Yönetim gruplarıyla segmentasyon kurma

  • Makale
  • Okumak için 3 dakika

Yönetim grupları birden çok abonelikte kaynakları tutarlı ve verimli bir şekilde yönetebilir. Ancak esnekliğinden dolayı tasarımınız karmaşık hale geldi ve güvenlikle işlemleri tehlikeye attı.

Yönetim gruplarıyla segmentasyon stratejinizi destekleme

Yönetim gruplarını, kurumsal segmentasyon modeline yol gösteren basit bir tasarımda yapılandırın.

Yönetim grupları, kaynakları tutarlı ve verimli bir şekilde yönetme olanağı sağlar (gerektiğinde birden çok abonelik dahil). Ancak esnekliklerinden dolayı aşırı karmaşık bir tasarım oluşturmak mümkündür. Karmaşıklık hem işlemleri hem de güvenliği (aşırı karmaşık Kuruluş Birimi (OU) ve Active Directory için grup ilkesi Nesne (GPO) tasarımlarının gösterildiği gibi) olumsuz yönde etkiler.

Microsoft, en üst düzey yönetim gruplarının (MG' ler) basit bir kurumsal segmentasyon stratejisine hizalanması ve düzeylerin en fazla iki düzeyle sınırlanması önerilir.

Örnek başvuruda,tüm segmentler tarafından kullanılan kuruluş genelinde kaynaklar, hizmetleri paylaşan çekirdek hizmetler kümesi ve her iş yükü için ek segmentler vardır.

  • Kuruluş genelindeki kaynaklar için kök yönetim grubu.

    Her kaynağa ilke uygulama gereksinimi olan kimlikleri dahil etmek için kök yönetim grubunu kullanın. Örneğin, veri egemenliğiyle ilgili kısıtlamalar gibi mevzuat gereksinimleri. Bu grup tüm aboneliklerde ilkeler, izinler, etiketler uygulanarak etkindir.

    Dikkat

    kök yönetim grubunu kullanırken dikkatli olun çünkü ilkeler Azure'da tüm kaynakları etkileyebilir ve kapalı kalma süresine veya diğer olumsuz etkilere neden olabilir. Dikkat edilmesi gerekenler için bu makalenin devamlarında kök yönetim grubunu dikkatli kullanma makalesine bakın.

    Bir kuruluş için yönetim gruplarını kullanma hakkında eksiksiz rehberlik için bkz. CAF: Yönetim grubu ve abonelik kuruluşu.

  • Her iş yükü kesimi için yönetim grubu.

    Sınırlı sorumluluk kapsamına sahip takımlar için ayrı bir yönetim grubu kullanın. Bu grup genellikle kuruluş sınırları veya mevzuat gereksinimleri nedeniyle gereklidir.

  • Temel hizmet kümesi için kök veya kesim yönetim grubu.

Kök yönetim grubunu dikkatli kullanma

Kurumsal tutarlılık için Kök Yönetim Grubu'nda (MG) kullanın, ancak işletimsel kesinti riskini en aza indirmek için değişiklikleri dikkatle test edin.

Kök yönetim grubu, tüm abonelikler arasında ilkeler, izinler ve etiketler uygulayarak kuruluş genelinde tutarlılık sağlar. Bu, Azure'daki her kaynağı etkileyeye ve hata veya istenmeyen etkiler durumunda çalışmama süresine veya üretkenlik üzerinde diğer olumsuz etkilere neden olabilecek bir durum olduğundan, kök yönetim grubuna atamaları planlar ve uygulama sırasında dikkat edin.

  • Dikkatlice planla: Kök yönetim grubunda, her kaynağa net bir şekilde uygulanması gereken ve/veya etkisi düşük olan kuruluş genelindeki öğeleri seçin.

    Tüm kaynaklara net bir şekilde uygulanması gereken kuruluş genelindeki kimlikleri seçin. İyi adaylar şunlardır:

    • Net iş riski/etkisi ile mevzuat gereksinimleri. Örneğin, veri egemenliğiyle ilgili kısıtlamalar.

    • Sıfıra yakın olası olumsuz etki. Örneğin, denetim etkisi olan ilke, etiket ataması, dikkatle gözden geçirilen Azure RBAC izin atamaları.

    Yönetim grubu yönetim işlemlerini, abonelik yönetimi işlemlerini ve rol atamasını yürütmek için ayrılmış bir hizmet asıl adı (SPN) kullanın. SPN, yükseltilmiş haklara sahip olan ve en az ayrıcalıklı yönergeleri izleyen kullanıcı sayısını azaltır. Az önce belirtilen SPN'ye kök düzeyde erişim vermek için kök yönetim grubu kapsamında (/) Kullanıcı Erişimi Yöneticisi'ne attayin. SPN'ye izin verildikten sonra Kullanıcı Erişimi Yöneticisi rolü güvenli bir şekilde kaldırılabilir. Bu şekilde, yalnızca SPN Kullanıcı Erişimi Yöneticisi rolünün bir parçası olur. SPN'ye kiracı düzeyinde işlemlere izin veren Katkıda Bulunan izni attayın. Bu izin düzeyi, kuruluşunuz içindeki tüm aboneliklere kaynakları dağıtmak ve yönetmek için hizmet asıl adının kullanılabilmesini sağlar.

    Kök yönetim Azure İlkesi atamalarının sayısını sınırla ( / ). Bu sınırlama, düşük düzeyli yönetim gruplarında devralınan ilkelerin hata ayıklamasını da en aza indirir.

    Kök yönetim grubu altında herhangi bir abonelik oluşturmayın. Bu hiyerarşi, aboneliklerin yalnızca bir iş yükü için gereken tam kümeyi temsil etmeyen kök düzeyinde yönetim grubuna atanan küçük Azure ilkeleri grubunu devralmalarını sağlar.

  • Önce test: Uygulamadan önce kök yönetim grubunda (ilke, etiketler, Azure RBAC modeli vb.) tüm kuruluş genelindeki değişiklikleri planla, test et ve doğrula.

    • Test laboratuvarı: Üretim kiracısı içinde temsili laboratuvar kiracısı veya laboratuvar kesimi.

    • Üretim pilot Bu bir segment yönetim grubu veya abonelikler yönetim grubunda belirlenmiş bir alt küme olabilir.

  • Değişiklikleri doğrulama: istenen etkiye sahip olduğundan emin olmak için.

Sonraki adımlar

Yönetim hesapları