Gerenciamento de acesso aos recursos no AzureResource access management in Azure

A metodologia de controle descreve as cinco disciplinas de governança de nuvem, que inclui o gerenciamento de recursos.The Govern methodology outlines the Five Disciplines of Cloud Governance, which includes resource management. O que é governança de acesso de recurso explica como o gerenciamento de acesso de recurso se enquadra na disciplina de gerenciamento de recursos.What is resource access governance furthers explains how resource access management fits into the resource management discipline. Antes de prosseguir para aprender a criar um modelo de governança, é importante entender os controles de gerenciamento de acesso a recursos no Azure.Before you move on to learn how to design a governance model, it's important to understand the resource access management controls in Azure. A configuração desses controles de gerenciamento de acesso a recursos constitui a base do seu modelo de governança.The configuration of these resource access management controls forms the basis of your governance model.

Comece examinando mais detalhadamente como os recursos são implantados no Azure.Begin by taking a closer look at how resources are deployed in Azure.

O que é um recurso do Azure?What is an Azure resource?

No Azure, o termo recurso refere-se a uma entidade gerenciada pelo Azure.In Azure, the term resource refers to an entity managed by Azure. Por exemplo, máquinas virtuais, redes virtuais e contas de armazenamento são todas consideradas recursos do Azure.For example, virtual machines, virtual networks, and storage accounts are all referred to as Azure resources.

Diagrama de um recurso Figura 1: um recurso.Diagram of a resource Figure 1: A resource.

O que é um grupo de recursos do Azure?What is an Azure resource group?

Cada recurso no Azure deve pertencer a um grupo de recurso.Each resource in Azure must belong to a resource group. Um grupo de recursos é simplesmente um constructo lógico que agrupa vários recursos para que eles possam ser gerenciados como uma única entidade com base no ciclo de vida e na segurança.A resource group is simply a logical construct that groups multiple resources together so they can be managed as a single entity based on lifecycle and security. Por exemplo, os recursos que compartilham um ciclo de vida semelhante, como os recursos para um aplicativo de n camadas podem ser criados ou excluídos como um grupo.For example, resources that share a similar lifecycle, such as the resources for an n-tier application may be created or deleted as a group. Em outras palavras, tudo o que é reunido, é gerenciado em conjunto e é substituído em conjunto em um grupo de recursos.In other words, everything that is born together, gets managed together, and deprecates together, goes together in a resource group.

Diagrama de um grupo de recursos que contém um recurso Figura 2: um grupo de recursos contém um recurso.Diagram of a resource group containing a resource Figure 2: A resource group contains a resource.

Os grupos de recursos e os recursos que eles contêm são associados a uma assinatura do Azure.Resource groups and the resources they contain are associated with an Azure subscription.

O que é uma assinatura do Azure?What is an Azure subscription?

Uma assinatura do Azure é semelhante a um grupo de recursos, pois é um constructo lógico que agrupa grupos de recursos e seus recursos.An Azure subscription is similar to a resource group in that it's a logical construct that groups together resource groups and their resources. Uma assinatura do Azure também está associada aos controles usados pelo Azure Resource Manager.An Azure subscription is also associated with the controls used by Azure Resource Manager. Examine detalhadamente o Azure Resource Manager para saber mais sobre o relacionamento entre ele e uma assinatura do Azure.Take a closer look at Azure Resource Manager to learn about the relationship between it and an Azure subscription.

Diagrama de uma assinatura do Azure Figura 3: uma assinatura do Azure.Diagram of an Azure subscription Figure 3: An Azure subscription.

O que é o Azure Resource Manager?What is Azure Resource Manager?

Como funciona o Azure? você aprendeu que o Azure inclui um front-end com muitos serviços que orquestram todas as funções do Azure.In How does Azure work? you learned that Azure includes a front end with many services that orchestrate all the functions of Azure. Um desses serviços é Azure Resource Manager, e esse serviço hospeda a API RESTful usada pelos clientes para gerenciar recursos.One of these services is Azure Resource Manager, and this service hosts the RESTful API used by clients to manage resources.

Diagrama de Azure Resource Manager Figura 4: Azure Resource Manager.Diagram of Azure Resource Manager Figure 4: Azure Resource Manager.

A figura a seguir mostra três clientes: PowerShell, o portal do Azuree o CLI do Azure:The following figure shows three clients: PowerShell, the Azure portal, and the Azure CLI:

Diagrama de clientes do Azure conectando-se à API REST do Gerenciador de recursos Figura 5: os clientes do Azure se conectam à API REST do Gerenciador de recursos.Diagram of Azure clients connecting to the Resource Manager REST API Figure 5: Azure clients connect to the Resource Manager REST API.

Embora esses clientes se conectem ao Resource Manager usando a API REST, o Resource Manager não inclui a funcionalidade para gerenciar recursos diretamente.While these clients connect to Resource Manager using the REST API, Resource Manager does not include functionality to manage resources directly. Em vez disso, a maioria dos tipos de recursos no Azure têm seus próprios provedores de recursos.Rather, most resource types in Azure have their own resource provider.

Provedores de recursos do Azure Figura 6: provedores de recursos do Azure.Azure resource providers Figure 6: Azure resource providers.

Quando um cliente faz uma solicitação para gerenciar um recurso específico, o Azure Resource Manager conecta o provedor de recursos daquele tipo de recurso para concluir a solicitação.When a client makes a request to manage a specific resource, Azure Resource Manager connects to the resource provider for that resource type to complete the request. Por exemplo, se um cliente fizer uma solicitação para gerenciar um recurso de máquina virtual, Azure Resource Manager se conectar ao Microsoft.Compute provedor de recursos.For example, if a client makes a request to manage a virtual machine resource, Azure Resource Manager connects to the Microsoft.Compute resource provider.

Azure Resource Manager conectando-se ao provedor de recursos Microsoft. Compute Figura 7: Azure Resource Manager se conecta ao Microsoft.Compute provedor de recursos para gerenciar o recurso especificado na solicitação do cliente.Azure Resource Manager connecting to the Microsoft.Compute resource provider Figure 7: Azure Resource Manager connects to the Microsoft.Compute resource provider to manage the resource specified in the client request.

O Azure Resource Manager requer que o cliente especifique um identificador para a assinatura e o grupo de recursos para gerenciar o recurso da máquina virtual.Azure Resource Manager requires the client to specify an identifier for both the subscription and the resource group in order to manage the virtual machine resource.

Agora que você tem uma compreensão de como o Azure Resource Manager funciona, retorne à discussão sobre como uma assinatura do Azure está associada aos controles usados pelo Azure Resource Manager.Now that you have an understanding of how Azure Resource Manager works, return to the discussion of how an Azure subscription is associated with the controls used by Azure Resource Manager. Antes que qualquer solicitação de gerenciamento de recursos possa ser executada pelo Azure Resource Manager, um conjunto de controles será verificado.Before any resource management request can be executed by Azure Resource Manager, a set of controls are checked.

O primeiro controle é que uma solicitação deve ser feita por um usuário validado e Azure Resource Manager tem uma relação confiável com Azure Active Directory (Azure AD) para fornecer a funcionalidade de identidade do usuário.The first control is that a request must be made by a validated user, and Azure Resource Manager has a trusted relationship with Azure Active Directory (Azure AD) to provide user identity functionality.

Azure Active Directory Figura 8: Azure Active Directory.Azure Active Directory Figure 8: Azure Active Directory.

No Azure AD, os usuários são segmentados em locatários.In Azure AD, users are segmented into tenants. Um locatário é um constructo lógico que representa uma instância segura e dedicada do Azure ad normalmente associada a uma organização.A tenant is a logical construct that represents a secure, dedicated instance of Azure AD typically associated with an organization. Cada assinatura está associada a um locatário do Azure Active Directory.Each subscription is associated with an Azure AD tenant.

Um locatário do Azure AD associado a uma assinatura Figura 9: um locatário do Azure ad associado a uma assinatura.An Azure AD tenant associated with a subscription Figure 9: An Azure AD tenant associated with a subscription.

Cada solicitação de cliente para gerenciar um recurso em uma assinatura específica exige que o usuário tenha uma conta associada ao locatário do Azure AD.Each client request to manage a resource in a particular subscription requires that the user has an account in the associated Azure AD tenant.

O próximo controle é uma verificação de que o usuário tem permissão suficiente para fazer a solicitação.The next control is a check that the user has sufficient permission to make the request. As permissões são atribuídas aos usuários usando o controle de acesso baseado em função do Azure (RBAC do Azure).Permissions are assigned to users using Azure role-based access control (Azure RBAC).

Usuários atribuídos às funções do Azure Figura 10: cada usuário no locatário é atribuído a uma ou mais funções do Azure.Users assigned to Azure roles Figure 10: Each user in the tenant is assigned one or more Azure roles.

Uma função do Azure especifica um conjunto de permissões que um usuário pode executar em um recurso específico.An Azure role specifies a set of permissions a user may take on a specific resource. Quando a função é atribuída ao usuário, essas permissões são aplicadas.When the role is assigned to the user, those permissions are applied. Por exemplo, a owner função interna permite que um usuário execute qualquer ação em um recurso.For example, the built-in owner role allows a user to perform any action on a resource.

O próximo controle é uma verificação de que a solicitação será permitida sob as configurações especificadas da política de recursos do Azure.The next control is a check that the request is allowed under the settings specified for Azure resource policy. As políticas de recursos do Azure especificam as operações permitidas para um recurso específico.Azure resource policies specify the operations allowed for a specific resource. Por exemplo, uma política de recursos do Azure pode especificar que os usuários só têm permissão para implantar um tipo específico de máquina virtual.For example, an Azure resource policy can specify that users are only allowed to deploy a specific type of virtual machine.

Política de recursos do Azure Figura 11: política de recursos do Azure.Azure resource policy Figure 11: Azure resource policy.

O próximo controle é uma verificação de que a solicitação não excede um limite de assinatura do Azure.The next control is a check that the request does not exceed an Azure subscription limit. Por exemplo, cada assinatura tem um limite de 980 grupos de recursos por assinatura.For example, each subscription has a limit of 980 resource groups per subscription. Se uma solicitação for recebida para implantar um grupo de recursos adicional quando o limite for atingido, ele será negado.If a request is received to deploy an additional resource group when the limit has been reached, it's denied.

Limites de recursos do Azure Figura 12: limites de recursos do Azure.Azure resource limits Figure 12: Azure resource limits.

O controle final é uma verificação de que a solicitação está dentro do compromisso financeiro associado à assinatura.The final control is a check that the request is within the financial commitment associated with the subscription. Por exemplo, se a solicitação for implantar uma máquina virtual, o Azure Resource Manager verificará se a assinatura tem informações de pagamento suficientes.For example, if the request is to deploy a virtual machine, Azure Resource Manager verifies that the subscription has sufficient payment information.

Um compromisso financeiro associado a uma assinatura Figura 13: um compromisso financeiro é associado a uma assinatura.A financial commitment associated with a subscription Figure 13: A financial commitment is associated with a subscription.

ResumoSummary

Neste artigo, você aprendeu sobre como o acesso a recursos é gerenciado no Azure usando o Azure Resource Manager.In this article, you learned about how resource access is managed in Azure using Azure Resource Manager.

Próximas etapasNext steps

Agora que você sabe como gerenciar acesso de recurso no Azure, prossiga para aprender como criar um modelo de controle para uma carga de trabalho simples ou para várias equipe usando esses serviços.Now that you understand how to manage resource access in Azure, move on to learn how to design a governance model for a simple workload or for multiple teams using these services.