Estrutura de governação para uma carga de trabalho simplesGovernance design for a simple workload

O objetivo desta orientação é ajudá-lo a aprender o processo de conceção de um modelo de governação de recursos em Azure para apoiar uma única equipa e uma carga de trabalho simples.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support a single team and a simple workload. Você vai olhar para um conjunto de requisitos hipotéticos de governação, em seguida, passar por vários exemplos implementações que satisfazem esses requisitos.You'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

Na fase de adoção fundacional, o nosso objetivo é implantar uma carga de trabalho simples para o Azure.In the foundational adoption stage, our goal is to deploy a simple workload to Azure. Isto resulta nos seguintes requisitos:This results in the following requirements:

  • Gestão de identidade para um único proprietário de carga de trabalho que é responsável pela implantação e manutenção da carga de trabalho simples.Identity management for a single workload owner who is responsible for deploying and maintaining the simple workload. O proprietário da carga de trabalho requer permissão para criar, ler, atualizar e apagar recursos, bem como permissão para delegar esses direitos a outros utilizadores no sistema de gestão de identidade.The workload owner requires permission to create, read, update, and delete resources as well as permission to delegate these rights to other users in the identity management system.
  • Gerir todos os recursos para a carga de trabalho simples como uma única unidade de gestão.Manage all resources for the simple workload as a single management unit.

Licenciamento AzureAzure licensing

Antes de começar a desenhar o nosso modelo de governação, é importante entender como o Azure é licenciado.Before you begin designing our governance model, it's important to understand how Azure is licensed. Isto porque as contas administrativas associadas à sua licença Azure têm o mais alto nível de acesso aos seus recursos Azure.This is because the administrative accounts associated with your Azure license have the highest level of access to your Azure resources. Estas contas administrativas formam a base do seu modelo de governação.These administrative accounts form the basis of your governance model.

Nota

Se a sua organização tiver um Acordo de Empresa microsoft existente que não inclua o Azure, o Azure pode ser adicionado fazendo um compromisso monetário inicial.If your organization has an existing Microsoft Enterprise Agreement that does not include Azure, Azure can be added by making an upfront monetary commitment. Para mais informações, consulte o Licensing Azure para a empresa.For more information, see Licensing Azure for the enterprise.

Quando a Azure foi adicionada ao Acordo de Empresa da sua organização, a sua organização foi solicitada a criar uma conta Azure.When Azure was added to your organization's Enterprise Agreement, your organization was prompted to create an Azure account. Durante o processo de criação de conta, foi criado um proprietário de conta Azure, bem como um inquilino do Azure Ative Directory (Azure AD) com uma conta de administrador global.During the account creation process, an Azure account owner was created, as well as an Azure Active Directory (Azure AD) tenant with a global administrator account. Um inquilino da AD Azure é uma construção lógica que representa um caso seguro e dedicado de Azure AD.An Azure AD tenant is a logical construct that represents a secure, dedicated instance of Azure AD.

Conta Azure com um proprietário de conta Azure e administrador global Azure AD Figura 1: Uma conta Azure com um proprietário de conta Azure e administrador global Azure AD.Azure account with an Azure account owner and Azure AD global administrator Figure 1: An Azure account with an Azure account owner and Azure AD global administrator.

Gestão de identidadesIdentity management

O Azure apenas confia na Azure AD para autenticar os utilizadores e autorizar o acesso dos utilizadores aos recursos, pelo que a Azure AD é o nosso sistema de gestão de identidade.Azure only trusts Azure AD to authenticate users and authorize user access to resources, so Azure AD is our identity management system. O administrador global Azure AD tem o mais alto nível de permissões e pode executar todas as ações relacionadas com a identidade, incluindo a criação de utilizadores e a atribuição de permissões.The Azure AD global administrator has the highest level of permissions and can perform all actions related to identity, including creating users and assigning permissions.

O nosso requisito é a gestão de identidade para um único proprietário de carga de trabalho que é responsável pela implantação e manutenção da carga de trabalho simples.Our requirement is identity management for a single workload owner who is responsible for deploying and maintaining the simple workload. O proprietário da carga de trabalho requer permissão para criar, ler, atualizar e apagar recursos, bem como permissão para delegar esses direitos a outros utilizadores no sistema de gestão de identidade.The workload owner requires permission to create, read, update, and delete resources as well as permission to delegate these rights to other users in the identity management system.

O nosso administrador global AZure AD criará a conta do proprietário da carga de trabalho para o proprietário da carga de trabalho:Our Azure AD global administrator will create the workload owner account for the workload owner:

O administrador global Azure AD cria a conta do proprietário da carga de trabalho Figura 2: O administrador global Azure AD cria a conta de utilizador do proprietário da carga de trabalho.The Azure AD global administrator creates the workload owner account Figure 2: The Azure AD global administrator creates the workload owner user account.

Não é possível atribuir a permissão de acesso a recursos até que este utilizador seja adicionado a uma subscrição, por isso irá fazê-lo nas próximas duas secções.You can't assign resource access permission until this user is added to a subscription, so you'll do that in the next two sections.

Âmbito de gestão de recursosResource management scope

À medida que o número de recursos mobilizados pela sua organização aumenta, a complexidade de governar esses recursos também aumenta.As the number of resources deployed by your organization grows, the complexity of governing those resources grows as well. O Azure implementa uma hierarquia lógica de contentores para permitir à sua organização gerir os seus recursos em grupos a vários níveis de granularidade, também conhecido como âmbito.Azure implements a logical container hierarchy to enable your organization to manage your resources in groups at various levels of granularity, also known as scope.

O nível superior de gestão de recursos é o nível de subscrição.The top level of resource management scope is the subscription level. A subscrição é criada pelo proprietário da conta Azure, que estabelece o compromisso financeiro e é responsável pelo pagamento de todos os recursos Azure associados à subscrição:A subscription is created by the Azure account owner, who establishes the financial commitment and is responsible for paying for all Azure resources associated with the subscription:

O proprietário da conta Azure cria uma subscrição Figura 3: O proprietário da conta Azure cria uma subscrição.The Azure account owner creates a subscription Figure 3: The Azure account owner creates a subscription.

Quando a subscrição é criada, o proprietário da conta Azure associa um inquilino AZure AD com a subscrição, e este inquilino AD AZure é utilizado para autenticar e autorizar utilizadores:When the subscription is created, the Azure account owner associates an Azure AD tenant with the subscription, and this Azure AD tenant is used for authenticating and authorizing users:

O proprietário da conta Azure associa o inquilino da Azure AD à subscrição Figura 4: O proprietário da conta Azure associa o inquilino da Azure AD com a assinatura.The Azure account owner associates the Azure AD tenant with the subscription Figure 4: The Azure account owner associates the Azure AD tenant with the subscription.

Pode ter reparado que atualmente não existe nenhum utilizador associado à subscrição, o que significa que ninguém tem permissão para gerir recursos.You may have noticed that there is currently no user associated with the subscription, which means that no one has permission to manage resources. Na prática, o proprietário da conta é o proprietário da subscrição e tem permissão para tomar qualquer ação sobre um recurso na subscrição.In practice, the account owner is the owner of the subscription and has permission to take any action on a resource in the subscription. Em termos práticos, o proprietário da conta é mais do que provável que seja um financiador na sua organização e não é responsável pela criação, leitura, atualização e eliminação de recursos.In practical terms, the account owner is more than likely a finance person in your organization and is not responsible for creating, reading, updating, and deleting resources. Essas tarefas serão executadas pelo proprietário da carga de trabalho, pelo que é necessário adicionar o proprietário da carga de trabalho à subscrição e atribuir permissões.Those tasks will be performed by the workload owner, so you need to add the workload owner to the subscription and assign permissions.

Uma vez que o proprietário da conta é atualmente o único utilizador com permissão para adicionar o proprietário da carga de trabalho à subscrição, eles adicionam o proprietário da carga de trabalho à subscrição:Since the account owner is currently the only user with permission to add the workload owner to the subscription, they add the workload owner to the subscription:

O proprietário da conta Azure adiciona o proprietário carga de trabalho à figura 5 da subscrição: O proprietário da conta Azure adiciona o proprietário da carga de trabalho à subscrição.The Azure account owner adds the workload owner to the subscription Figure 5: The Azure account owner adds the workload owner to the subscription.

O proprietário da conta Azure concede permissões ao proprietário da carga de trabalho atribuindo uma função Azure.The Azure account owner grants permissions to the workload owner by assigning an Azure role. A função Azure especifica um conjunto de permissões que o proprietário da carga de trabalho tem para um tipo de recurso individual ou um conjunto de tipos de recursos.The Azure role specifies a set of permissions that the workload owner has for an individual resource type or a set of resource types.

Note que, neste exemplo, o proprietário da conta atribuiu a função de proprietário incorporado:Notice that in this example, the account owner has assigned the built-in owner role:

O proprietário da workload foi atribuído à função de proprietário incorporado Figura 6: O proprietário da carga de trabalho foi atribuído a função de Proprietário incorporado.The workload owner was assigned the built-in owner role Figure 6: The workload owner was assigned the built-in Owner role.

A função de proprietário incorporado concede todas as permissões ao proprietário da carga de trabalho no âmbito de subscrição.The built-in owner role grants all permissions to the workload owner at the subscription scope.

Importante

O proprietário da conta Azure é responsável pelo compromisso financeiro associado à subscrição, mas o proprietário da carga de trabalho tem as mesmas permissões.The Azure account owner is responsible for the financial commitment associated with the subscription, but the workload owner has the same permissions. O proprietário da conta deve confiar no proprietário da carga de trabalho para implantar recursos que estejam dentro do orçamento de subscrição.The account owner must trust the workload owner to deploy resources that are within the subscription budget.

O próximo nível de âmbito de gestão é o nível do grupo de recursos.The next level of management scope is the resource group level. Um grupo de recursos é um contentor lógico de recursos.A resource group is a logical container for resources. As operações aplicadas ao nível do grupo de recursos aplicam-se a todos os recursos de um grupo.Operations applied at the resource group level apply to all resources in a group. Além disso, é importante notar que as permissões para cada utilizador são herdadas a partir do nível seguinte para cima, a menos que sejam explicitamente alteradas nesse âmbito.Also, it's important to note that permissions for each user are inherited from the next level up unless they're explicitly changed at that scope.

Para ilustrar isto, vamos ver o que acontece quando o proprietário da carga de trabalho cria um grupo de recursos:To illustrate this, let's look at what happens when the workload owner creates a resource group:

O proprietário workload cria um grupo de recursos Figura 7: O proprietário da carga de trabalho cria um grupo de recursos e herda a função de Proprietário incorporado no âmbito do grupo de recursos.The workload owner creates a resource group Figure 7: The workload owner creates a resource group and inherits the built-in Owner role at the resource group scope.

Mais uma vez, a função de proprietário incorporado concede todas as permissões ao proprietário da carga de trabalho no âmbito do grupo de recursos.Again, the built-in owner role grants all permissions to the workload owner at the resource group scope. Tal como discutido anteriormente, este papel é herdado do nível de subscrição.As discussed earlier, this role is inherited from the subscription level. Se for atribuída a este utilizador um papel diferente neste âmbito, aplica-se apenas a este âmbito.If a different role is assigned to this user at this scope, it applies to this scope only.

O nível mais baixo de âmbito de gestão encontra-se ao nível dos recursos.The lowest level of management scope is at the resource level. As operações aplicadas ao nível dos recursos aplicam-se apenas ao próprio recurso.Operations applied at the resource level apply only to the resource itself. Mais uma vez, as permissões a nível de recursos são herdadas do âmbito do grupo de recursos.Again, permissions at the resource level are inherited from resource group scope. Por exemplo, vamos ver o que acontece se o proprietário da carga de trabalho implantar uma rede virtual no grupo de recursos:For example, let's look at what happens if the workload owner deploys a virtual network into the resource group:

O proprietário workload cria uma figura de recurso Figura 8: O proprietário da carga de trabalho cria um recurso e herda a função de Proprietário incorporado no âmbito do recurso.The workload owner creates a resource Figure 8: The workload owner creates a resource and inherits the built-in Owner role at the resource scope.

O proprietário da carga de trabalho herda a função do Proprietário no âmbito do recurso, o que significa que o proprietário da carga de trabalho tem todas as permissões para a rede virtual.The workload owner inherits the Owner role at the resource scope, which means the workload owner has all permissions for the virtual network.

Implementar o modelo básico de gestão do acesso a recursosImplement the basic resource access management model

Vamos continuar a aprender a implementar o modelo de governação desenhado anteriormente.Let's move on to learn how to implement the governance model designed earlier.

Para começar, a sua organização requer uma conta Azure.To begin, your organization requires an Azure account. Se a sua organização tiver um Acordo de Empresa microsoft existente que não inclua o Azure, o Azure pode ser adicionado fazendo um compromisso monetário inicial.If your organization has an existing Microsoft Enterprise Agreement that does not include Azure, Azure can be added by making an upfront monetary commitment. Para mais informações, consulte o Licensing Azure para a empresa.For more information, see Licensing Azure for the enterprise.

Quando a sua conta Azure é criada, especifica uma pessoa na sua organização para ser a proprietária da conta Azure.When your Azure account is created, you specify a person in your organization to be the Azure account owner. Um inquilino do Azure Ative Directory (Azure AD) é então criado por padrão.An Azure Active Directory (Azure AD) tenant is then created by default. O seu proprietário da conta Azure deve criar a conta de utilizador para a pessoa na sua organização que é a proprietária da carga de trabalho.Your Azure account owner must create the user account for the person in your organization who is the workload owner.

Em seguida, o seu proprietário de conta Azure deve criar uma subscrição e associar o inquilino AZURE AD com ele.Next, your Azure account owner must create a subscription and associate the Azure AD tenant with it.

Finalmente, agora que a subscrição foi criada e o seu inquilino AD Azure está associado a ela, pode adicionar o proprietário da carga de trabalho à subscrição com a função de proprietário incorporado.Finally, now that the subscription is created and your Azure AD tenant is associated with it, you can add the workload owner to the subscription with the built-in owner role.

Passos seguintesNext steps