Adoção da Cloud empresarial: Design de governação para várias equipesEnterprise Cloud Adoption: Governance design for multiple teams

O objetivo desta orientação é ajudar a aprender o processo para criar um modelo de governação de recursos no Azure para suportar várias equipes, várias cargas de trabalho e vários ambientes.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support multiple teams, multiple workloads, and multiple environments. Podemos irá observar um conjunto de requisitos de governação hipotética, em seguida, passar por várias implementações de exemplo que satisfazem esses requisitos.We'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

Os requisitos são:The requirements are:

  • A empresa planeia novas funções de cloud de transição e as responsabilidades para um conjunto de utilizadores e, portanto, requer gerenciamento de identidades para várias equipes com necessidades de acesso de recursos diferente no Azure.The enterprise plans to transition new cloud roles and responsibilities to a set of users and therefore requires identity management for multiple teams with different resource access needs in Azure. Este sistema de gestão de identidade é necessário para armazenar a identidade dos utilizadores seguintes:This identity management system is required to store the identity of the following users:
    1. A pessoa na sua organização responsável pela propriedade dos subscrições.The individual in your organization responsible for ownership of subscriptions.
    2. A pessoa na sua organização responsável pela recursos de infraestrutura partilhados utilizado para ligar a sua rede no local a uma rede virtual do Azure.The individual in your organization responsible for the shared infrastructure resources used to connect your on-premises network to an Azure virtual network.
    3. Dois indivíduos na sua organização responsável por gerenciar um carga de trabalho.Two individuals in your organization responsible for managing a workload.
  • Suporte para vários ambientes.Support for multiple environments. Um ambiente é um agrupamento lógico de recursos, tais como máquinas virtuais, redes virtuais e serviços de encaminhamento de tráfego de rede.An environment is a logical grouping of resources, such as virtual machines, virtual networking, and network traffic routing services. Estes grupos de recursos têm requisitos de segurança de gerenciamento semelhante e e são normalmente utilizados para um fim específico, como o teste ou produção.These groups of resources have similar management and security requirements and are typically used for a specific purpose such as testing or production. Neste exemplo, o requisito é para ambientes de três:In this example, the requirement is for three environments:
    1. R ambiente de infraestrutura partilhada que inclui recursos partilhados por cargas de trabalho em outros ambientes.A shared infrastructure environment that includes resources shared by workloads in other environments. Por exemplo, uma rede virtual com uma sub-rede de gateway que fornece conectividade no local.For example, a virtual network with a gateway subnet that provides connectivity to on-premises.
    2. R ambiente de produção com as políticas de segurança mais restritivas.A production environment with the most restrictive security policies. Pode incluir a cargas de trabalho com acesso internas ou externas.May include internal or external facing workloads.
    3. R ambiente de desenvolvimento para o trabalho de prova de conceito e teste.A development environment for proof-of-concept and testing work. Este ambiente tem de segurança, conformidade e políticas de custo diferentes no ambiente de produção.This environment has security, compliance, and cost policies that differ from those in the production environment.
  • R modelo de permissões de privilégio mínimo na qual os utilizadores não ter permissões por predefinição.A permissions model of least privilege in which users have no permissions by default. O modelo tem de suportar o seguinte:The model must support the following:
    • Um único utilizador fidedigno no âmbito da subscrição com permissão para atribuir direitos de acesso a recursos.A single trusted user at the subscription scope with permission to assign resource access rights.
    • Cada proprietário de carga de trabalho é negado acesso aos recursos por predefinição.Each workload owner is denied access to resources by default. Direitos de acesso de recursos são concedidos explicitamente pelo utilizador fidedigno único no âmbito da subscrição.Resource access rights are granted explicitly by the single trusted user at the subscription scope.
    • Acesso de gestão para os recursos de infraestrutura partilhada limitado ao proprietário da infraestrutura partilhada.Management access for the shared infrastructure resources limited to the shared infrastructure owner.
    • Acesso de gestão para cada carga de trabalho restringida ao proprietário da carga de trabalho.Management access for each workload restricted to the workload owner.
    • A empresa não quer ter de gerir funções de forma independente em cada um dos três ambientes, por conseguinte, requer a utilização de [funções RBAC incorporadas] rbac-built-in-roles apenas.The enterprise does not want to have to manage roles independently in each of the three environments, therefore requires the use of built-in RBAC roles only. Se a empresa fosse usar funções RBAC personalizadas, um processo adicional é necessário para sincronizar funções personalizadas em três ambientes.If the enterprise were to use custom RBAC roles, an additional process is required to synchronize custom roles across the three environments.
  • Custo controlo pelo nome do proprietário de carga de trabalho, o ambiente ou ambos.Cost tracking by workload owner name, environment, or both.

Gestão de identidadesIdentity management

Antes de podemos projetar identity management para o seu modelo de governação, é importante compreender as quatro áreas principais abrange:Before we can design identity management for your governance model, it's important to understand the four major areas it encompasses:

  • Administração: os processos e ferramentas para criar, editar e eliminar a identidade do utilizador.Administration: the processes and tools for creating, editing, and deleting user identity.
  • Autenticação: verificar a identidade de utilizador ao validar as credenciais, tal como um nome de utilizador e palavra-passe.Authentication: verifying user identity by validating credentials, such as a user name and password.
  • Autorização: determinar quais recursos um usuário autenticado tem permissão para acesso ou as operações que têm permissão para executar.Authorization: determining which resources an authenticated user is allowed to access or what operations they have permission to perform.
  • Auditoria: periodicamente rever registos e outras informações para detetar problemas de segurança relacionados com a identidade do utilizador.Auditing: periodically reviewing logs and other information to discover security issues related to user identity. Isto inclui a analisar padrões de utilização suspeita, rever periodicamente as permissões de utilizador para confirmar que são precisos e outras funções.This includes reviewing suspicious usage patterns, periodically reviewing user permissions to verify they are accurate, and other functions.

Há apenas um serviço confiável pelo Azure para a identidade e que é o Azure Active Directory (Azure AD).There is only one service trusted by Azure for identity, and that is Azure Active Directory (Azure AD). Vamos ser adicionar utilizadores ao Azure AD e usá-lo para todas as funções listadas acima.We'll be adding users to Azure AD and using it for all of the functions listed above. Mas antes vamos ver como podemos irá configurar o Azure AD, é importante compreender as contas com privilégios que são utilizadas para gerir o acesso a estes serviços.But before we look at how we'll configure Azure AD, it's important to understand the privileged accounts that are used to manage access to these services.

Quando sua organização, inscreveu numa conta do Azure, Azure, pelo menos, um proprietário da conta foi atribuída.When your organization signed up for an Azure account, at least one Azure account owner was assigned. Além disso, um Azure AD inquilino foi criado, a menos que um inquilino existente já foi associado à utilização da sua organização de outros serviços Microsoft como o Office 365.Also, an Azure AD tenant was created, unless an existing tenant was already associated with your organization's use of other Microsoft services such as Office 365. R administrador global com todas as permissões no Azure AD inquilino foi associado quando foram criada.A global administrator with full permissions on the Azure AD tenant was associated when it was created.

As identidades de utilizador para o proprietário da conta do Azure e o administrador global do Azure AD são armazenadas num sistema de identidade altamente segura que é gerenciado pela Microsoft.The user identities for both the Azure Account Owner and the Azure AD global administrator are stored in a highly secure identity system that is managed by Microsoft. O proprietário da conta do Azure está autorizado a criar, atualizar e eliminar subscrições.The Azure Account Owner is authorized to create, update, and delete subscriptions. O administrador global do Azure AD está autorizado a realizar muitas ações no Azure AD, mas para este guia de design, vamos nos concentrar na criação e eliminação de identidade do utilizador.The Azure AD global administrator is authorized to perform many actions in Azure AD, but for this design guide we'll focus on the creation and deletion of user identity.

Nota

Sua organização pode já ter um inquilino do Azure AD existente se existir uma existente do Office 365 ou a licença do Intune associado à sua conta.Your organization may already have an existing Azure AD tenant if there's an existing Office 365 or Intune license associated with your account.

O proprietário da conta do Azure tem permissão para criar, atualizar e eliminar subscrições:The Azure Account Owner has permission to create, update, and delete subscriptions:

Conta do Azure com o Gestor de conta do Azure e o Azure AD administrador global figura 1. Uma conta do Azure com um Gestor de conta e um Administrador Global do Azure AD.Azure account with Azure Account Manager and Azure AD global admin Figure 1. An Azure account with an Account Manager and Azure AD Global Administrator.

O Azure AD administrador global tem permissão para criar contas de utilizador:The Azure AD global administrator has permission to create user accounts:

Conta do Azure com o Gestor de conta do Azure e o Azure AD administrador global figura 2. O Administrador Global do AD do Azure cria as contas de utilizador necessário no inquilino.Azure account with Azure Account Manager and Azure AD global admin Figure 2. The Azure AD Global Administrator creates the required user accounts in the tenant.

As contas de duas primeiras proprietário de carga de trabalho de App1 e proprietário de carga de trabalho de App2 são cada associado a uma pessoa na sua organização responsável por gerenciar uma carga de trabalho.The first two accounts, App1 Workload Owner and App2 Workload Owner are each associated with an individual in your organization responsible for managing a workload. O operações de rede conta for propriedade da pessoa responsável pelos recursos de infraestrutura partilhada.The network operations account is owned by the individual that is responsible for the shared infrastructure resources. Por fim, o proprietário da subscrição conta estiver associada a pessoa responsável pela propriedade de subscrições.Finally, the subscription owner account is associated with the individual responsible for ownership of subscriptions.

Modelo de permissões de acesso de recursos de privilégio mínimoResource access permissions model of least privilege

Agora que foram criadas as contas de sistema e do usuário da gestão de identidade, temos de decidir como Vamos aplicar funções (RBAC) do controle de acesso baseado em funções para cada conta para dar suporte a um modelo de permissões de privilégio mínimo.Now that your identity management system and user accounts have been created, we have to decide how we'll apply role-based access control (RBAC) roles to each account to support a permissions model of least privilege.

Há outro requisito informando os recursos associados a cada carga de trabalho ser isolados uns dos outros, de modo a que nenhum proprietário de uma carga de trabalho tem acesso de gestão para qualquer outra carga de trabalho que não seja seu.There's another requirement stating the resources associated with each workload be isolated from one another such that no one workload owner has management access to any other workload they do not own. Também existe um requisito para implementar este modelo de utilizar apenas funções incorporadas do RBAC do Azure.There's also a requirement to implement this model using only built-in roles for Azure RBAC.

Cada função RBAC é aplicada em um dos três âmbitos no Azure: subscrição, grupo de recursos, em seguida, um indivíduo recurso.Each RBAC role is applied at one of three scopes in Azure: subscription, resource group, then an individual resource. Funções são herdadas dos âmbitos inferiores.Roles are inherited at lower scopes. Por exemplo, se um utilizador é atribuído a [função de proprietário incorporada] rbac-built-in-owner ao nível da subscrição, essa função também está atribuída a esse utilizador para o grupo de recursos e o nível de recurso individual, a menos que seja substituída.For example, if a user is assigned the built-in owner role at the subscription level, that role is also assigned to that user at the resource group and individual resource level unless it's overridden.

Por conseguinte, para criar um modelo de acesso de privilégio mínimo, que precisamos decidir as ações, um determinado tipo de utilizador tem permissão para realizar cada uma destas três âmbitos.Therefore, to create a model of least privilege access we have to decide the actions a particular type of user is allowed to take at each of these three scopes. Por exemplo, o requisito é um proprietário de carga de trabalho de ter permissão para gerir o acesso apenas aos recursos associados à sua carga de trabalho e não existem outras pessoas.For example, the requirement is for a workload owner to have permission to manage access to only the resources associated with their workload and no others. Se foi atribuir os [função de proprietário incorporada] rbac-built-in-owner no âmbito da subscrição, o proprietário de cada carga de trabalho teria acesso de gestão para todas as cargas de trabalho.If we were to assign the built-in owner role at the subscription scope, each workload owner would have management access to all workloads.

Vamos dar uma olhada em dois modelos de permissão de exemplo para compreender esse conceito um pouco melhor.Let's take a look at two example permission models to understand this concept a little better. No primeiro exemplo, o modelo confia apenas o administrador de serviço para criar grupos de recursos.In the first example, the model trusts only the service administrator to create resource groups. No segundo exemplo, o modelo atribui a função de proprietário incorporadas para cada proprietário de carga de trabalho no âmbito da subscrição.In the second example, the model assigns the built-in owner role to each workload owner at the subscription scope.

Nos dois exemplos, temos um administrador de serviços de subscrição que está atribuído a [função de proprietário incorporada] rbac-built-in-owner no âmbito da subscrição.In both examples, we have a subscription service administrator that is assigned the built-in owner role at the subscription scope. Lembre-se de que o [função de proprietário incorporada] rbac-built-in-owner concede todas as permissões, incluindo a gestão de acesso aos recursos.Recall that the built-in owner role grants all permissions including the management of access to resources. administrador de serviços de subscrição com a função de proprietário figura 3. Uma subscrição com um administrador de serviços atribuída a função de proprietário incorporada.subscription service administrator with owner role Figure 3. A subscription with a service administrator assigned the built-in owner role.

  1. No primeiro exemplo, temos proprietário de carga de trabalho A com nenhuma permissão no âmbito da subscrição - não têm nenhum direito de gestão de acesso de recursos por predefinição.In the first example, we have workload owner A with no permissions at the subscription scope - they have no resource access management rights by default. Este utilizador quer implementar e gerir os recursos para sua carga de trabalho.This user wants to deploy and manage the resources for their workload. Eles têm de contactar o administrador de serviços para pedido de criação de um grupo de recursos.They must contact the service administrator to request creation of a resource group. criação de pedidos de proprietário de carga de trabalho de um grupo de recursosworkload owner requests creation of resource group A

  2. O administrador de serviços revisões de que o pedido e cria grupo de recursos A. Neste momento, proprietário de carga de trabalho A ainda não tem permissão para fazer qualquer coisa.The service administrator reviews their request and creates resource group A. At this point, workload owner A still doesn't have permission to do anything. administrador de serviço cria um grupo de recursosservice administrator creates resource group A

  3. O administrador de serviços adiciona proprietário de carga de trabalho A para grupo de recursos A e atribui o função incorporada de Contribuidor.The service administrator adds workload owner A to resource group A and assigns the built-in contributor role. A função de contribuinte concede todas as permissões no grupo de recursos A , exceto a gestão de permissão de acesso.The contributor role grants all permissions on resource group A except managing access permission. administrador de serviço adiciona o proprietário de carga de trabalho um grupo de recursos umservice administrator adds workload owner a to resource group a

  4. Vamos supor que proprietário de carga de trabalho A tem um requisito para um par de membros da Equipe para ver o tráfego de CPU e da rede, dados de monitorização como parte do planeamento da capacidade para a carga de trabalho.Let's assume that workload owner A has a requirement for a pair of team members to view the CPU and network traffic monitoring data as part of capacity planning for the workload. Porque proprietário de carga de trabalho A é atribuída a função de contribuinte, não têm permissão para adicionar um usuário grupo de recursos A. Tem de enviar este pedido para o administrador de serviços.Because workload owner A is assigned the contributor role, they do not have permission to add a user to resource group A. They must send this request to the service administrator. contribuidores de carga de trabalho de pedidos de proprietário de carga de trabalho ser adicionado ao grupo de recursosworkload owner requests workload contributors be added to resource group

  5. O administrador de serviços analisa a solicitação e adiciona os dois contribuinte de carga de trabalho aos utilizadores grupo de recursos A. Nenhum destes dois utilizadores exigem permissão para gerir os recursos, pelo que estão atribuídos a função leitor incorporado.The service administrator reviews the request, and adds the two workload contributor users to resource group A. Neither of these two users require permission to manage resources, so they are assigned the built-in reader role. administrador de serviço adiciona os contribuintes da carga de trabalho para um grupo de recursosservice administrator adds workload contributors to resource group A

  6. Em seguida, proprietário de carga de trabalho B também requer um grupo de recursos conter os recursos para sua carga de trabalho.Next, workload owner B also requires a resource group to contain the resources for their workload. Tal como acontece com proprietário de carga de trabalho A, proprietário de carga de trabalho B inicialmente não tem permissão para efetuar qualquer ação no âmbito da subscrição, pelo que terá de enviar um pedido para o deadministradordeserviços.As with workload owner A, workload owner B initially does not have permission to take any action at the subscription scope so they must send a request to the service administrator. criação de pedidos de proprietário B de carga de trabalho de grupo de recursos Bworkload owner B requests creation of resource group B

  7. O administrador de serviços analisa a solicitação e cria B do grupo de recursos. Administrador de serviços cria o grupo de recursos BThe service administrator reviews the request and creates resource group B. Service Administrator creates resource group B

  8. O administrador de serviços , em seguida, adiciona proprietário de carga de trabalho B para o grupo de recursos B e atribui o função incorporada de Contribuidor.The service administrator then adds workload owner B to resource group B and assigns the built-in contributor role. Administrador de serviço adiciona B de proprietário de carga de trabalho para o grupo de recursos BService Administrator adds Workload Owner B to resource group B

Neste momento, os proprietários de carga de trabalho seja isolado em seu próprio grupo de recursos.At this point, each of the workload owners is isolated in their own resource group. Nenhum dos proprietários de carga de trabalho ou membros da sua equipa de ter acesso de gestão para os recursos em qualquer outro grupo de recursos.None of the workload owners or their team members have management access to the resources in any other resource group.

subscrição com grupos de recursos, A e B figura 4. Uma subscrição com dois proprietários de carga de trabalho isolado com seu próprio grupo de recursos.subscription with resource groups A and B Figure 4. A subscription with two workload owners isolated with their own resource group.

Este modelo é um modelo de privilégio mínimo, cada utilizador tem atribuída a permissão correta no âmbito de gestão do recurso correto.This model is a least privilege model - each user is assigned the correct permission at the correct resource management scope.

No entanto, considere que todas as tarefas neste exemplo foi realizada pela administrador de serviços.However, consider that every task in this example was performed by the service administrator. Embora este é um exemplo simples e não pode aparecer ser um problema, pois havia apenas dois proprietários de carga de trabalho, é fácil imaginar os tipos de problemas que possam fazer para uma grande organização.While this is a simple example and may not appear to be an issue because there were only two workload owners, it's easy to imagine the types of issues that would result for a large organization. Por exemplo, o administrador de serviços pode se tornar um afunilamento com um grande registo de pedidos que resultar em atrasos.For example, the service administrator can become a bottleneck with a large backlog of requests that result in delays.

Vamos dar uma olhada no segundo exemplo que reduz o número de tarefas realizadas pela administrador de serviços.Let's take a look at second example that reduces the number of tasks performed by the service administrator.

  1. Nesse modelo, proprietário de carga de trabalho A é atribuído a [função de proprietário incorporada] rbac-built-in-owner no âmbito da subscrição, permitindo-lhes criar seu próprio grupo de recursos: grupo de recursos A. Administrador de serviço adiciona o proprietário de carga de trabalho A subscriçãoIn this model, workload owner A is assigned the built-in owner role at the subscription scope, enabling them to create their own resource group: resource group A. Service Administrator adds Workload Owner A to subscription

  2. Quando grupo de recursos A é criado proprietário de carga de trabalho A é adicionado por padrão e herda o [proprietário incorporado] rbac-built-in-owner função a partir do âmbito da subscrição.When resource group A is created, workload owner A is added by default and inherits the built-in owner role from the subscription scope. O proprietário de carga de trabalho A cria um grupo de recursosWorkload Owner A creates resource group A

  3. O [função de proprietário incorporada] rbac-built-in-owner concede proprietário de carga de trabalho A permissão para gerir o acesso ao grupo de recursos.The built-in owner role grants workload owner A permission to manage access to the resource group. O proprietário de carga de trabalho A adiciona dois contribuidores de carga de trabalho e atribui o [função leitor incorporado] rbac-built-in-owner a cada um deles.Workload owner A adds two workload contributors and assigns the built-in reader role to each of them. O proprietário de carga de trabalho A adiciona os contribuintes da carga de trabalhoWorkload Owner A adds Workload Contributors

  4. Administrador de serviços agora adiciona proprietário de carga de trabalho B para a subscrição com a função de proprietário incorporada.Service administrator now adds workload owner B to the subscription with the built-in owner role. Administrador de serviço adiciona B de proprietários da carga de trabalho à subscriçãoService Administrator adds Workload Owners B to subscription

  5. O proprietário de carga de trabalho B cria grupo de recursos B e é adicionado por padrão.Workload owner B creates resource group B and is added by default. Novamente, proprietário de carga de trabalho B herda a função de proprietário incorporada do âmbito da subscrição.Again, workload owner B inherits the built-in owner role from the subscription scope. B de proprietário de carga de trabalho cria o grupo de recursos BWorkload Owner B creates resource group B

Tenha em atenção que neste modelo, o administrador de serviços realizadas ações menos do que no primeiro exemplo devido a delegação de acesso de gestão a cada um dos proprietários de carga de trabalho individuais.Note that in this model, the service administrator performed fewer actions than they did in the first example due to the delegation of management access to each of the individual workload owners.

subscrição com grupos de recursos, A e B figura 5. Uma subscrição com um administrador de serviços e dois proprietários de carga de trabalho, todos atribuída a função de proprietário incorporada.subscription with resource groups A and B Figure 5. A subscription with a service administrator and two workload owners, all assigned the built-in owner role.

No entanto, uma vez que ambos proprietário de carga de trabalho A e proprietário de carga de trabalho B é atribuída a função de proprietário incorporadas no âmbito da subscrição, eles têm cada herdada a função de proprietário incorporadas para uns dos outros recursos grupo.However, because both workload owner A and workload owner B are assigned the built-in owner role at the subscription scope, they have each inherited the built-in owner role for each other's resource group. Isso significa que não só têm acesso total aos recursos do outro, eles também são capazes de delegar o acesso de gestão para grupos de recursos uns dos outros.This means that not only do they have full access to one another's resources, they are also able to delegate management access to each other's resource groups. Por exemplo, proprietário de carga de trabalho B tem direitos para adicionar qualquer outro utilizador para grupo de recursos A e pode atribuir qualquer função aos mesmos, incluindo a função de proprietário incorporada.For example, workload owner B has rights to add any other user to resource group A and can assign any role to them, including the built-in owner role.

Se compararmos cada exemplo para os requisitos, Vemos que os dois exemplos oferecem suporte a um único utilizador fidedigno no âmbito da subscrição com permissão para conceder direitos de acesso de recursos para os proprietários de carga de trabalho de duas.If we compare each example to the requirements, we see that both examples support a single trusted user at the subscription scope with permission to grant resource access rights to the two workload owners. Cada um dos proprietários de carga de trabalho de duas não tem acesso à gestão de recursos por predefinição e necessária a administrador de serviços explicitamente atribuir permissões às mesmas.Each of the two workload owners did not have access to resource management by default and required the service administrator to explicitly assign permissions to them. No entanto, apenas o primeiro exemplo suporta o requisito de que os recursos associados a cada carga de trabalho são isolados uns dos outros, de modo a que nenhum proprietário de carga de trabalho tem acesso aos recursos de outras cargas de trabalho.However, only the first example supports the requirement that the resources associated with each workload are isolated from one another such that no workload owner has access to the resources of any other workload.

Modelo de gestão de recursosResource management model

Agora que criamos um modelo de permissões de privilégio mínimo, vamos passar para dar uma olhada em algumas aplicações práticas desses modelos de governação.Now that we've designed a permissions model of least privilege, let's move on to take a look at some practical applications of these governance models. Lembre-se dos requisitos que podemos tem de suportar os ambientes de três seguintes:Recall from the requirements that we must support the following three environments:

  1. Infraestrutura partilhada: um único grupo de recursos partilhados por todas as cargas de trabalho.Shared infrastructure: a single group of resources shared by all workloads. Estes são recursos como gateways de rede, firewalls e os serviços de segurança.These are resources such as network gateways, firewalls, and security services.
  2. Desenvolvimento: prontos de vários grupos de recursos que representam não produção várias cargas de trabalho.Development: multiple groups of resources representing multiple non-production ready workloads. Estes recursos são utilizados para uma prova de conceito, teste e outras atividades de desenvolvedor.These resources are used for proof-of-concept, testing, and other developer activities. Esses recursos podem ter um modelo de governação nem tanto para habilitar a agilidade do programador maior.These resources may have a more relaxed governance model to enable increased developer agility.
  3. Produção: vários grupos de recursos que representam várias cargas de trabalho de produção.Production: multiple groups of resources representing multiple production workloads. Estes recursos são utilizados para alojar os artefactos de aplicações com acesso públicas e privadas.These resources are used to host the private and public facing application artifacts. Esses recursos têm, normalmente, os modelos de segurança para proteger os recursos, o código da aplicação e a dados contra acesso não autorizado e governação nesse.These resources typically have the tightest governance and security models to protect the resources, application code, and data from unauthorized access.

Para cada um desses ambientes de três, temos um requisito para controlar os dados de custo por proprietário de carga de trabalho, ambiente, ou ambos.For each of these three environments, we have a requirement to track cost data by workload owner, environment, or both. Ou seja, queremos saber o custo em curso do infraestrutura partilhada, os custos incorridos por indivíduos em ambos os desenvolvimento e produção ambientes, e Por fim geral de custos de desenvolvimento e produção.That is, we want to know the ongoing cost of the shared infrastructure, the costs incurred by individuals in both the development and production environments, and finally the overall cost of development and production.

Já sabe que recursos estão no âmbito de dois níveis: subscrição e grupo de recursos.You have already learned that resources are scoped to two levels: subscription and resource group. Por conseguinte, a primeira decisão é como organizar ambientes ao subscrição.Therefore, the first decision is how to organize environments by subscription. Existem apenas duas possibilidades: uma subscrição única ou várias subscrições.There are only two possibilities: a single subscription, or, multiple subscriptions.

Antes de examinarmos os exemplos de cada um desses modelos, vamos rever a estrutura de gestão de subscrições no Azure.Before we look at examples of each of these models, let's review the management structure for subscriptions in Azure.

Lembre-se dos requisitos que temos uma pessoa na organização que é responsável por subscrições e este utilizador é proprietário da proprietário da subscrição conta no inquilino do Azure AD.Recall from the requirements that we have an individual in the organization who is responsible for subscriptions, and this user owns the subscription owner account in the Azure AD tenant. No entanto, esta conta não tem permissão para criar subscrições.However, this account does not have permission to create subscriptions. Apenas os proprietário da conta do Azure tem permissão para fazer isso: figura 6. Um proprietário da conta do Azure cria uma subscrição.Only the Azure Account Owner has permission to do this: Figure 6. An Azure Account Owner creates a subscription.

Quando a subscrição tiver sido criada, o proprietário da conta do Azure pode adicionar o proprietário da subscrição conta para a subscrição com o proprietário função:Once the subscription has been created, the Azure Account Owner can add the subscription owner account to the subscription with the owner role:

Figura 7. O proprietário da conta do Azure adiciona a proprietário da subscrição conta de utilizador para a subscrição com o proprietário função. Figure 7. The Azure Account Owner adds the subscription owner user account to the subscription with the owner role.

O proprietário da subscrição agora pode criar grupos de recursos e delegar a gestão de acesso de recursos.The subscription owner can now create resource groups and delegate resource access management.

Primeiro vamos examinar um modelo de gestão de recursos de exemplo com uma única subscrição.First let's look at an example resource management model using a single subscription. A primeira decisão é como alinhar os ambientes de três grupos de recursos.The first decision is how to align resource groups to the three environments. Temos duas opções:We have two options:

  1. Alinhe cada ambiente para um grupo de recursos.Align each environment to a single resource group. Todos os recursos de infraestrutura partilhada são implementados para um único infraestrutura partilhada grupo de recursos.All shared infrastructure resources are deployed to a single shared infrastructure resource group. Todos os recursos associados a cargas de trabalho de desenvolvimento são implantados num único desenvolvimento grupo de recursos.All resources associated with development workloads are deployed to a single development resource group. Todos os recursos associados a cargas de trabalho de produção são implementados numa única produção grupo de recursos para o produção ambiente.All resources associated with production workloads are deployed into a single production resource group for the production environment.
  2. Crie grupos de recursos separados para cada carga de trabalho, usando uma convenção de nomenclatura e etiquetas para se alinhar a grupos de recursos com cada um dos três ambientes.Create separate resource groups for each workload, using a naming convention and tags to align resource groups with each of the three environments.

Vamos começar avaliando a primeira opção.Let's begin by evaluating the first option. Vamos utilizar o modelo de permissões que discutimos na seção anterior, um administrador de serviços de subscrição individual que cria grupos de recursos e adiciona os utilizadores-los com qualquer um dos incorporada contribuinte ou leitor função.We'll be using the permissions model that we discussed in the previous section, with a single subscription service administrator who creates resource groups and adds users to them with either the built-in contributor or reader role.

  1. O primeiro grupo de recursos implementados representa a infraestrutura partilhada ambiente.The first resource group deployed represents the shared infrastructure environment. O proprietário da subscrição cria um grupo de recursos para os recursos de infraestrutura partilhada com o nome netops-shared-rg.The subscription owner creates a resource group for the shared infrastructure resources named netops-shared-rg.
  2. O proprietário da subscrição adiciona a utilizador de operações de rede conta para o grupo de recursos e atribui o contribuinte função.The subscription owner adds the network operations user account to the resource group and assigns the contributor role.
  3. O utilizador de operações de rede cria um gateway de VPN e configura-o para ligar à aplicação VPN no local.The network operations user creates a VPN gateway and configures it to connect to the on-premises VPN appliance. O operações de rede utilizador também se aplica um par de etiquetas para cada um dos recursos: ambiente: partilhado e managedBy:netOps .The network operations user also applies a pair of tags to each of the resources: environment:shared and managedBy:netOps. Quando o administrador de serviços da subscrição exporta um custo de relatório, os custos serão alinhados com cada uma dessas marcas.When the subscription service administrator exports a cost report, costs will be aligned with each of these tags. Isso permite que o administrador de serviços da subscrição para dinamizar os custos com o ambiente marca e o managedBy marca.This allows the subscription service administrator to pivot costs using the environment tag and the managedBy tag. Observe que o limites de recursos contador na parte superior direita da figura.Notice the resource limits counter at the top right-hand side of the figure. Cada subscrição do Azure tem limites de serviço, e para ajudar a compreender o efeito destes limites vamos seguir o limite de rede virtual para cada subscrição.Each Azure subscription has service limits, and to help you understand the effect of these limits we'll follow the virtual network limit for each subscription. Existe um limite predefinido de 50 redes virtuais por subscrição e, depois de implementar a primeira rede virtual estão agora 49 disponíveis.There is a default limit of 50 virtual networks per subscription, and after the first virtual network is deployed there are now 49 available.
  4. Dois grupos de recursos mais são implementados, a primeira é denominada prod-rg.Two more resource groups are deployed, the first is named prod-rg. Este grupo de recursos está alinhado com o produção ambiente.This resource group is aligned with the production environment. A segunda é denominada dev-rg e está alinhado com o desenvolvimento ambiente.The second is named dev-rg and is aligned with the development environment. Todos os recursos associados a cargas de trabalho de produção são implementados para o produção ambiente e todos os recursos associados a cargas de trabalho de desenvolvimento são implementados para o desenvolvimento ambiente .All resources associated with production workloads are deployed to the production environment and all resources associated with development workloads are deployed to the development environment. Neste exemplo, vai apenas implementar duas cargas de trabalho para cada um desses dois ambientes para que, não encontramos limites de serviço de subscrição do Azure.In this example we'll only deploy two workloads to each of these two environments so we won't encounter any Azure subscription service limits. No entanto, é importante levar em consideração que cada grupo de recursos tem um limite de 800 recursos por grupo de recursos.However, it's important to consider that each resource group has a limit of 800 resources per resource group. Por conseguinte, se podemos manter a adicionar as cargas de trabalho para cada grupo de recursos é possível que irá ser atingido este limite.Therefore, if we keep adding workloads to each resource group it is possible that this limit will be reached.
  5. A primeira proprietário de carga de trabalho envia um pedido para o administrador de serviços da subscrição e é adicionado a cada um do desenvolvimento e produção grupos de recursos de ambiente com o contribuinte função.The first workload owner sends a request to the subscription service administrator and is added to each of the development and production environment resource groups with the contributor role. Como vimos antes, o contribuinte função permite que o usuário executar qualquer operação que não atribuir uma função para outro utilizador.As you learned earlier, the contributor role allows the user to perform any operation other than assigning a role to another user. A primeira proprietário de carga de trabalho agora pode criar os recursos associados à sua carga de trabalho.The first workload owner can now create the resources associated with their workload.
  6. A primeira proprietário de carga de trabalho cria uma rede virtual em cada um dos grupos de dois recursos com um par de máquinas virtuais em cada um.The first workload owner creates a virtual network in each of the two resource groups with a pair of virtual machines in each. A primeira proprietário de carga de trabalho aplica-se a ambiente e managedBy etiquetas para todos os recursos.The first workload owner applies the environment and managedBy tags to all resources. Tenha em atenção que o contador de limite de serviço do Azure está agora em 47 redes virtuais restantes.Note that the Azure service limit counter is now at 47 virtual networks remaining.
  7. Cada uma das redes virtuais não tem conectividade no local quando são criados.Each of the virtual networks does not have connectivity to on-premises when they are created. Este tipo de arquitetura, cada rede virtual tem de ser em modo de peering para o vnet do hub no infraestrutura partilhada ambiente.In this type of architecture, each virtual network must be peered to the hub-vnet in the shared infrastructure environment. Peering de rede virtual cria uma ligação entre duas redes virtuais separadas e permita o tráfego de rede para viajar entre eles.Virtual network peering creates a connection between two separate virtual networks and allows network traffic to travel between them. Tenha em atenção que o peering de rede virtual não é inerentemente transitivo.Note that virtual network peering is not inherently transitive. Um peering tem de ser especificado em cada uma das duas redes virtuais que estão ligadas e, se apenas uma das redes virtuais Especifica um peering a ligação está incompleta.A peering must be specified in each of the two virtual networks that are connected, and if only one of the virtual networks specifies a peering the connection is incomplete. Para ilustrar o efeito desta ação, a primeira proprietário de carga de trabalho Especifica um peering entre prod-vnet e vnet do hub.To illustrate the effect of this, the first workload owner specifies a peering between prod-vnet and hub-vnet. O primeiro peering for criado, mas não o tráfego flui porque o peering complementares a partir vnet do hub ao prod-vnet ainda não foi especificado.The first peering is created, but no traffic flows because the complementary peering from hub-vnet to prod-vnet has not yet been specified. A primeira proprietário de carga de trabalho contactos a operações de rede utilizadores e pedidos de ligação de peering neste complementares.The first workload owner contacts the network operations user and requests this complementary peering connection.
  8. O operações de rede utilizador revê o pedido, aprova-lo, em seguida, especifica o peering nas definições para o vnet do hub.The network operations user reviews the request, approves it, then specifies the peering in the settings for the hub-vnet. A ligação peering está agora concluída e o tráfego de rede flui entre as duas redes virtuais.The peering connection is now complete and network traffic flows between the two virtual networks.
  9. Agora, um segundo proprietário de carga de trabalho envia um pedido para o administrador de serviços da subscrição e é adicionado à existente produção e desenvolvimento grupos de recursos de ambiente com o contribuinte função.Now, a second workload owner sends a request to the subscription service administrator and is added to the existing production and development environment resource groups with the contributor role. A segunda proprietário de carga de trabalho tem as mesmas permissões em todos os recursos como o primeiro proprietário de carga de trabalho em cada grupo de recursos.The second workload owner has the same permissions on all resources as the first workload owner in each resource group.
  10. A segunda proprietário de carga de trabalho cria uma sub-rede na prod-vnet rede virtual, em seguida, adiciona duas máquinas virtuais.The second workload owner creates a subnet in the prod-vnet virtual network, then adds two virtual machines. A segunda proprietário de carga de trabalho aplica-se a ambiente e managedBy etiquetas para cada recurso.The second workload owner applies the environment and managedBy tags to each resource.

Este modelo de gestão de recursos de exemplo permite-nos gerir os recursos nos ambientes de três necessários.This example resource management model enables us to manage resources in the three required environments. Os recursos de infraestrutura partilhada são protegidos porque existe apenas um único utilizador na subscrição com permissão para aceder a esses recursos.The shared infrastructure resources are protected because there's only a single user in the subscription with permission to access those resources. Cada um dos proprietários de carga de trabalho é capaz de utilizar os recursos de infraestrutura de partilha sem ter quaisquer permissões sobre os recursos partilhados reais propriamente ditas.Each of the workload owners is able to utilize the share infrastructure resources without having any permissions on the actual shared resources themselves. No entanto, esse modelo de gestão falha o requisito para isolamento de cargas de trabalho - cada um dos dois proprietários da carga de trabalho são capazes de aceder aos recursos da carga de trabalho do outro.However, This management model fails the requirement for workload isolation - each of the two workload owners are able to access the resources of the other's workload.

Há outra consideração importante com esse modelo que pode não ser imediatamente óbvia.There's another important consideration with this model that may not be immediately obvious. No exemplo, foi proprietário de carga de trabalho de app1 solicitado que a ligação de peering de rede com o vnet do hub para fornecer conectividade no local.In the example, it was app1 workload owner that requested the network peering connection with the hub-vnet to provide connectivity to on-premises. O operações de rede utilizador avaliada esse pedido com base nos recursos implementados com essa carga de trabalho.The network operations user evaluated that request based on the resources deployed with that workload. Quando o proprietário da subscrição adicionado proprietário de carga de trabalho de app2 com o contribuinte função, o que o usuário tenha direitos de acesso de gestão para todos os recursos no Prod-rg grupo de recursos.When the subscription owner added app2 workload owner with the contributor role, that user had management access rights to all resources in the prod-rg resource group.

Isso significa proprietário de carga de trabalho de app2 tivesse permissão para implementar sua própria sub-rede com máquinas virtuais no prod-vnet rede virtual.This means app2 workload owner had permission to deploy their own subnet with virtual machines in the prod-vnet virtual network. Por predefinição, essas máquinas virtuais têm agora acesso à rede no local.By default, those virtual machines now have access to the on-premises network. O operações de rede utilizador não tem conhecimento das máquinas e não aprovou a conectividade no local.The network operations user is not aware of those machines and did not approve their connectivity to on-premises.

Em seguida, vamos dar uma olhada numa única subscrição com vários grupos de recursos para ambientes diferentes e cargas de trabalho.Next, let's look at a single subscription with multiple resources groups for different environments and workloads. Tenha em atenção que no exemplo anterior, os recursos para cada ambiente eram facilmente identificáveis porque elas estavam no mesmo grupo de recursos.Note that in the previous example, the resources for each environment were easily identifiable because they were in the same resource group. Agora que já não temos esse agrupamento, temos de contar com uma convenção de nomenclatura de grupo de recursos para fornecer essa funcionalidade.Now that we no longer have that grouping, we will have to rely on a resource group naming convention to provide that functionality.

  1. O infraestrutura partilhada recursos continuam a ter um grupo de recursos separado nesse modelo, portanto, que permanece o mesmo.The shared infrastructure resources will still have a separate resource group in this model, so that remains the same. Cada carga de trabalho requer dois grupos de recursos – um para cada um a desenvolvimento e produção ambientes.Each workload requires two resource groups - one for each of the development and production environments. Para a primeira carga de trabalho, o proprietário da subscrição cria dois grupos de recursos.For the first workload, the subscription owner creates two resource groups. A primeira é denominada app1-prod-rg e a segunda é denominada app1-dev-rg.The first is named app1-prod-rg and the second one is named app1-dev-rg. Como discutido anteriormente, essa convenção de nomenclatura identifica os recursos como a ser associado com a carga de trabalho primeiro app1e o dev ou prod ambiente.As discussed earlier, this naming convention identifies the resources as being associated with the first workload, app1, and either the dev or prod environment. Novamente, o subscrição proprietário adiciona proprietário de carga de trabalho de app1 para o grupo de recursos com o contribuinte função.Again, the subscription owner adds app1 workload owner to the resource group with the contributor role.
  2. Semelhante do primeiro exemplo, proprietário de carga de trabalho de app1 implementa uma rede virtual denominada app1-prod-vnet para o produção ambiente e outro nomeadoapp1-dev-vnet para o desenvolvimento ambiente.Similar to the first example, app1 workload owner deploys a virtual network named app1-prod-vnet to the production environment, and another named app1-dev-vnet to the development environment. Novamente, proprietário de carga de trabalho de app1 envia um pedido para o operações de rede utilizador para criar uma ligação de peering.Again, app1 workload owner sends a request to the network operations user to create a peering connection. Tenha em atenção que proprietário de carga de trabalho de app1 adiciona as etiquetas mesmo, como o primeiro exemplo e o limite de contador tem sido deduzido a 47 redes virtuais restantes na subscrição.Note that app1 workload owner adds the same tags as in the first example, and the limit counter has been decremented to 47 virtual networks remaining in the subscription.
  3. O proprietário da subscrição cria dois grupos de recursos para agora proprietário de carga de trabalho de app2.The subscription owner now creates two resource groups for app2 workload owner. Seguir as mesmas convenções que para proprietário de carga de trabalho de app1, os grupos de recursos são nomeados app2-prod-rg e app2-dev-rg.Following the same conventions as for app1 workload owner, the resource groups are named app2-prod-rg and app2-dev-rg. O proprietário da subscrição adiciona proprietário de carga de trabalho de app2 a cada um dos grupos de recursos com o contribuinte função.The subscription owner adds app2 workload owner to each of the resource groups with the contributor role.
  4. Proprietário da carga de trabalho de App2 implementa redes virtuais e máquinas virtuais para os grupos de recursos com as mesmas convenções de nomenclatura.App2 workload owner deploys virtual networks and virtual machines to the resource groups with the same naming conventions. São adicionadas etiquetas e o contador de limite tem sido deduzido a 45 redes virtuais restantes os subscrição.Tags are added and the limit counter has been decremented to 45 virtual networks remaining in the subscription.
  5. Proprietário da carga de trabalho de App2 envia um pedido para o operações de rede utilizador configurar o peering entre a app2-prod-vnet com o vnet do hub.App2 workload owner sends a request to the network operations user to peer the app2-prod-vnet with the hub-vnet. O operações de rede utilizador cria a ligação peering.The network operations user creates the peering connection.

O modelo de gestão resultante é semelhante para o primeiro exemplo, com várias diferenças importantes:The resulting management model is similar to the first example, with several key differences:

  • Cada uma das duas cargas de trabalho é isolada por carga de trabalho e pelo ambiente.Each of the two workloads is isolated by workload and by environment.
  • Esse modelo necessárias duas redes virtuais mais do que o primeiro modelo de exemplo.This model required two more virtual networks than the first example model. Embora não seja uma distinção importante com apenas duas cargas de trabalho, o limite teórico do número de cargas de trabalho para esse modelo é 24.While this is not an important distinction with only two workloads, the theoretical limit on the number of workloads for this model is 24.
  • Recursos já não são agrupados num grupo de recursos para cada ambiente.Resources are no longer grouped in a single resource group for each environment. Agrupar recursos exige uma compreensão sobre as convenções de nomenclatura usadas para cada ambiente.Grouping resources requires an understanding of the naming conventions used for each environment.
  • Cada uma das ligações de rede virtual em modo de peering foi revisada e aprovada pela operações de rede utilizador.Each of the peered virtual network connections was reviewed and approved by the network operations user.

Agora vamos examinar um modelo de gestão de recursos com várias subscrições.Now let's look at a resource management model using multiple subscriptions. Nesse modelo, vamos alinhá cada um dos três ambientes para uma subscrição separada: uma serviços compartilhados subscrição produção subscrição e, finalmente, um desenvolvimento subscrição.In this model, we'll align each of the three environments to a separate subscription: a shared services subscription, production subscription, and finally a development subscription. As considerações para este modelo são semelhantes a um modelo com uma única subscrição em que temos que decidir como alinhar os grupos de recursos para cargas de trabalho.The considerations for this model are similar to a model using a single subscription in that we have to decide how to align resource groups to workloads. Já determinamos que a criação de um grupo de recursos para cada carga de trabalho satisfaz o requisito de isolamento da carga de trabalho, portanto, vamos acrescentar com esse modelo neste exemplo.We've already determined that creating a resource group for each workload satisfies the workload isolation requirement, so we'll stick with that model in this example.

  1. Nesse modelo, existem três subscrições: infraestrutura partilhada, produção, e desenvolvimento.In this model, there are three subscriptions: shared infrastructure, production, and development. Cada uma destas três subscrições requer uma proprietário da subscriçãoe o exemplo simples, usaremos a mesma conta de utilizador para todas as três.Each of these three subscriptions requires a subscription owner, and in the simple example we'll use the same user account for all three. O infraestrutura partilhada recursos são geridos da mesma forma para os dois primeiros exemplos acima e a primeira carga de trabalho é associada a app1-rg no produção ambiente e o recurso de mesmo nome de grupo no desenvolvimento ambiente.The shared infrastructure resources are managed similarly to the first two examples above, and the first workload is associated with the app1-rg in the production environment and the same-named resource group in the development environment. O proprietário de carga de trabalho de app1 é adicionado a cada grupo de recursos com o contribuinte função.The app1 workload owner is added to each of the resource group with the contributor role.
  2. Tal como acontece com os exemplos anteriores, proprietário de carga de trabalho de app1 cria os recursos e solicita a ligação de peering com o infraestrutura partilhada rede virtual.As with the earlier examples, app1 workload owner creates the resources and requests the peering connection with the shared infrastructure virtual network. Proprietário da carga de trabalho de App1 adiciona apenas a managedBy Etiquetar porque já não é necessário para o ambiente marca.App1 workload owner adds only the managedBy tag because there is no longer a need for the environment tag. Ou seja, os recursos são para cada ambiente agora estão agrupadas no mesmo subscrição e o ambiente marca é redundante.That is, resources are for each environment are now grouped in the same subscription and the environment tag is redundant. O contador de limite é diminuído a 49 redes virtuais restantes.The limit counter is decremented to 49 virtual networks remaining.
  3. Por fim, o proprietário da subscrição repete o processo para a segunda carga de trabalho, a adição dos grupos de recursos com o proprietário de carga de trabalho de app2 no * a função de contribuinte.Finally, the subscription owner repeats the process for the second workload, adding the resource groups with the app2 workload owner in the *contributor role. O contador de limite para cada uma das subscrições do ambiente é diminuído para 48 redes virtuais restantes.The limit counter for each of the environment subscriptions is decremented to 48 virtual networks remaining.

Esse modelo de gestão tem os benefícios do segundo exemplo acima.This management model has the benefits of the second example above. No entanto, a principal diferença é que limites são inferiores de um problema que eles são distribuídos mais dois subscrições.However, the key difference is that limits are less of an issue due to the fact that they are spread over two subscriptions. A desvantagem é que os dados de custos controlados por etiquetas têm de ser agregados em todos os três subscrições.The drawback is that the cost data tracked by tags must be aggregated across all three subscriptions.

Por conseguinte, pode selecionar qualquer um dos modelos de gestão de recursos desses dois exemplos consoante a prioridade de seus requisitos.Therefore, you can select any of these two examples resource management models depending on the priority of your requirements. Se prevê que sua organização não irão aceder os limites de serviço para uma única subscrição, pode utilizar uma única subscrição com vários grupos de recursos.If you anticipate that your organization will not reach the service limits for a single subscription, you can use a single subscription with multiple resource groups. Por outro lado, se sua organização prevê muitas cargas de trabalho, várias assinaturas para cada ambiente poderão ser melhores.Conversely, if your organization anticipates many workloads, multiple subscriptions for each environment may be better.

Implementar o modelo de gestão de recursosImplementing the resource management model

Se tiver informado sobre vários modelos diferentes para que regem o acesso aos recursos do Azure.You've learned about several different models for governing access to Azure resources. Agora vamos examinar as etapas necessárias para implementar o modelo de gestão de recursos com uma subscrição para cada um da infraestrutura partilhada, produção, e desenvolvimento ambientes do guia de estrutura.Now we'll walk through the steps necessary to implement the resource management model with one subscription for each of the shared infrastructure, production, and development environments from the design guide. Teremos um proprietário da subscrição para todos os ambientes de três.We'll have one subscription owner for all three environments. Cada carga de trabalho irá ser isolada num grupo de recursos com um proprietário de carga de trabalho adicionada com o contribuinte função.Each workload will be isolated in a resource group with a workload owner added with the contributor role.

Nota

Leia [compreender o acesso a recursos no Azure] understand-resource-access-in-azure para saber mais sobre a relação entre as contas do Azure e subscrições.Read understanding resource access in Azure to learn more about the relationship between Azure Accounts and subscriptions.

Siga estes passos.Follow these steps:

  1. Criar uma conta do Azure se sua organização ainda não tiver uma.Create an Azure account if your organization doesn't already have one. A pessoa que se inscreve para a conta do Azure torna-se o administrador de conta do Azure e liderança da sua organização tem de selecionar um indivíduo para assumir essa função.The person who signs up for the Azure account becomes the Azure account administrator, and your organization's leadership must select an individual to assume this role. Essa pessoa será responsável por:This individual will be responsible for:
    • Criar subscrições, eCreating subscriptions, and
    • Criar e administrar do Azure Active Directory (AD) inquilinos que armazenam a identidade de utilizador para nessas subscrições.Creating and administering Azure Active Directory (AD) tenants that store user identity for those subscriptions.
  2. Equipa de liderança da sua organização decide que pessoas são responsáveis por:Your organization's leadership team decides which people are responsible for:
    • Gestão de identidade do usuário; uma inquilino do Azure AD é criada por predefinição, quando é criada a conta do Azure da sua organização e o administrador de conta é adicionado como o administrador global do Azure AD por predefinição.Management of user identity; an Azure AD tenant is created by default when your organization's Azure Account is created, and the account administrator is added as the Azure AD global administrator by default. Sua organização pode escolher outro utilizador para gerir a identidade de utilizador por atribuir a função de administrador global do Azure AD para esse utilizador.Your organization can choose another user to manage user identity by assigning the Azure AD global administrator role to that user.
    • Subscrições, o que significa que estes utilizadores:Subscriptions, which means these users:
      • Gerir os custos associados à utilização de recursos nessa subscriçãoManage costs associated with resource usage in that subscription,
      • Implementar e manter, pelo menos, o modelo de permissão para acesso a recursos, eImplement and maintain least permission model for resource access, and
      • Mantenha um registo de limites de serviço.Keep track of service limits.
    • Infraestrutura partilhada serviços (se a sua organização decide usar esse modelo), que significa que este utilizador é responsável por:Shared infrastructure services (if your organization decides to use this model), which means this user is responsible for:
      • No local para conectividade de rede do Azure, eOn-premises to Azure network connectivity, and
      • Propriedade de conectividade de rede no Azure através do peering da rede virtual.Ownership of network connectivity within Azure through virtual network peering.
    • Proprietários de carga de trabalho.Workload owners.
  3. O administrador global do Azure AD cria novas contas de utilizador para:The Azure AD global administrator creates the new user accounts for:
    • A pessoa que vai ser o proprietário da subscrição para cada subscrição associada a cada ambiente.The person who will be the subscription owner for each subscription associated with each environment. Observe que isso é necessário apenas se a subscrição administrador de serviços será não ser a tarefa de gestão de acesso a recursos para cada subscrição/ambiente.Note that this is necessary only if the subscription service administrator will not be tasked with managing resource access for each subscription/environment.
    • A pessoa que vai ser o utilizador de operações de rede, eThe person who will be the network operations user, and
    • As pessoas que são proprietários de carga de trabalho que se.The people who are workload owner(s).
  4. O administrador de conta do Azure cria as seguintes três subscrições utilizando o portal de contas do Azure:The Azure account administrator creates the following three subscriptions using the Azure account portal:
    • Uma subscrição para o infraestrutura partilhada ambiente,A subscription for the shared infrastructure environment,
    • Uma subscrição para o produção ambiente, eA subscription for the production environment, and
    • Uma subscrição para o desenvolvimento ambiente.A subscription for the development environment.
  5. O administrador de conta do Azure adiciona o proprietário do serviço de subscrição para cada subscrição.The Azure account administrator adds the subscription service owner to each subscription.
  6. Criar um processo de aprovação para proprietários da carga de trabalho para pedir a criação de grupos de recursos.Create an approval process for workload owners to request the creation of resource groups. O processo de aprovação pode ser implementado de várias maneiras, como por e-mail, ou pode utilizar uma ferramenta de gerenciamento de processo, tal como fluxos de trabalho do Sharepoint.The approval process can be implemented in many ways, such as over email, or you can using a process management tool such as Sharepoint workflows. O processo de aprovação pode seguir estes passos:The approval process can follow these steps:
    • O proprietário de carga de trabalho prepara uma lista de materiais para recursos do Azure necessários em qualquer um a desenvolvimento ambiente, produção ambiente, ou ambos e envia -o para o proprietário da subscrição.The workload owner prepares a bill of materials for required Azure resources in either the development environment, production environment, or both, and submits it to the subscription owner.
    • O proprietário da subscrição revê a lista de materiais e valida os recursos solicitados para garantir que os recursos de pedido são adequados para seu uso em planeadas - por exemplo, a verificação de que o pedido tamanhos de máquinas virtuais estão corretos.The subscription owner reviews the bill of materials and validates the requested resources to ensure that the requested resources are appropriate for their planned use - for example, checking that the requested virtual machine sizes are correct.
    • Se o pedido não for aprovado, o proprietário de carga de trabalho é notificado.If the request is not approved, the workload owner is notified. Se o pedido for aprovado, o proprietário da subscrição cria o grupo de recurso pedido da organização convenções de nomenclatura, Adiciona os proprietário de carga de trabalho com o contribuinte função e envia a notificação para o proprietário de carga de trabalho que criou o grupo de recursos.If the request is approved, the subscription owner creates the requested resource group following your organization's naming conventions, adds the workload owner with the contributor role and sends notification to the workload owner that the resource group has been created.
  7. Crie um processo de aprovação para os proprietários de carga de trabalho pedir uma ligação do proprietário infraestrutura partilhada de peering de rede virtual.Create an approval process for workload owners to request a virtual network peering connection from the shared infrastructure owner. Assim como no passo anterior, este processo de aprovação pode ser implementado através de e-mail ou uma ferramenta de gerenciamento de processo.As with the previous step, this approval process can be implemented using email or a process management tool.

Agora que implementou o seu modelo de governação, pode implementar os serviços de infraestrutura partilhada.Now that you've implemented your governance model, you can deploy your shared infrastructure services.

Passos SeguintesNext steps