstwowej. Innymi słowy, wszystkie elementy tworzone, zarządzane i przestarzałe są skojarzone w grupie zasobów.
Zalecanym najlepszym rozwiązaniem jest skojarzenie grup zasobów i zasobów, które zawierają, z subskrypcją platformy Azure.
Co to jest subskrypcja platformy Azure?
Subskrypcja platformy Azure jest podobna do grupy zasobów, która jest kontenerem logicznym, który kojarzy grupy zasobów i odpowiednie zasoby. Subskrypcja platformy Azure jest również skojarzona z kontrolkami usługi Azure Resource Manager. Dowiedz się więcej o usłudze Azure Resource Manager i jej relacji z subskrypcjami platformy Azure.
Co to jest usługa Azure Resource Manager?
W temacie Jak działa platforma Azure?, dowiesz się, że platforma Azure zawiera fronton z usługami, które organizuje funkcje platformy Azure. Jedną z tych usług jest usługa Azure Resource Manager. Ta usługa hostuje klientów interfejsu API RESTful używanych do zarządzania zasobami.
Na poniższej ilustracji przedstawiono trzech klientów: Program Azure PowerShell, witryna Azure Portal i interfejs wiersza polecenia platformy Azure:
Podczas gdy ci klienci łączą się z usługą Resource Manager przy użyciu interfejsu API REST, usługa Resource Manager nie obejmuje funkcji zarządzania zasobami bezpośrednio. Zamiast tego większość typów zasobów na platformie Azure ma własnego dostawcę zasobów.
Gdy klient wysyła żądanie zarządzania określonym zasobem, usługa Azure Resource Manager łączy się z dostawcą zasobów dla tego typu zasobu, aby ukończyć żądanie. Jeśli na przykład klient wysyła żądanie zarządzania zasobem maszyny wirtualnej, usługa Azure Resource Manager łączy się z dostawcą Microsoft.Compute zasobów.
Usługa Azure Resource Manager wymaga od klienta określenia identyfikatora zarówno subskrypcji, jak i grupy zasobów w celu zarządzania zasobem maszyny wirtualnej.
Gdy dowiesz się, jak działa usługa Azure Resource Manager, możesz dowiedzieć się, jak skojarzyć subskrypcję platformy Azure z kontrolkami usługi Azure Resource Manager. Zanim usługa Azure Resource Manager będzie mogła wykonać dowolne żądanie zarządzania zasobami, zapoznaj się z następującym zestawem kontrolek.
Pierwsza kontrolka polega na tym, że zweryfikowany użytkownik musi wysłać żądanie. Ponadto usługa Azure Resource Manager musi mieć zaufaną relację z identyfikatorem Entra firmy Microsoft, aby zapewnić funkcjonalność tożsamości użytkownika.
W usłudze Microsoft Entra ID można podzielić użytkowników na dzierżawy. Dzierżawa to konstrukcja logiczna reprezentująca bezpieczne, dedykowane wystąpienie identyfikatora Entra firmy Microsoft, które ktoś zazwyczaj kojarzy z organizacją. Możesz również skojarzyć każdą subskrypcję z dzierżawą firmy Microsoft Entra.
Każde żądanie klienta dotyczące zarządzania zasobem w określonej subskrypcji wymaga, aby użytkownik miał konto w skojarzonej dzierżawie firmy Microsoft Entra.
Następna kontrolka to sprawdzenie, czy użytkownik ma wystarczające uprawnienia do wykonania żądania. Uprawnienia są przypisywane do użytkowników przy użyciu kontroli dostępu na podstawie ról (RBAC) platformy Azure.
Rola platformy Azure określa zestaw uprawnień, które użytkownik może przejąć na określony zasób. Po przypisaniu roli do użytkownika te uprawnienia są stosowane. Na przykład wbudowana rola Właściciel umożliwia użytkownikowi uruchamianie dowolnej akcji w zasobie.
Następna kontrolka to sprawdzenie, czy żądanie jest dozwolone w ustawieniach określonych dla zasad zasobów platformy Azure. Zasady zasobów platformy Azure określają operacje dozwolone dla określonego zasobu. Na przykład zasady zasobów platformy Azure mogą określać, że użytkownicy mogą wdrażać tylko określony typ maszyny wirtualnej.
Następna kontrolka to sprawdzenie, czy żądanie nie przekracza limitu subskrypcji platformy Azure. Na przykład każda subskrypcja ma limit 980 grup zasobów na subskrypcję. Jeśli otrzymasz żądanie wdrożenia innej grupy zasobów po osiągnięciu limitu, odmów go.
Ostateczna kontrola to sprawdzenie, czy żądanie znajduje się w ramach zobowiązania finansowego skojarzonego z subskrypcją. Na przykład usługa Azure Resource Manager sprawdza, czy subskrypcja ma wystarczające informacje o płatności, jeśli żądanie dotyczy wdrożenia maszyny wirtualnej.
Podsumowanie
W tym artykule przedstawiono sposób zarządzania dostępem do zasobów na platformie Azure przy użyciu usługi Azure Resource Manager.
Następne kroki
Dowiedz się więcej o wdrożeniu chmury za pomocą przewodnika Microsoft Cloud Adoption Framework dla platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla