Správa přístupu k prostředkům v Azure

V tomto článku se dozvíte, jak se prostředky nasazují v Azure, počínaje základními konstrukcemi prostředků, předplatných a skupin prostředků Azure. Pak se dozvíte, jak Azure Resource Manager (ARM) nasazuje prostředky.

Co je prostředek Azure?

V Azure je prostředek entitou spravovanou v Azure. Všechny příklady prostředků Azure jsou virtuální počítače, virtuální sítě a účty úložiště.

Diagram of a resource.

Co je skupina prostředků Azure?

Každý prostředek v Azure musí patřit do skupiny prostředků. Skupina prostředků je logický kontejner, který přidruží více prostředků, abyste je mohli spravovat jako jednu entitu na základě životního cyklu a zabezpečení. Prostředky můžete například vytvořit nebo odstranit jako skupinu, pokud prostředky sdílejí podobný životní cyklus, například prostředky pro n-vrstvou aplikaci. Jinými slovy, všechno, co vytváříte, spravujete a vyřadíte dohromady, je přidružené ke skupině prostředků.

Diagram of a resource group containing a resource.

Doporučeným postupem je přidružit skupiny prostředků a prostředky, které obsahují, s předplatným Azure.

Co je předplatné Azure?

Předplatné Azure se podobá skupině prostředků v tom, že se jedná o logický kontejner, který přidruží skupiny prostředků a jejich příslušné prostředky. Předplatné Azure je také přidružené k ovládacím prvkům Azure Resource Manageru. Seznamte se s Azure Resource Managerem a jeho vztahem k předplatným Azure.

Diagram of an Azure subscription.

Co je Azure Resource Manager?

V části Jak Azure funguje?, zjistíte, že Azure obsahuje front-end se službami, které orchestrují funkce Azure. Jednou z těchto služeb je Azure Resource Manager. Tato služba hostuje klienty rozhraní RESTful API, které používají ke správě prostředků.

Diagram of Azure Resource Manager.

Následující obrázek znázorňuje tři klienty: Azure PowerShell, Azure Portal a Azure CLI:

Diagram of Azure clients connecting to the Resource Manager REST API.

I když se tito klienti připojují k Resource Manageru pomocí rozhraní REST API, Resource Manager nezahrnuje funkce pro přímou správu prostředků. Většina typů prostředků v Azure má místo toho vlastního poskytovatele prostředků.

Diagram of Azure resource providers.

Když klient odešle žádost o správu konkrétního prostředku, Azure Resource Manager se připojí k poskytovateli prostředků pro daný typ prostředku, aby žádost dokončila. Pokud například klient požádá o správu prostředku virtuálního počítače, Azure Resource Manager se připojí k poskytovateli Microsoft.Compute prostředků.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

Azure Resource Manager vyžaduje, aby klient zadal identifikátor předplatného i skupiny prostředků pro správu prostředku virtuálního počítače.

Jakmile pochopíte, jak Azure Resource Manager funguje, dozvíte se, jak přidružit předplatné Azure k ovládacím prvkům Azure Resource Manageru. Než Azure Resource Manager může provést jakoukoli žádost o správu prostředků, projděte si následující sadu ovládacích prvků.

První ovládací prvek spočívá v tom, že ověřený uživatel musí provést požadavek. Azure Resource Manager musí mít také důvěryhodný vztah s ID Microsoft Entra, aby mohl poskytovat funkce identity uživatele.

Diagram of Microsoft Entra ID.

V Microsoft Entra ID můžete segmentovat uživatele do tenantů. Tenant je logický konstruktor, který představuje zabezpečenou vyhrazenou instanci ID Microsoft Entra, kterou obvykle někdo přidruží k organizaci. Každé předplatné můžete také přidružit k tenantovi Microsoft Entra.

A Microsoft Entra tenant associated with a subscription

Každý požadavek klienta na správu prostředku v určitém předplatném vyžaduje, aby uživatel má účet v přidruženém tenantovi Microsoft Entra.

Dalším ovládacím prvek je kontrola, jestli má uživatel dostatečná oprávnění k provedení požadavku. Oprávnění se přiřazují uživatelům pomocí řízení přístupu na základě role v Azure (Azure RBAC).

Users assigned to Azure roles

Role Azure určuje sadu oprávnění, která může uživatel převzít u konkrétního prostředku. Když je role přiřazená uživateli, použijí se tato oprávnění. Například předdefinovaná role Vlastník umožňuje uživateli spustit jakoukoli akci u prostředku.

Dalším ovládacím prostředkem je kontrola, jestli je požadavek povolený v nastavení určených pro zásady prostředků Azure. Zásady prostředků Azure určují operace povolené pro konkrétní prostředek. Zásady prostředků Azure můžou například určit, že uživatelé můžou nasadit jenom konkrétní typ virtuálního počítače.

Azure resource policy

Dalším řízením je kontrola, že požadavek nepřekračuje limit předplatného Azure. Každé předplatné má například limit 980 skupin prostředků na předplatné. Pokud obdržíte žádost o nasazení jiné skupiny prostředků, jakmile dosáhnete limitu, zamítejte ji.

Diagram of Azure resource limits.

Poslední kontrolou je kontrola ověření, že žádost je v rámci finančního závazku, který přidružíte k předplatnému. Azure Resource Manager například ověří, že předplatné má dostatek platebních údajů, pokud je žádost o nasazení virtuálního počítače.

Diagram of a financial commitment associated with a subscription.

Souhrn

V tomto článku jste se dozvěděli, jak se v Azure spravuje přístup k prostředkům pomocí Azure Resource Manageru.

Další kroky

Přečtěte si další informace o přechodu na cloud pomocí architektury přechodu na cloud od Microsoftu pro Azure.