Gestão do acesso aos recursos no AzureResource access management in Azure

A metodologia Do Governo traça as Cinco Disciplinas de Governação da Nuvem, que inclui a gestão de recursos.The Govern methodology outlines the Five Disciplines of Cloud Governance, which includes resource management. O que é a governação de acesso a recursos explica como a gestão do acesso a recursos se enquadra na disciplina de gestão de recursos.What is resource access governance furthers explains how resource access management fits into the resource management discipline. Antes de seguir em frente para aprender a desenhar um modelo de governação, é importante entender os controlos de gestão de acesso a recursos em Azure.Before you move on to learn how to design a governance model, it's important to understand the resource access management controls in Azure. A configuração destes controlos de gestão de acesso a recursos constitui a base do seu modelo de governação.The configuration of these resource access management controls forms the basis of your governance model.

Comece por ver mais de perto como os recursos são implantados em Azure.Begin by taking a closer look at how resources are deployed in Azure.

O que é um recurso do Azure?What is an Azure resource?

Em Azure, o termo recurso refere-se a uma entidade gerida pela Azure.In Azure, the term resource refers to an entity managed by Azure. Por exemplo, máquinas virtuais, redes virtuais e contas de armazenamento são todos referidos como recursos Azure.For example, virtual machines, virtual networks, and storage accounts are all referred to as Azure resources.

Diagrama de um recurso Figura 1: Um recurso.Diagram of a resource Figure 1: A resource.

O que é um grupo de recursos Azure?What is an Azure resource group?

Cada recurso em Azure deve pertencer a um grupo de recursos.Each resource in Azure must belong to a resource group. Um grupo de recursos é simplesmente uma construção lógica que agrupar múltiplos recursos em conjunto para que possam ser geridos como uma única entidade baseada no ciclo de vida e na segurança.A resource group is simply a logical construct that groups multiple resources together so they can be managed as a single entity based on lifecycle and security. Por exemplo, os recursos que partilham um ciclo de vida semelhante, como os recursos para uma aplicação n-tier podem ser criados ou eliminados como um grupo.For example, resources that share a similar lifecycle, such as the resources for an n-tier application may be created or deleted as a group. Por outras palavras, tudo o que nasce juntos, é gerido em conjunto, e deprecia juntos, junta-se num grupo de recursos.In other words, everything that is born together, gets managed together, and deprecates together, goes together in a resource group.

Diagrama de um grupo de recursos que contém um recurso Figura 2: Um grupo de recursos contém um recurso.Diagram of a resource group containing a resource Figure 2: A resource group contains a resource.

Os grupos de recursos e os recursos que contêm estão associados a uma subscrição do Azure.Resource groups and the resources they contain are associated with an Azure subscription.

O que é uma subscrição do Azure?What is an Azure subscription?

Uma subscrição do Azure é semelhante a um grupo de recursos na medida em que é uma construção lógica que agrupar grupos de recursos e seus recursos.An Azure subscription is similar to a resource group in that it's a logical construct that groups together resource groups and their resources. Uma subscrição do Azure também está associada aos controlos utilizados pelo Azure Resource Manager.An Azure subscription is also associated with the controls used by Azure Resource Manager. Veja mais de perto o Azure Resource Manager para saber mais sobre a relação entre ele e uma subscrição do Azure.Take a closer look at Azure Resource Manager to learn about the relationship between it and an Azure subscription.

Diagrama de uma subscrição Azure Figura 3: Uma subscrição Azure.Diagram of an Azure subscription Figure 3: An Azure subscription.

O que é o Azure Resource Manager?What is Azure Resource Manager?

Em Como funciona o Azure?In How does Azure work? you learned that Azure includes a front end with many services that orchestrate all the functions of Azure. Um destes serviços é o Azure Resource Manager,e este serviço acolhe a API RESTful utilizada pelos clientes para gerir recursos.One of these services is Azure Resource Manager, and this service hosts the RESTful API used by clients to manage resources.

Diagrama do Gestor de Recursos Azure Figura 4: Gestor de Recursos Azure.Diagram of Azure Resource Manager Figure 4: Azure Resource Manager.

O seguinte número mostra três clientes: PowerShell,o portal Azure,e o Azure CLI:The following figure shows three clients: PowerShell, the Azure portal, and the Azure CLI:

Diagrama de clientes Azure que ligam ao Gestor de Recursos REST API Figura 5: Clientes azure conectam-se à API do Gestor de Recursos REST.Diagram of Azure clients connecting to the Resource Manager REST API Figure 5: Azure clients connect to the Resource Manager REST API.

Embora estes clientes se conectem ao Gestor de Recursos utilizando a API REST, o Gestor de Recursos não inclui funcionalidades para gerir os recursos diretamente.While these clients connect to Resource Manager using the REST API, Resource Manager does not include functionality to manage resources directly. Pelo contrário, a maioria dos tipos de recursos em Azure têm o seu próprio fornecedor de recursos.Rather, most resource types in Azure have their own resource provider.

Fornecedores de recursos Azure Figura 6: Fornecedores de recursos Azure.Azure resource providers Figure 6: Azure resource providers.

Quando um cliente faz um pedido para gerir um recurso específico, o Azure Resource Manager conecta-se ao fornecedor de recursos para esse tipo de recurso para completar o pedido.When a client makes a request to manage a specific resource, Azure Resource Manager connects to the resource provider for that resource type to complete the request. Por exemplo, se um cliente fizer um pedido para gerir um recurso de máquina virtual, o Azure Resource Manager conecta-se ao Microsoft.Compute fornecedor de recursos.For example, if a client makes a request to manage a virtual machine resource, Azure Resource Manager connects to the Microsoft.Compute resource provider.

Azure Resource Manager conecta-se ao fornecedor de recursos Microsoft.Compute Figura 7: O Gestor de Recursos Azure conecta-se ao Microsoft.Compute fornecedor de recursos para gerir o recurso especificado no pedido do cliente.Azure Resource Manager connecting to the Microsoft.Compute resource provider Figure 7: Azure Resource Manager connects to the Microsoft.Compute resource provider to manage the resource specified in the client request.

O Azure Resource Manager exige que o cliente especifique um identificador tanto para a subscrição como para o grupo de recursos, a fim de gerir o recurso da máquina virtual.Azure Resource Manager requires the client to specify an identifier for both the subscription and the resource group in order to manage the virtual machine resource.

Agora que tem uma compreensão de como funciona o Azure Resource Manager, volte à discussão de como uma subscrição do Azure está associada aos controlos utilizados pelo Azure Resource Manager.Now that you have an understanding of how Azure Resource Manager works, return to the discussion of how an Azure subscription is associated with the controls used by Azure Resource Manager. Antes de qualquer pedido de gestão de recursos poder ser executado pelo Azure Resource Manager, um conjunto de controlos é verificado.Before any resource management request can be executed by Azure Resource Manager, a set of controls are checked.

O primeiro controlo é que um pedido deve ser feito por um utilizador validado, e o Azure Resource Manager tem uma relação de confiança com o Azure Ative Directory (Azure AD) para fornecer a funcionalidade de identidade do utilizador.The first control is that a request must be made by a validated user, and Azure Resource Manager has a trusted relationship with Azure Active Directory (Azure AD) to provide user identity functionality.

Figura 8 do Diretório Ativo Azure: Diretório Ativo Azure.Azure Active Directory Figure 8: Azure Active Directory.

No Azure AD, os utilizadores são segmentados em inquilinos.In Azure AD, users are segmented into tenants. Um inquilino é uma construção lógica que representa uma instância segura e dedicada de Azure AD tipicamente associada a uma organização.A tenant is a logical construct that represents a secure, dedicated instance of Azure AD typically associated with an organization. Cada subscrição está associada a um inquilino AZure AD.Each subscription is associated with an Azure AD tenant.

Um inquilino Azure AD associado a uma subscrição Figura 9: Um inquilino AD Azure associado a uma subscrição.An Azure AD tenant associated with a subscription Figure 9: An Azure AD tenant associated with a subscription.

Cada pedido de cliente para gerir um recurso numa determinada subscrição requer que o utilizador tenha uma conta no inquilino AZure AD associado.Each client request to manage a resource in a particular subscription requires that the user has an account in the associated Azure AD tenant.

O próximo controlo é uma verificação de que o utilizador tem permissão suficiente para fazer o pedido.The next control is a check that the user has sufficient permission to make the request. As permissões são atribuídas aos utilizadores que utilizem o controlo de acesso baseado em funções Azure (Azure RBAC).Permissions are assigned to users using Azure role-based access control (Azure RBAC).

Utilizadores atribuídos a funções Azure Figura 10: Cada utilizador no inquilino é atribuído uma ou mais funções Azure.Users assigned to Azure roles Figure 10: Each user in the tenant is assigned one or more Azure roles.

Uma função Azure especifica um conjunto de permissões que um utilizador pode assumir num recurso específico.An Azure role specifies a set of permissions a user may take on a specific resource. Quando a função é atribuída ao utilizador, essas permissões são aplicadas.When the role is assigned to the user, those permissions are applied. Por exemplo, a owner função incorporada permite que um utilizador execute qualquer ação num recurso.For example, the built-in owner role allows a user to perform any action on a resource.

O próximo controlo é uma verificação de que o pedido é permitido ao abrigo das definições especificadas para a política de recursos Azure.The next control is a check that the request is allowed under the settings specified for Azure resource policy. As políticas de recursos Azure especificam as operações permitidas para um recurso específico.Azure resource policies specify the operations allowed for a specific resource. Por exemplo, uma política de recursos Azure pode especificar que os utilizadores só podem implementar um tipo específico de máquina virtual.For example, an Azure resource policy can specify that users are only allowed to deploy a specific type of virtual machine.

Política de recursos Azure Figura 11: Política de recursos Azure.Azure resource policy Figure 11: Azure resource policy.

O próximo controlo é um controlo de que o pedido não excede um limite de subscrição Azure.The next control is a check that the request does not exceed an Azure subscription limit. Por exemplo, cada subscrição tem um limite de 980 grupos de recursos por subscrição.For example, each subscription has a limit of 980 resource groups per subscription. Se for recebido um pedido para implantar um grupo de recursos adicionais quando o limite tiver sido atingido, é negado.If a request is received to deploy an additional resource group when the limit has been reached, it is denied.

Limites de recursos Azure Figura 12: Limites de recursos Azure.Azure resource limits Figure 12: Azure resource limits.

O controlo final é um cheque de que o pedido está dentro do compromisso financeiro associado à subscrição.The final control is a check that the request is within the financial commitment associated with the subscription. Por exemplo, se o pedido for para implantar uma máquina virtual, o Azure Resource Manager verifica que a subscrição tem informações de pagamento suficientes.For example, if the request is to deploy a virtual machine, Azure Resource Manager verifies that the subscription has sufficient payment information.

Um compromisso financeiro associado a uma subscrição Figura 13: Um compromisso financeiro está associado a uma subscrição.A financial commitment associated with a subscription Figure 13: A financial commitment is associated with a subscription.

ResumoSummary

Neste artigo, você aprendeu sobre como o acesso a recursos é gerido em Azure usando Azure Resource Manager.In this article, you learned about how resource access is managed in Azure using Azure Resource Manager.

Passos seguintesNext steps

Agora que entende como gerir o acesso a recursos em Azure, siga em frente para aprender a desenhar um modelo de governação para uma carga de trabalho simples ou para várias equipas que utilizem estes serviços.Now that you understand how to manage resource access in Azure, move on to learn how to design a governance model for a simple workload or for multiple teams using these services.