Organisera och hantera flera Azure-prenumerationer

Om du bara har några få prenumerationer är det relativt enkelt att hantera dem oberoende av varandra. Men om du har många prenumerationer kan du skapa en hierarki för hanterings grupper som hjälper dig att hantera dina prenumerationer och resurser.

Azure-hanteringsgrupper

Med Azures hanterings grupper kan du effektivt hantera åtkomst, principer och efterlevnad för dina prenumerationer. Varje hanteringsgrupp är en container för en eller flera prenumerationer.

Hanterings grupper är ordnade i en enkel hierarki. Du definierar den här hierarkin i din Azure Active Directory (Azure AD)-klient organisation så att den överensstämmer med organisationens struktur och behov. Den översta nivån kallas för rothanteringsgruppen. Du kan definiera upp till sex nivåer av hanteringsgrupper i hierarkin. Varje prenumeration finns bara i en hanteringsgrupp.

Azure tillhandahåller fyra nivåer av hanterings omfång:

  • Hanteringsgrupper
  • Prenumerationer
  • Resursgrupper
  • Resurser

Åtkomst eller principer som tillämpas på en nivå i hierarkin tillämpas också på nivåerna under denna. En resursägare eller en prenumerationsägare kan inte ändra en nedärvd princip. Den här begränsningen förbättrar styrningen.

Anteckning

Tagg arv stöds inte ännu, men kommer snart att vara tillgängligt.

Med den här arvs modellen kan du ordna prenumerationerna i hierarkin så att varje prenumeration följer lämpliga principer och säkerhets kontroller.

De fyra omfattnings nivåerna för att organisera dina Azure-resurser bild 1: de fyra omfattnings nivåerna för att organisera dina Azure-resurser.

Alla tilldelningar av användaråtkomst eller principtilldelning för rothanteringsgruppen gäller för alla resurser inom katalogen. Tänk efter noga vilka objekt du definierar i det här omfånget. Inkludera endast de tilldelningar som du måste ha.

Skapa en hierarki för hanterings grupper

När du definierar hierarkin för hanterings grupper måste du först skapa rot hanterings gruppen. Flytta sedan alla befintliga prenumerationer i katalogen till rot hanterings gruppen. Nya prenumerationer skapas alltid i rothanteringsgruppen. Senare kan du flytta dem till en annan hanterings grupp.

När du flyttar en prenumeration till en befintlig hanterings grupp ärver den principerna och roll tilldelningarna från hanterings gruppens hierarki ovanför den. När du har upprättat flera prenumerationer för dina Azure-arbetsbelastningar kan du skapa ytterligare prenumerationer som innehåller Azure-tjänster som andra prenumerationer delar.

Om du förväntar dig att Azure-miljön ska växa bör du skapa hanterings grupper för produktion och inte produktion nu och tillämpa lämpliga principer och åtkomst kontroller på hanterings grupps nivå. Nya prenumerationer kommer att ärva lämpliga kontroller när de läggs till i varje hanterings grupp.

Exempel på en hanterings grupp hierarki figur 2: ett exempel på en hierarki för hanterings grupper.

Exempel på användningsområden

Vissa grundläggande exempel på hur du kan använda hanteringsgrupper för att separera olika arbetsbelastningar:

Produktion jämfört med arbets belastningar som inte är produktion: Använd hanterings grupper för att enklare hantera olika roller och principer mellan produktions-och icke-Production-prenumerationer. Utvecklare kan till exempel ha deltagar åtkomst i prenumerationer utan produktion, men endast läsar åtkomst i produktions prenumerationer.

Interna tjänster jämfört med externa tjänster: Företag har ofta olika krav, principer och roller för interna tjänster jämfört med externa kund tjänster.

Läs följande resurser för att lära dig mer om att ordna och hantera dina Azure-resurser.

Nästa steg

Granska rekommenderade namngivnings- och taggningskonventioner som du följer när du distribuerar dina Azure-resurser.