Design de governança para várias equipesGovernance design for multiple teams

A meta deste guia é ajudar você a aprender o processo para criar um modelo de controle de recursos no Azure para dar suporte a múltiplas equipes, múltiplas cargas de trabalho e múltiplos ambientes.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support multiple teams, multiple workloads, and multiple environments. Primei vamos examinar um conjunto de requisitos de governança hipotético e passar por várias implementações de exemplo que atendem a esses requisitos.First you'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

Esses requisitos são:The requirements are:

  • A empresa planeja uma transição de novas funções de nuvem e responsabilidades para um conjunto de usuários e, portanto, requer gerenciamento de identidades para várias equipes com necessidades de acesso de recursos diferentes no Azure.The enterprise plans to transition new cloud roles and responsibilities to a set of users and therefore requires identity management for multiple teams with different resource access needs in Azure. Este sistema de gerenciamento de identidade é necessário para armazenar a identidade dos seguintes usuários:This identity management system is required to store the identity of the following users:
    • A pessoa em sua organização responsável pela propriedade de assinaturas.The individual in your organization responsible for ownership of subscriptions.
    • O indivíduo em sua organização responsável pelos recursos de infraestrutura compartilhada usados para conectar sua rede local a uma rede virtual no Azure.The individual in your organization responsible for the shared infrastructure resources used to connect your on-premises network to a virtual network in Azure.
    • Duas pessoas na sua organização responsáveis pelo gerenciamento de uma carga de trabalho.Two individuals in your organization responsible for managing a workload.
  • Suporte para vários ambientes.Support for multiple environments. Um ambiente é um agrupamento lógico de recursos, como máquinas virtuais, redes virtuais e serviços de roteamento de tráfego de rede.An environment is a logical grouping of resources, such as virtual machines, virtual networking, and network traffic routing services. Esses grupos de recursos têm requisitos de segurança e gerenciamento semelhantes e, normalmente, são usados para uma finalidade específica, como teste ou produção.These groups of resources have similar management and security requirements and are typically used for a specific purpose such as testing or production. Neste exemplo, o requisito é para quatro ambientes:In this example, the requirement is for four environments:
    • Um ambiente de infraestrutura compartilhada que inclui recursos compartilhados por cargas de trabalho em outros ambientes.A shared infrastructure environment that includes resources shared by workloads in other environments. Por exemplo, uma rede virtual com uma sub-rede do gateway que fornece conectividade para locais.For example, a virtual network with a gateway subnet that provides connectivity to on-premises.
    • Um ambiente de produção com as políticas de segurança mais restritivas.A production environment with the most restrictive security policies. Pode incluir cargas de trabalho internas ou externas.Could include internal or external facing workloads.
    • Um ambiente de não produção para desenvolvimento e teste de trabalho.A nonproduction environment for development and testing work. Esse ambiente tem políticas de segurança, conformidade e custo que diferem no ambiente de produção.This environment has security, compliance, and cost policies that differ from those in the production environment. No Azure, isso assume a forma de uma assinatura Desenvolvimento/Teste Enterprise.In Azure, this takes the form of an Enterprise Dev/Test subscription.
    • Um ambiente de área restrita para prova de conceito e fins educacionais.A sandbox environment for proof of concept and education purposes. Esse ambiente é normalmente atribuído por funcionário que participa de atividades de desenvolvimento e tem controles de segurança operacionais e de procedimentos estritos em vigor para evitar dados corporativos do pouso aqui.This environment is typically assigned per employee participating in development activities and has strict procedural and operational security controls in place to prevent corporate data from landing here. No Azure, eles assumem a forma de assinaturas do Visual Studio.In Azure, these take the form of Visual Studio subscriptions. Essas assinaturas também não devem estar vinculadas ao Azure Active Directory empresarial.These subscriptions should also not be tied to the enterprise Azure Active Directory.
  • Um modelo de permissões de privilégio mínimo no qual os usuários não têm permissões por padrão.A permissions model of least privilege in which users have no permissions by default. O modelo deve oferecer suporte ao seguinte:The model must support the following:
    • Um único usuário confiável no escopo da assinatura, tratado como uma conta de serviço e concedeu permissão para atribuir direitos de acesso ao recurso.A single trusted user at the subscription scope, treated like a service account and granted permission to assign resource access rights.
    • Por padrão, todos os proprietários de carga de trabalho têm seu acesso negado aos recursos.Each workload owner is denied access to resources by default. Os direitos de acesso ao recurso são concedidos explicitamente pelo único usuário confiável no escopo do grupo de recursos.Resource access rights are granted explicitly by the single trusted user at the resource group scope.
    • Acesso de gerenciamento para os recursos de infraestrutura compartilhada, limitado aos proprietários da infraestrutura compartilhada.Management access for the shared infrastructure resources, limited to the shared infrastructure owners.
    • O acesso de gerenciamento para cada carga de trabalho restrita ao proprietário da carga de trabalho na produção e o aumento dos níveis de controle conforme o desenvolvimento prossegue com os vários ambientes de implantação (desenvolvimento, teste, preparo e produção).Management access for each workload restricted to the workload owner in production, and increasing levels of control as development proceeds through the various deployment environments (development, test, staging, and production).
    • A empresa não deseja ter que gerenciar funções independentemente em cada um dos três ambientes principais e, portanto, requer o uso apenas de funções internas disponíveis no controle de acesso baseado em função do Azure (RBAC do Azure).The enterprise does not want to have to manage roles independently in each of the three main environments, and therefore requires the use of only built-in roles available in Azure role-based access control (Azure RBAC). Se a empresa absolutamente exige funções personalizadas, processos adicionais seriam necessários para sincronizar funções personalizadas entre os três ambientes.If the enterprise absolutely requires custom roles, additional processes would be needed to synchronize custom roles across the three environments.
  • Custo de controle por nome de proprietário de carga de trabalho, ambiente ou ambos.Cost tracking by workload owner name, environment, or both.

Gerenciamento de identidadesIdentity management

Antes de podermos projetar o gerenciamento de identidades para o seu modelo de controle, é importante entender as quatro áreas principais que englobam:Before you can design identity management for your governance model, it's important to understand the four major areas it encompasses:

  • Administração: Os processos e as ferramentas para criar, editar e excluir a identidade do usuário.Administration: The processes and tools for creating, editing, and deleting user identity.
  • Autenticação: Verificando a identidade do usuário validando as credenciais, como um nome de usuário e uma senha.Authentication: Verifying user identity by validating credentials, such as a user name and password.
  • Autorização: Determinar quais recursos um usuário autenticado pode acessar ou quais operações eles têm permissão para executar.Authorization: Determining which resources an authenticated user is allowed to access or what operations they have permission to perform.
  • Auditoria: Revisão periódica de logs e outras informações para descobrir problemas de segurança relacionados à identidade do usuário.Auditing: Periodically reviewing logs and other information to discover security issues related to user identity. Isso inclui a revisão de padrões de uso suspeitos, a revisão periódica das permissões de usuário para verificar se elas são precisas e outras funções.This includes reviewing suspicious usage patterns, periodically reviewing user permissions to verify they're accurate, and other functions.

Há apenas um serviço confiável para o Azure para identidade, que é o Azure Active Directory (Azure AD).There is only one service trusted by Azure for identity, and that is Azure Active Directory (Azure AD). Vamos adicionar usuários ao e Microsoft Azure Active Directory usá-lo para todas as funções listadas acima.You'll be adding users to Azure AD and using it for all of the functions listed above. Antes de examinar como configurar o Azure AD, é importante entender as contas privilegiadas que são usadas para gerenciar o acesso a esses serviços.Before looking at how to configure Azure AD, it's important to understand the privileged accounts that are used to manage access to these services.

Quando sua organização se inscreveu para uma conta do Azure, pelo menos um proprietário da conta Azure foi atribuído.When your organization signed up for an Azure account, at least one Azure account owner was assigned. Além disso, um locatário do Azure ad foi criado, a menos que um locatário existente já esteja associado ao uso de outros serviços da Microsoft por sua organização, como Microsoft 365.Also, an Azure AD tenant was created, unless an existing tenant was already associated with your organization's use of other Microsoft services such as Microsoft 365. Um administrador global com permissões totais no locatário do Azure AD estava associado quando ele foi criado.A global administrator with full permissions on the Azure AD tenant was associated when it was created.

As identidades de usuário para o proprietário da conta do Azure e o administrador global do Azure AD são armazenadas em um sistema de identidade altamente seguro que é gerenciado pela Microsoft.The user identities for both the Azure account owner and the Azure AD Global Administrator are stored in a highly secure identity system that is managed by Microsoft. O proprietário da conta do Azure está autorizado a criar, atualizar e excluir assinaturas.The Azure account owner is authorized to create, update, and delete subscriptions. O administrador global do Azure AD está autorizado a executar muitas ações no Azure AD, mas para este guia de design, você se concentrará na criação e exclusão da identidade do usuário.The Azure AD Global Administrator is authorized to perform many actions in Azure AD, but for this design guide you'll focus on the creation and deletion of user identity.

Observação

Sua organização talvez já tenha um locatário do Azure AD existente se houver uma licença existente do Microsoft 365, do Intune ou do Dynamics 365 associada à sua conta.Your organization may already have an existing Azure AD tenant if there's an existing Microsoft 365, Intune, or Dynamics 365 license associated with your account.

O proprietário da conta do Azure tem permissão para criar, atualizar e excluir assinaturas:The Azure account owner has permission to create, update, and delete subscriptions:

Diagrama mostrando uma conta do Azure com um proprietário de conta do Azure e administrador global do Azure AD. Figura 1: uma conta do Azure com um proprietário de conta do Azure e um administrador global do Azure AD.Diagram showing an Azure account with an Azure account owner and Azure AD global admin. Figure 1: An Azure account with an Azure account owner and Azure AD global administrator.

O administrador global do Azure AD tem permissão para criar contas de usuário:The Azure AD global administrator has permission to create user accounts:

Diagrama mostrando que o administrador global do Azure AD cria as contas de usuário necessárias no locatário. Figura 2: o administrador global do Azure ad cria as contas de usuário necessárias no locatário.Diagram showing that the Azure AD global administrator creates the required user accounts in the tenant. Figure 2: The Azure AD global administrator creates the required user accounts in the tenant.

As duas primeiras contas, o proprietário da carga de trabalho do App1 e o proprietário de carga de trabalho App2, são associadas a um indivíduo em sua organização responsável pelo gerenciamento de uma carga de trabalho.The first two accounts, app1 workload owner and app2 workload owner, are each associated with an individual in your organization responsible for managing a workload. A conta operações de rede pertence à pessoa responsável pelos recursos de infraestrutura compartilhada.The network operations account is owned by the individual that is responsible for the shared infrastructure resources. Por fim, a conta do proprietário da assinatura está associada à pessoa responsável pela propriedade de assinaturas.Finally, the subscription owner account is associated with the individual responsible for ownership of subscriptions.

Modelo de permissões de acesso do recurso de privilégio mínimoResource access permissions model of least privilege

Agora que o sistema de gerenciamento de identidade e as contas de usuário foram criados, você precisa decidir como aplicar funções do Azure a cada conta para dar suporte a um modelo de permissões de privilégios mínimos.Now that your identity management system and user accounts have been created, you have to decide how to apply Azure roles to each account to support a permissions model of least privilege.

Há outro requisito que indica que os recursos associados a cada carga de trabalho devem ser isolados uns dos outros, de modo que nenhum proprietário de uma carga de trabalho tenha acesso de gerenciamento a qualquer outra carga de trabalho que não possuem.There's another requirement stating the resources associated with each workload be isolated from one another such that no one workload owner has management access to any other workload they do not own. Também há um requisito para implementar esse modelo usando apenas funções internas para o controle de acesso baseado em função do Azure.There's also a requirement to implement this model using only built-in roles for Azure role-based access control.

Cada função do Azure é aplicada em um dos três escopos no Azure: assinatura, grupo de recursos e, em seguida, em um recurso individual.Each Azure role is applied at one of three scopes in Azure: subscription, resource group, then an individual resource. As funções são herdadas em escopos inferiores.Roles are inherited at lower scopes. Por exemplo, se um usuário receber a função de proprietário interna no nível de assinatura, essa função também será atribuída a esse usuário no grupo de recursos e no nível de recurso individual, a menos que seja substituído.For example, if a user is assigned the built-in Owner role at the subscription level, that role is also assigned to that user at the resource group and individual resource level unless overridden.

Portanto, para criar um modelo de acesso de privilégios mínimos, você precisa decidir as ações que um determinado tipo de usuário tem permissão para executar em cada um desses três escopos.Therefore, to create a model of least-privilege access you have to decide the actions a particular type of user is allowed to take at each of these three scopes. Por exemplo, o requisito é para que um proprietário de carga de trabalho tenha permissão para gerenciar o acesso a somente os recursos associados à sua carga de trabalho e nenhum outro.For example, the requirement is for a workload owner to have permission to manage access to only the resources associated with their workload and no others. Se você atribuir a função de proprietário interna no escopo da assinatura, cada proprietário da carga de trabalho teria acesso de gerenciamento a todas as cargas de trabalho.If you were to assign the built-in Owner role at the subscription scope, each workload owner would have management access to all workloads.

Vamos dar uma olhada em dois modelos de permissão de exemplo para entender esse conceito um pouco melhor.Let's take a look at two example permission models to understand this concept a little better. No primeiro exemplo, o modelo confia somente no administrador de serviço para criar grupos de recursos.In the first example, the model trusts only the Service Administrator to create resource groups. No segundo exemplo, o modelo atribui a função de proprietário interna a cada proprietário de carga de trabalho no escopo da assinatura.In the second example, the model assigns the built-in Owner role to each workload owner at the subscription scope.

Em ambos os exemplos, há um administrador de serviço de assinatura que é atribuído à função de proprietário interna no escopo da assinatura.In both examples, there is a subscription Service Administrator that is assigned the built-in Owner role at the subscription scope. Lembre-se de que a função de proprietário interna concede todas as permissões, incluindo o gerenciamento de acesso a recursos.Recall that the built-in Owner role grants all permissions including the management of access to resources.

Administrador do serviço de assinatura com a função de proprietário Figura 3: uma assinatura com um administrador de serviço atribuiu a função de proprietário interna.Subscription service administrator with owner role Figure 3: A subscription with a Service Administrator assigned the built-in Owner role.

  1. No primeiro exemplo, o proprietário da carga de trabalho A não tem permissões no escopo da assinatura e nenhum direito de gerenciamento de acesso ao recurso por padrão.In the first example, workload owner A has no permissions at the subscription scope and no resource access management rights by default. Esse usuário deseja implantar e gerenciar os recursos para sua carga de trabalho.This user wants to deploy and manage the resources for their workload. Eles devem contatar o administrador de serviço para solicitar a criação de um grupo de recursos.They must contact the service administrator to request creation of a resource group. O proprietário da carga de trabalho solicita A criação do grupo de recursos AWorkload owner requests creation of resource group A
  2. O administrador de serviços revisa sua solicitação e cria o grupo de recursos A. Neste ponto, o proprietário da carga de trabalho ainda não tem permissão para fazer nada.The service administrator reviews their request and creates resource group A. At this point, workload owner A still doesn't have permission to do anything. O administrador de serviços cria um grupo de recursos AService administrator creates resource group A
  3. O administrador de serviços adiciona o proprietário da carga de trabalho a ao grupo de recursos a e atribui a função de colaborador interna.The service administrator adds workload owner A to resource group A and assigns the built-in Contributor role. A função colaborador concede todas as permissões no grupo de recursos A , exceto o gerenciamento da permissão de acesso.The Contributor role grants all permissions on resource group A except managing access permission. O administrador de serviços adiciona o proprietário da carga de trabalho a ao grupo de recursos aService administrator adds workload owner A to resource group A
  4. Vamos supor que o proprietário da carga de trabalho a tem um requisito para que um par de membros da equipe exiba os dados de monitoramento de tráfego de rede e de CPU como parte do planejamento de capacidade para a carga de trabalho.Let's assume that workload owner A has a requirement for a pair of team members to view the CPU and network traffic monitoring data as part of capacity planning for the workload. Como o proprietário da carga de trabalho a recebe a função de colaborador, ele não tem permissão para adicionar um usuário ao grupo de recursos a. Eles devem enviar essa solicitação ao administrador de serviços.Because workload owner A is assigned the Contributor role, they do not have permission to add a user to resource group A. They must send this request to the service administrator. O proprietário da carga de trabalho solicita que os colaboradores de carga de trabalho sejam adicionados ao grupoWorkload owner requests workload contributors be added to resource group
  5. O administrador de serviços revisa a solicitação e adiciona os dois usuários de colaborador de carga de trabalho ao grupo de recursos a. Nenhum desses dois usuários exigem permissão para gerenciar recursos, portanto, eles recebem a função de leitor interna.The service administrator reviews the request, and adds the two workload contributor users to resource group A. Neither of these two users require permission to manage resources, so they're assigned the built-in Reader role. O administrador de serviços adiciona colaboradores de carga de trabalho ao grupo de recursos AService administrator adds workload contributors to resource group A
  6. Em seguida, o proprietário da carga de trabalho B também requer um grupo de recursos conter os recursos para sua carga de trabalho.Next, workload owner B also requires a resource group to contain the resources for their workload. Assim como acontece com proprietário da carga de trabalho A, proprietário da carga de trabalho B inicialmente não tem permissão para realizar qualquer ação no escopo de assinatura para que eles devem enviar uma solicitação para o administrador de serviços.As with workload owner A, workload owner B initially does not have permission to take any action at the subscription scope so they must send a request to the service administrator. O proprietário da carga de trabalho B solicita a criação do grupo de recursos BWorkload owner B requests creation of resource group B
  7. O administrador de serviços revisa a solicitação e cria o grupo de recursos B. O  administrador de serviços cria o grupo de recursos BThe service administrator reviews the request and creates resource group B. Service administrator creates resource group B
  8. Em seguida, o administrador do serviço adiciona o proprietário da carga de trabalho b ao grupo de recursos b e atribui a função de colaborador interna.The service administrator then adds workload owner B to resource group B and assigns the built-in Contributor role. O administrador de serviços adiciona o proprietário de carga de trabalho B ao grupo de recursos BService administrator adds workload owner B to resource group B

Neste ponto, cada um dos proprietários da carga de trabalho é isolado em seu próprio grupo de recursos.At this point, each of the workload owners is isolated in their own resource group. Nenhum dos proprietários da carga de trabalho ou membros da equipe tem acesso de gerenciamento para os recursos em outro grupo de recursos.None of the workload owners or their team members have management access to the resources in any other resource group.

Um diagrama que mostra uma assinatura com grupos de recursos A e B. Figura 4: uma assinatura com dois proprietários de carga de trabalho isoladas com seu próprio grupo de recursos.A diagram showing a subscription with resource groups A and B. Figure 4: a subscription with two workload owners isolated with their own resource group.

Esse modelo é um modelo de privilégios mínimos.This model is a least-privilege model. Cada usuário recebe a permissão correta no escopo de gerenciamento de recursos correto.Each user is assigned the correct permission at the correct resource management scope.

Considere que todas as tarefas neste exemplo foram executadas pelo administrador de serviços.Consider that every task in this example was performed by the service administrator. Enquanto esse é um exemplo simples e não parece ser um problema porque não havia apenas dois proprietários da carga de trabalho, é fácil imaginar que os tipos de problemas que possam resultar de uma organização de grande porte.While this is a simple example and may not appear to be an issue because there were only two workload owners, it's easy to imagine the types of issues that would result for a large organization. Por exemplo, o administrador de serviço pode se tornar um afunilamento com uma grande lista de pendências de solicitações que resultar em atrasos.For example, the service administrator can become a bottleneck with a large backlog of requests that result in delays.

Vamos dar uma olhada no segundo exemplo que reduz o número de tarefas executadas pelo administrador de serviço.Let's take a look at second example that reduces the number of tasks performed by the service administrator.

  1. Nesse modelo, o proprietário da carga de trabalho a recebe a função de proprietário interna no escopo da assinatura, permitindo que eles criem seu próprio grupo de recursos: grupo de recursos A. O administrador de serviços adiciona o proprietário da carga de trabalho a à assinaturaIn this model, workload owner A is assigned the built-in Owner role at the subscription scope, enabling them to create their own resource group: resource group A. Service administrator adds workload owner A to subscription
  2. Quando o grupo de recursos a é criado, o proprietário da carga de trabalho a é adicionado por padrão e herda a função de proprietário interna do escopo da assinatura.When resource group A is created, workload owner A is added by default and inherits the built-in Owner role from the subscription scope. Proprietário da carga de trabalho A cria um grupo de recursos AWorkload owner A creates resource group A
  3. A função de proprietário interna concede ao proprietário da carga de trabalho uma permissão para gerenciar o acesso ao grupo de recursos.The built-in Owner role grants workload owner A permission to manage access to the resource group. O proprietário da carga de trabalho a adiciona dois colaboradores de carga de trabalho e atribui a função de leitor interna a cada um deles.Workload owner A adds two workload contributors and assigns the built-in Reader role to each of them. Proprietário da carga de trabalho A adiciona colaboradores de carga de trabalhoWorkload owner A adds workload contributors
  4. O administrador de serviços agora adiciona o proprietário da carga de trabalho B à assinatura com a função de proprietário interna.The Service Administrator now adds workload owner B to the subscription with the built-in Owner role. O administrador de serviços adiciona o proprietário da carga de trabalho B à assinaturaService Administrator adds workload owner B to subscription
  5. O proprietário da carga de trabalho B cria o grupo de recursos B e é adicionado por padrão.Workload owner B creates resource group B and is added by default. Novamente, o proprietário da carga de trabalho B herda a função de proprietário interna do escopo da assinatura.Again, workload owner B inherits the built-in Owner role from the subscription scope. O proprietário da carga de trabalho B cria o grupo de recursos BWorkload owner B creates resource group B

Observe que, neste modelo, o administrador de serviço executou ações menos do que no primeiro exemplo, devido a delegação de acesso de gerenciamento para cada um dos proprietários da carga de trabalho individuais.Note that in this model, the service administrator performed fewer actions than they did in the first example due to the delegation of management access to each of the individual workload owners.

Um diagrama que mostra um administrador de serviços e dois proprietários de carga de trabalho para grupos de recursos A e B. Figura 5: uma assinatura com um administrador de serviços e dois proprietários de carga de trabalho, todos atribuídos à função de proprietário interna.A diagram showing a Service Administrator and two workload owners for resource groups A and B. Figure 5: A subscription with a Service Administrator and two workload owners, all assigned the built-in Owner role.

Como o proprietário da carga de trabalho a e o proprietário da carga de trabalho B são atribuídos à função de proprietário interna no escopo da assinatura, eles têm cada uma herdado a função de proprietário interna para o grupo de recursos uns dos outros.Because both workload owner A and workload owner B are assigned the built-in Owner role at the subscription scope, they have each inherited the built-in Owner role for each other's resource group. Isso significa que não só têm acesso total aos recursos uns dos outros, eles também podem delegar o acesso de gerenciamento aos grupos de recursos uns dos outros.This means that not only do they have full access to each other's resources, they can also delegate management access to each other's resource groups. Por exemplo, o proprietário da carga de trabalho B tem direitos para adicionar qualquer outro usuário ao grupo de recursos a e pode atribuir qualquer função a eles, incluindo a função de proprietário interna.For example, workload owner B has rights to add any other user to resource group A and can assign any role to them, including the built-in Owner role.

Se compararmos cada exemplo aos requisitos, podemos ver que ambos os exemplos dão suporte a um único usuário confiável no escopo da assinatura com permissão para conceder direitos de acesso de recursos para os dois proprietários de cargas de trabalho.If you compare each example to the requirements, you'll see that both examples support a single trusted user at the subscription scope with permission to grant resource access rights to the two workload owners. Cada um dos proprietários de duas cargas de trabalho não tinham acesso ao gerenciamento de recursos por padrão e exigiam que o administrador de serviço atribuísse explicitamente permissões a eles.Each of the two workload owners did not have access to resource management by default and required the service administrator to explicitly assign permissions to them. Somente o primeiro exemplo dá suporte ao requisito de que os recursos associados a cada carga de trabalho sejam isolados uns dos outros, de modo que nenhum proprietário da carga de trabalho tenha acesso aos recursos de qualquer outra carga de trabalho.Only the first example supports the requirement that the resources associated with each workload are isolated from one another such that no workload owner has access to the resources of any other workload.

Modelo de gerenciamento de recursosResource management model

Agora que criamos um modelo de permissões de privilégios mínimos, vamos dar uma olhada em algumas aplicações desses modelos de controle.Now that you've designed a permissions model of least privilege, let's move on to take a look at some practical applications of these governance models. Lembre-se de que os requisitos devem dar suporte aos três ambientes a seguir:Recall from the requirements that you must support the following three environments:

  1. Ambiente de infraestrutura compartilhada: Um grupo de recursos compartilhados por todas as cargas de trabalho.Shared infrastructure environment: A group of resources shared by all workloads. Estes são recursos como gateways de rede, firewalls e serviços de segurança.These are resources such as network gateways, firewalls, and security services.
  2. Ambiente de produção: Vários grupos de recursos que representam várias cargas de trabalho de produção.Production environment: Multiple groups of resources representing multiple production workloads. Esses recursos são usados para hospedar os artefatos de aplicativo públicos e privados.These resources are used to host the private and public-facing application artifacts. Esses recursos normalmente têm o controle mais completa e modelos de segurança para proteger os recursos, o código do aplicativo e dados contra acesso não autorizado.These resources typically have the tightest governance and security models to protect the resources, application code, and data from unauthorized access.
  3. Ambiente de pré-produção: Vários grupos de recursos que representam várias cargas de trabalho prontas para a produção.Preproduction environment: Multiple groups of resources representing multiple non-production-ready workloads. Esses recursos são usados para desenvolvimento e teste e podem ter um modelo de governança mais relaxado para permitir maior agilidade do desenvolvedor.These resources are used for development and testing, and may have a more relaxed governance model to enable increased developer agility. A segurança nesses grupos deve aumentar à medida que o processo de desenvolvimento de aplicativos se aproximar mais da produção.Security within these groups should increase as the application development process moves closer to production.

Para cada um desses três ambientes, temos um requisito para controlar dados de custo por proprietário da carga de trabalho, ambiente, ou ambos.For each of these three environments, there is a requirement to track cost data by workload owner, environment, or both. Ou seja, você desejará saber o custo contínuo da infraestrutura compartilhada, os custos incorridos por indivíduos tanto em ambientes de produção quanto em implantações e, finalmente, o custo geral de ambientes de produção e não produtos .That is, you'll want to know the ongoing cost of the shared infrastructure, the costs incurred by individuals in both the nonproduction and production environments, and finally the overall cost of nonproduction and production environments.

Você já aprendeu que os recursos estão no escopo em dois níveis: assinatura e grupo de recursos.You have already learned that resources are scoped to two levels: subscription and resource group. Portanto, a primeira decisão é como organizar os ambientes por assinatura.Therefore, the first decision is how to organize environments by subscription. Há apenas duas possibilidades: uma única assinatura ou várias assinaturas.There are only two possibilities: a single subscription or multiple subscriptions.

Antes de examinarmos exemplos de cada um desses modelos, vamos examinar a estrutura de gerenciamento de assinaturas no Azure.Before you look at examples of each of these models, let's review the management structure for subscriptions in Azure.

Lembre-se dos requisitos de que temos um indivíduo na organização que é responsável por assinaturas, e esse usuário possui a conta do proprietário da assinatura no locatário do Microsoft Azure Active Directory.Recall from the requirements that you have an individual in the organization who is responsible for subscriptions, and this user owns the subscription owner account in the Azure AD tenant. Esta conta não tem permissão para criar assinaturas.This account does not have permission to create subscriptions. Somente o proprietário da conta do Azure tem permissão para fazer isso:Only the Azure account owner has permission to do this:

Um proprietário de conta do Azure cria uma assinatura Figura 6: um proprietário de conta do Azure cria uma assinatura.An Azure account owner creates a subscription Figure 6: An Azure account owner creates a subscription.

Depois que a assinatura tiver sido criada, o proprietário da conta do Azure poderá adicionar a conta do proprietário da assinatura à assinatura com a função proprietário :Once the subscription has been created, the Azure account owner can add the subscription owner account to the subscription with the owner role:

O proprietário da conta do Azure adiciona a conta de usuário do proprietário da assinatura à assinatura com a função proprietário. Figura 7: o proprietário da conta do Azure adiciona a conta de usuário do proprietário da assinatura à assinatura com a função proprietário.The Azure account owner adds the subscription owner user account to the subscription with the owner role. Figure 7: The Azure account owner adds the subscription owner user account to the subscription with the owner role.

A conta do proprietário da assinatura agora pode criar grupos de recursos e delegar o gerenciamento de acesso a recursos.The subscription owner account can now create resource groups and delegate resource access management.

Primeiro vamos examinar um modelo de gerenciamento de recursos de exemplo usando uma única assinatura.First let's look at an example resource management model using a single subscription. A primeira decisão é como alinhar grupos de recursos para os três ambientes.The first decision is how to align resource groups to the three environments. Você tem duas opções:You have two options:

  1. Alinhe cada ambiente a um único grupo de recursos.Align each environment to a single resource group. Todos os recursos de infraestrutura compartilhada são implantados em um único grupo de recursos de infraestrutura compartilhada.All shared infrastructure resources are deployed to a single shared infrastructure resource group. Todos os recursos associados com cargas de trabalho de desenvolvimento são implantados em um único grupo de recursos de desenvolvimento.All resources associated with development workloads are deployed to a single development resource group. Todos os recursos associados com cargas de trabalho de produção são implantados em um único grupo de recursos de produção para o ambiente de produção.All resources associated with production workloads are deployed into a single production resource group for the production environment.
  2. Crie grupos de recursos separados para cada carga de trabalho, utilizando uma convenção de nomenclatura e marcas para alinhar grupos de recursos com cada um dos três ambientes.Create separate resource groups for each workload, using a naming convention and tags to align resource groups with each of the three environments.

Vamos começar avaliando a primeira opção.Let's begin by evaluating the first option. Você usará o modelo de permissões que foi discutido na seção anterior, com um administrador de serviço de assinatura única que cria grupos de recursos e adiciona usuários a eles com a função colaborador interna ou leitor .You'll be using the permissions model that was discussed in the previous section, with a single subscription Service Administrator who creates resource groups and adds users to them with either the built-in contributor or reader role.

  1. O primeiro grupo de recursos implantados representa o ambiente de infraestrutura compartilhada.The first resource group deployed represents the shared infrastructure environment. A conta do proprietário da assinatura cria um grupo de recursos para os recursos de infraestrutura compartilhada denominados netops-shared-rg .The subscription owner account creates a resource group for the shared infrastructure resources named netops-shared-rg. Como criar um grupo de recursosCreating a resource group
  2. A conta de proprietário da assinatura adiciona a conta de usuário de operações de rede ao grupo de recursos e atribui a função de colaborador .The subscription owner account adds the network operations user account to the resource group and assigns the contributor role. Adicionando um usuário de operações de redeAdding a network operations user
  3. O usuário de operações de rede cria um gateway VPN e o configura para se conectar ao dispositivo de VPN local.The network operations user creates a VPN gateway and configures it to connect to the on-premises VPN appliance. O usuário de operações de rede também aplica um par de marcas a cada um dos recursos: environment:shared e managedBy:netops .The network operations user also applies a pair of tags to each of the resources: environment:shared and managedBy:netops. Quando o administrador de serviço de assinatura exportar um custo de relatório, os custos serão alinhados com cada uma dessas marcas.When the subscription service administrator exports a cost report, costs will be aligned with each of these tags. Isso permite que o administrador do serviço de assinatura PIVOTE os custos usando a environment marca e a managedBy marca.This allows the subscription service administrator to pivot costs using the environment tag and the managedBy tag. Observe o contador de limites de recursos no lado superior direito da figura.Notice the resource limits counter at the top right-hand side of the figure. Cada assinatura do Azure tem limites de serviço, e para ajudá-lo a entender o efeito desses limites Seguiremos o limite de rede virtual para cada assinatura.Each Azure subscription has service limits, and to help you understand the effect of these limits you'll follow the virtual network limit for each subscription. Há um limite de 1.000 redes virtuais por assinatura e, depois que a primeira rede virtual é implantada, agora há 999 disponível.There is a limit of 1,000 virtual networks per subscription, and after the first virtual network is deployed there are now 999 available. Criando um gateway de VPNCreating a VPN gateway
  4. Dois ou mais grupos de recursos são implantados.Two more resource groups are deployed. O primeiro é denominado prod-rg.The first is named prod-rg. Este grupo de recursos está alinhado ao ambiente de produção.This resource group is aligned with the production environment. O segundo é denominado dev-rge é alinhado ao ambiente de desenvolvimento.The second is named dev-rg and is aligned with the development environment. Todos os recursos associados às cargas de trabalho de produção são implantados para o ambiente de produção e todos os recursos associados às cargas de trabalho de desenvolvimento e ambiente são implantados para o ambiente de desenvolvimento.All resources associated with production workloads are deployed to the production environment and all resources associated with development workloads are deployed to the development environment. Neste exemplo, só implantaremos duas cargas de trabalho para cada um desses dois ambientes para não encontramos qualquer limite de serviço de assinatura do Azure.In this example, you'll only deploy two workloads to each of these two environments, so you won't encounter any Azure subscription service limits. Considere que cada grupo de recursos tem um limite de 800 recursos por grupo de recursos.Consider that each resource group has a limit of 800 resources per resource group. Se você continuar adicionando cargas de trabalho a cada grupo de recursos, eventualmente atingirá esse limite.If you continue to add workloads to each resource group, you'll eventually reach this limit. Criando grupos de recursosCreating resource groups
  5. A primeira proprietário da carga de trabalho envia uma solicitação para o administrador de serviço de assinatura e é adicionado a cada um dos grupos de recursos dos ambientes de desenvolvimento e de produção com a função colaborador.The first workload owner sends a request to the subscription service administrator and is added to each of the development and production environment resource groups with the contributor role. Como você aprendeu anteriormente, o colaborador função permite que o usuário execute qualquer operação que não seja a atribuição de uma função para outro usuário.As you learned earlier, the contributor role allows the user to perform any operation other than assigning a role to another user. O primeiro proprietário da carga de trabalho agora pode criar os recursos associados à sua carga de trabalho.The first workload owner can now create the resources associated with their workload. Diagrama que mostra o primeiro proprietário da carga de trabalho criando redes virtuais e aplicando o ambiente e gerenciado por marcas a todos os recursos.Diagram showing the first workload owner creating virtual networks and applying the environment and managed By tags to all resources.
  6. O primeiro proprietário da carga de trabalho cria uma rede virtual em cada dois grupos de recursos com um par de máquinas virtuais em cada um.The first workload owner creates a virtual network in each of the two resource groups with a pair of virtual machines in each. O primeiro proprietário da carga de trabalho aplica as environment managedBy marcas e a todos os recursos.The first workload owner applies the environment and managedBy tags to all resources. Observe que o contador de limite do serviço do Azure está agora em 997 redes virtuais restantes.Note that the Azure service limit counter is now at 997 virtual networks remaining. Criando redes virtuaisCreating virtual networks
  7. Nenhuma das redes virtuais tem conectividade no local quando criada.None of the virtual networks has connectivity to on-premises when created. Nesse tipo de arquitetura, cada rede virtual deve ser emparelhada com o hub-vnet no ambiente de infraestrutura compartilhada .In this type of architecture, each virtual network must be peered to the hub-vnet in the shared infrastructure environment. O emparelhamento de rede virtual cria uma conexão entre duas redes virtuais separadas e permite o tráfego de rede entre eles.Virtual network peering creates a connection between two separate virtual networks and allows network traffic to travel between them. Observe que o emparelhamento de rede virtual não é inerentemente transitiva.Note that virtual network peering is not inherently transitive. Um emparelhamento deve ser especificado em cada uma das duas redes virtuais que estão conectadas e, se apenas uma das redes virtuais especificar um emparelhamento, a conexão estará incompleta.A peering must be specified in each of the two virtual networks that are connected, and if only one of the virtual networks specifies a peering, then the connection is incomplete. Para ilustrar o efeito disso, o primeiro proprietário da carga de trabalho especifica um emparelhamento entre prod-vnet e hub-vnet .To illustrate the effect of this, the first workload owner specifies a peering between prod-vnet and hub-vnet. O primeiro emparelhamento é criado, mas nenhum fluxo de tráfego porque o emparelhamento complementar de hub-vnet para prod-vnet ainda não foi especificado.The first peering is created, but no traffic flows because the complementary peering from hub-vnet to prod-vnet has not yet been specified. A primeira proprietário da carga de trabalho contatos a operações de rede solicitações nesse complementares emparelhamento de conexão e usuário.The first workload owner contacts the network operations user and requests this complementary peering connection. Diagrama que mostra a criação Ogon uma conexão de emparelhamento.Diagram that shows the creation og a peering connection.
  8. O usuário de operações de rede revisa a solicitação, a aprova e especifica o emparelhamento nas configurações para o hub-vnet .The network operations user reviews the request, approves it, then specifies the peering in the settings for the hub-vnet. A conexão de emparelhamento agora está concluída e o tráfego de rede flui entre as duas redes virtuais.The peering connection is now complete, and network traffic flows between the two virtual networks. Diagrama que mostra a aprovação da solicitação e a especificação das configurações de emparelhamento.Diagram showing the approval of the request and the specifying of the peering settings.
  9. Agora, um segundo proprietário da carga de trabalho envia uma solicitação para o administrador de serviço de assinatura e é adicionado à existente produção e desenvolvimento grupos de recurso de ambiente com o colaborador função.Now, a second workload owner sends a request to the subscription service administrator and is added to the existing production and development environment resource groups with the contributor role. O segundo proprietário da carga de trabalho tem as mesmas permissões em todos os recursos como o primeiro proprietário da carga de trabalho em cada grupo de recursos.The second workload owner has the same permissions on all resources as the first workload owner in each resource group. Diagrama que mostra o segundo proprietário da carga de trabalho que está sendo adicionado aos grupos de recursos.Diagram showing the second workload owner being added to teh resource groups.
  10. O segundo proprietário da carga de trabalho cria uma sub-rede na prod-vnet rede virtual e, em seguida, adiciona duas máquinas virtuais.The second workload owner creates a subnet in the prod-vnet virtual network, then adds two virtual machines. O segundo proprietário da carga de trabalho aplica as environment managedBy marcas e a cada recurso.The second workload owner applies the environment and managedBy tags to each resource. Criando sub-redesCreating subnets

Esse modelo de gerenciamento de recursos de exemplo nos permite gerenciar recursos nos três ambientes necessários.This example resource management model enables us to manage resources in the three required environments. Os recursos de infraestrutura compartilhada são protegidos porque apenas um único usuário na assinatura tem permissão para acessar esses recursos.The shared infrastructure resources are protected because only a single user in the subscription has permission to access those resources. Cada um dos proprietários da carga de trabalho pode usar os recursos de infraestrutura compartilhada sem ter nenhuma permissão nos próprios recursos compartilhados.Each of the workload owners can use the shared infrastructure resources without having any permissions on the shared resources themselves. Esse modelo de gerenciamento falha no requisito de isolamento da carga de trabalho, porque ambos os proprietários da carga de trabalho podem acessar os recursos da carga de trabalho de cada um.This management model fails the requirement for workload isolation, because both workload owners can access the resources of each other's workload.

Há outra consideração importante com esse modelo, que pode não ser imediatamente óbvia.There's another important consideration with this model that may not be immediately obvious. No exemplo, ele era o proprietário de carga de trabalho do App1 que solicitou a conexão de emparelhamento de rede com o hub-vnet para fornecer conectividade à rede local.In the example, it was app1 workload owner that requested the network peering connection with the hub-vnet to provide connectivity to the on-premises network. O usuário operações de rede avaliou a solicitação com base nos recursos implantados com carga de trabalho.The network operations user evaluated that request based on the resources deployed with that workload. Quando a conta de proprietário da assinatura adicionou um proprietário de carga de trabalho App2 com a função colaborador , esse usuário tinha direitos de acesso de gerenciamento a todos os recursos no prod-rg grupo de recursos.When the subscription owner account added app2 workload owner with the contributor role, that user had management access rights to all resources in the prod-rg resource group.

Diagrama mostrando direitos de acesso de gerenciamento

Isso significa que o proprietário de carga de trabalho de App2 tinha permissão para implantar sua própria sub-rede com máquinas virtuais na prod-vnet rede virtual.This means app2 workload owner had permission to deploy their own subnet with virtual machines in the prod-vnet virtual network. Por padrão, essas máquinas virtuais têm acesso à rede local.By default, those virtual machines have access to the on-premises network. O usuário operações de rede não está ciente dessas máquinas e não aprova sua conectividade com local.The network operations user is not aware of those machines and did not approve their connectivity to on-premises.

Em seguida, vamos examinar uma única assinatura com vários grupos de recursos para diferentes ambientes e cargas de trabalho.Next, let's look at a single subscription with multiple resource groups for different environments and workloads. Observe que no exemplo anterior, os recursos para cada ambiente foram facilmente identificáveis porque estavam no mesmo grupo de recursos.Note that in the previous example, the resources for each environment were easily identifiable because they were in the same resource group. Agora que não temos mais esse agrupamento, precisamos contar com uma convenção de nomenclatura do grupo de recursos para fornecer essa funcionalidade.Now that you no longer have that grouping, you will have to rely on a resource group naming convention to provide that functionality.

  1. Os recursos de infraestrutura compartilhada ainda terão um grupo de recursos separado nesse modelo para que ele permaneça igual.The shared infrastructure resources will still have a separate resource group in this model, so that remains the same. Cada carga de trabalho requer dois grupos de recursos, um para cada um dos ambientes de desenvolvimento e produção .Each workload requires two resource groups, one for each of the development and production environments. Para a primeira carga de trabalho, a conta do proprietário da assinatura cria dois grupos de recursos.For the first workload, the subscription owner account creates two resource groups. O primeiro é nomeado app1-prod-rg e o segundo é nomeado app1-dev-rg .The first is named app1-prod-rg and the second is named app1-dev-rg. Conforme discutido anteriormente, essa Convenção de nomenclatura identifica os recursos como associados à primeira carga de trabalho, app1 e o ambiente de desenvolvimento ou de produção .As discussed earlier, this naming convention identifies the resources as being associated with the first workload, app1, and either the development or production environment. Novamente, a conta de proprietário da assinatura adiciona o proprietário da carga de trabalho do App1 ao grupo de recursos com a função de colaborador .Again, the subscription owner account adds app1 workload owner to the resource group with the contributor role. Um diagrama que mostra a adição dos grupos de recursos r g e r g de desenvolvimento do aplicativo 1.A diagram showing the addition of the app 1 prod r g and app 1 dev r g resource groups.
  2. Semelhante ao primeiro exemplo, o proprietário da carga de trabalho do App1 implanta uma rede virtual nomeada app1-prod-vnet para o ambiente de produção e outra chamada app1-dev-vnet ao ambiente de desenvolvimento .Similar to the first example, app1 workload owner deploys a virtual network named app1-prod-vnet to the production environment, and another named app1-dev-vnet to the development environment. Novamente, o proprietário de carga de trabalho do app1 envia uma solicitação para o usuário operações de rede para criar uma conexão de emparelhamento.Again, app1 workload owner sends a request to the network operations user to create a peering connection. Observe que o proprietário de carga de trabalho do app1 adiciona as mesmas marcas como no primeiro exemplo e o limite de contador foi reduzido para 997 redes virtuais restantes na assinatura.Note that app1 workload owner adds the same tags as in the first example, and the limit counter has been decremented to 997 virtual networks remaining in the subscription. Um diagrama que mostra a implantação das redes virtuais do aplicativo 1 prod v net e app 1 dev v net.A diagram showing the deployment of the app 1 prod v net and app 1 dev v net virtual networks.
  3. A conta de proprietário da assinatura agora cria dois grupos de recursos para o proprietário de uma carga de trabalho App2.The subscription owner account now creates two resource groups for app2 workload owner. Seguindo as mesmas convenções que para o proprietário da carga de trabalho do App1, os grupos de recursos são nomeados app2-prod-rg e app2-dev-rg .Following the same conventions as for app1 workload owner, the resource groups are named app2-prod-rg and app2-dev-rg. A conta de proprietário da assinatura adiciona o proprietário de carga de trabalho App2 a cada um dos grupos de recursos com a função colaborador .The subscription owner account adds app2 workload owner to each of the resource groups with the contributor role. Um diagrama mostrando a adição dos grupos de recursos r g e r g de desenvolvimento do aplicativo 2.A diagram showing the addition of the app 2 prod r g and app 2 dev r g resource groups.
  4. A conta de proprietário de carga de trabalho App2 implanta redes virtuais e máquinas virtuais para os grupos de recursos com as mesmas convenções de nomenclatura.The app2 workload owner account deploys virtual networks and virtual machines to the resource groups with the same naming conventions. As marcas são adicionadas e o contador de limite foi reduzido para 995 redes virtuais restantes na assinatura.Tags are added and the limit counter has been decremented to 995 virtual networks remaining in the subscription. Implantando redes virtuais e VMsDeploying virtual networks and VMs
  5. A conta de proprietário de carga de trabalho App2 envia uma solicitação ao usuário de operações de rede para emparelhar app2-prod-vnet com o hub-vnet .The app2 workload owner account sends a request to the network operations user to peer the app2-prod-vnet with the hub-vnet. O usuário de operações de rede cria a conexão de emparelhamento.The network operations user creates the peering connection. Um diagrama que mostra o emparelhamento do aplicativo 2 prod v NET com o Hub v net.A diagram showing the peering of app 2 prod v net with the hub v net.

O modelo de gerenciamento resultante é semelhante ao primeiro exemplo, com várias diferenças importantes:The resulting management model is similar to the first example, with several key differences:

  • Cada uma das duas cargas de trabalho é isolada por carga de trabalho e pelo ambiente.Each of the two workloads is isolated by workload and by environment.
  • Esse modelo exigia duas redes virtuais a mais do que o primeiro modelo de exemplo.This model required two more virtual networks than the first example model. Enquanto isso não é uma distinção importante com apenas duas cargas de trabalho, o limite teórico no número de cargas de trabalho para esse modelo é 24.While this is not an important distinction with only two workloads, the theoretical limit on the number of workloads for this model is 24.
  • Os recursos não são agrupados em um único grupo de recursos para cada ambiente.Resources are no longer grouped in a single resource group for each environment. O agrupamento de recursos requer uma compreensão das convenções de nomenclatura usadas para cada ambiente.Grouping resources requires an understanding of the naming conventions used for each environment.
  • Cada uma das conexões de rede virtual emparelhadas foi revisada e aprovada pelo usuário de operações de rede.Each of the peered virtual network connections was reviewed and approved by the network operations user.

Agora vamos dar uma olhada em um modelo de gerenciamento de recursos usando várias assinaturas.Now let's look at a resource management model using multiple subscriptions. Nesse modelo, cada um dos três ambientes para uma assinatura separada será alinhar: uma serviços compartilhados assinatura, produção assinatura e, finalmente, uma assinatura de desenvolvimento.In this model, you'll align each of the three environments to a separate subscription: a shared services subscription, production subscription, and finally a development subscription. As considerações para este modelo são semelhantes a um modelo usando uma única assinatura em que temos que decidir como alinhar grupos de recursos para cargas de trabalho.The considerations for this model are similar to a model using a single subscription in that you have to decide how to align resource groups to workloads. Já determinamos que criar um grupo de recursos para cada carga de trabalho satisfaz o requisito de isolamento de carga de trabalho, portanto, ficaremos com esse modelo nesse exemplo.Already determined is that creating a resource group for each workload satisfies the workload isolation requirement, so you'll stick with that model in this example.

  1. Nesse modelo, há três assinaturas: infraestrutura compartilhada, produção e desenvolvimento.In this model, there are three subscriptions: shared infrastructure, production, and development. Cada uma dessas três assinaturas requer um proprietário da assinatura e, no exemplo simples, vamos usar a mesma conta de usuário para todos os três.Each of these three subscriptions requires a subscription owner, and in the simple example you'll use the same user account for all three. Os recursos de infraestrutura compartilhada são gerenciados de forma semelhante aos dois primeiros exemplos acima, e a primeira carga de trabalho é associada ao app1-rg grupo de recursos no ambiente de produção e ao grupo de recursos do mesmo nome no ambiente de desenvolvimento .The shared infrastructure resources are managed similarly to the first two examples above, and the first workload is associated with the app1-rg resource group in the production environment and the same-named resource group in the development environment. A conta do proprietário da carga de trabalho do App1 é adicionada a cada grupo de recursos com a função de colaborador .The app1 workload owner account is added to each of the resource group with the contributor role.

    Diagrama mostrando como os recursos de infraestrutura compartilhada são gerenciados.

  2. Assim como acontece com os exemplos anteriores, proprietário de carga de trabalho do app1 cria os recursos e as solicitações de conexão de emparelhamento com o infraestrutura compartilhada rede virtual.As with the earlier examples, app1 workload owner creates the resources and requests the peering connection with the shared infrastructure virtual network. A conta do proprietário da carga de trabalho do App1 adiciona apenas a managedBy marca porque não há mais necessidade da environment marca.The app1 workload owner account adds only the managedBy tag because there is no longer a need for the environment tag. Ou seja, os recursos para cada ambiente agora estão agrupados na mesma assinatura e a environment marca é redundante.That is, resources are for each environment are now grouped in the same subscription and the environment tag is redundant. O contador de limites será diminuído para 999 redes virtuais restantes.The limit counter is decremented to 999 virtual networks remaining.

    Um diagrama que mostra os recursos para cada ambiente agora está agrupado na mesma assinatura.

  3. Por fim, a conta de proprietário da assinatura repete o processo para a segunda carga de trabalho, adicionando os grupos de recursos com o proprietário de carga de trabalho App2 na função colaborador .Finally, the subscription owner account repeats the process for the second workload, adding the resource groups with app2 workload owner in the contributor role. O contador de limite para cada uma das assinaturas do ambiente é reduzido para 998 redes virtuais restantes.The limit counter for each of the environment subscriptions is decremented to 998 virtual networks remaining.

Esse modelo de gerenciamento tem os benefícios do segundo exemplo acima.This management model has the benefits of the second example above. A principal diferença é que os limites são menos um problema devido ao fato de que estão espalhados por duas assinaturas.The key difference is that limits are less of an issue due to the fact that they're spread over two subscriptions. A desvantagem é que os dados de custo controlados por marcas devem ser agregados em todas as três assinaturas.The drawback is that the cost data tracked by tags must be aggregated across all three subscriptions.

Portanto, você pode selecionar qualquer um desses dois modelos de gerenciamento de recursos de exemplo, dependendo da prioridade de seus requisitos.Therefore, you can select any of these two examples resource management models depending on the priority of your requirements. Se você antecipar que sua organização não atinja os limites de serviço para uma única assinatura, poderá usar uma única assinatura com vários grupos de recursos.If you anticipate that your organization will not reach the service limits for a single subscription, you can use a single subscription with multiple resource groups. Por outro lado, se sua organização prevê várias cargas de trabalho, pode ser melhor ter várias assinaturas para cada ambiente.Conversely, if your organization anticipates many workloads, multiple subscriptions for each environment may be better.

Implementar o modelo de gerenciamento de recursosImplement the resource management model

Você aprendeu sobre vários modelos diferentes para controlar o acesso aos recursos do Azure.You've learned about several different models for governing access to Azure resources. Agora vamos examinar as etapas necessárias para implementar o modelo de gerenciamento de recursos com uma assinatura para cada uma da infraestrutura compartilhada, produção, e desenvolvimento ambientes do guia de design.Now you'll walk through the steps necessary to implement the resource management model with one subscription for each of the shared infrastructure, production, and development environments from the design guide. Você terá uma conta de proprietário de assinatura para todos os três ambientes.You'll have one subscription owner account for all three environments. Cada carga de trabalho será isolada em um grupo de recursos com um proprietário da carga de trabalho adicionado com a função colaborador.Each workload will be isolated in a resource group with a workload owner added with the contributor role.

Observação

Para saber mais sobre a relação entre as assinaturas e as contas do Azure, confira noções básicas sobre o acesso aos recursos no Azure.To learn more about the relationship between Azure accounts and subscriptions, see Understanding resource access in Azure.

Siga estas etapas:Follow these steps:

  1. Crie uma conta do Azure se sua organização ainda não tiver uma.Create an Azure account if your organization doesn't already have one. A pessoa que se inscreve na conta do Azure se torna o administrador da conta do Azure e liderança de sua organização deve selecionar um indivíduo para assumir essa função.The person who signs up for the Azure account becomes the Azure account administrator, and your organization's leadership must select an individual to assume this role. Essa pessoa será responsável por:This individual will be responsible for:
  2. A equipe de liderança da sua organização decide quem é responsável por:Your organization's leadership team decides who is responsible for:
    • Gerenciamento de identidade do usuário; um locatário do Azure ad é criado por padrão quando a conta do Azure da sua organização é criada e o administrador da conta é adicionado como o administrador global do Azure ad por padrão.Management of user identity; an Azure AD tenant is created by default when your organization's Azure account is created, and the account administrator is added as the Azure AD Global Administrator by default. Sua organização pode escolher outro usuário para gerenciar a identidade do usuário atribuindo a função de administrador global do Azure ad a esse usuário.Your organization can choose another user to manage user identity by assigning the Azure AD Global Administrator role to that user.
    • Assinaturas, o que significa que esses usuários:Subscriptions, which means these users:
      • Gerencie os custos associados ao uso de recursos nessa assinatura.Manage costs associated with resource usage in that subscription.
      • Implemente e mantenha o modelo de permissão mínimo para acesso aos recursos.Implement and maintain least permission model for resource access.
      • Controle os limites de serviço.Keep track of service limits.
    • Infraestrutura de serviços compartilhados (se a sua organização decidir usar esse modelo), o que significa que esse usuário é responsável por:Shared infrastructure services (if your organization decides to use this model), which means this user is responsible for:
      • Conectividade de rede local para o Azure.On-premises to Azure network connectivity.
      • Propriedade de conectividade de rede no Azure por meio do emparelhamento de rede virtual.Ownership of network connectivity within Azure through virtual network peering.
    • Proprietários da carga de trabalho.Workload owners.
  3. O administrador global do Azure AD cria as novas contas de usuário para:The Azure AD Global Administrator creates the new user accounts for:
    • A pessoa que será o proprietário da assinatura para cada assinatura associada a cada ambiente.The person who will be the subscription owner for each subscription associated with each environment. Observe que isso é necessário apenas se o administrador de serviço da assinatura não for o responsável por gerenciar o acesso a recursos para cada assinatura/ambiente.Note that this is necessary only if the subscription service administrator will not be tasked with managing resource access for each subscription/environment.
    • A pessoa que será o usuário de operações de rede.The person who will be the network operations user.
    • As pessoas que são proprietários da carga de trabalho.The people who are workload owners.
  4. O administrador da conta do Azure cria três assinaturas do Azure:The Azure account administrator creates three Azure subscriptions:
    • Uma assinatura para o ambiente de infraestrutura compartilhada .A subscription for the shared infrastructure environment.
    • Uma assinatura para o ambiente de produção .A subscription for the production environment.
    • Uma assinatura para o ambiente de desenvolvimento.A subscription for the development environment.
  5. O administrador da conta do Azure adiciona o proprietário do serviço de assinatura para cada assinatura.The Azure account administrator adds the subscription service owner to each subscription.
  6. Crie um processo de aprovação para proprietários da carga de trabalho para solicitar a criação de grupos de recursos.Create an approval process for workload owners to request the creation of resource groups. O processo de aprovação pode ser implementado de várias maneiras, como por email, ou você pode usar uma ferramenta de gerenciamento de processo, como fluxos de trabalho do SharePoint.The approval process can be implemented in many ways, such as over email, or you can using a process management tool such as SharePoint workflows. O processo de aprovação pode seguir estas etapas:The approval process can follow these steps:
    • O proprietário da carga de trabalho prepara uma lista de materiais dos recursos do Azure necessários no desenvolvimento ambiente, produção ambiente, ou ambos e envia para o proprietário da assinatura.The workload owner prepares a bill of materials for required Azure resources in either the development environment, production environment, or both, and submits it to the subscription owner.
    • O proprietário da assinatura revisa a lista de materiais e valida os recursos solicitados para garantir que os recursos solicitados sejam apropriados para seu uso planejado, como verificar se os tamanhos de máquina virtual solicitado estão corretos.The subscription owner reviews the bill of materials and validates the requested resources to ensure that the requested resources are appropriate for their planned use, such as checking that the requested virtual machine sizes are correct.
    • Se a solicitação não for aprovada, o proprietário da carga de trabalho será notificado.If the request is not approved, the workload owner is notified. Se a solicitação for aprovada, o proprietário da assinatura cria o grupo de recurso solicitado após sua organização convenções de nomenclatura, Adiciona o proprietário da carga de trabalho com o colaborador função e envia uma notificação para o proprietário de carga de trabalho que o grupo de recursos foi criado.If the request is approved, the subscription owner creates the requested resource group following your organization's naming conventions, adds the workload owner with the contributor role and sends notification to the workload owner that the resource group has been created.
  7. Crie um processo de aprovação para os proprietários da carga de trabalho solicitar uma emparelhamento de conexão do proprietário infraestrutura compartilhada de rede virtual.Create an approval process for workload owners to request a virtual network peering connection from the shared infrastructure owner. Assim como acontece com a etapa anterior, esse processo de aprovação pode ser implementado usando email ou uma ferramenta de gerenciamento de processos.As with the previous step, this approval process can be implemented using email or a process management tool.

Agora que você já implementou o seu modelo de controle, poderá implantar seus serviços de infraestrutura compartilhada.Now that you've implemented your governance model, you can deploy your shared infrastructure services.

Funções internas do AzureAzure built-in roles