Ressourcenzugriffsverwaltung in Azure

In diesem Artikel erfahren Sie, wie Ressourcen in Azure bereitgestellt werden. Hierzu werden zunächst die grundlegenden Azure-Konstrukte „Ressourcen“, „Abonnements“ und „Ressourcengruppen“ erläutert. Anschließend erfahren Sie, wie der Azure Resource Manager Ressourcen bereitstellt.

Was ist eine Azure-Ressource?

In Azure ist eine Ressource eine von Azure verwaltete Entität. Virtuelle Computer, virtuelle Netzwerke und Speicherkonten sind alle Beispiele für Azure-Ressourcen.

Was ist eine Azure-Ressourcengruppe?

In Azure muss jede Ressource zu einer Ressourcengruppe gehören. Eine Ressourcengruppe ist ein logischer Container, der mehrere Ressourcen miteinander verbindet, sodass Sie diese als eine einzige Entität verwalten können, basierend auf Lebenszyklus und Sicherheit. Beispielsweise können Sie Ressourcen als Gruppe erstellen oder löschen, wenn die Ressourcen einen ähnlichen Lebenszyklus aufweisen, z. B. die Ressourcen für eine n-schichtige Anwendung. Mit anderen Worten: Alles, was Sie gemeinsam erstellen, verwalten und als veraltet kennzeichnen, ist mit einer Ressourcengruppe verbunden.

Als bewährte Methode wird empfohlen, Ressourcengruppen und die darin enthaltenen Ressourcen mit einem Azure-Abonnement zu verknüpfen.

Was ist ein Azure-Abonnement?

Ein Azure-Abonnement ähnelt einer Ressourcengruppe, da es ein logischer Container ist, der Ressourcengruppen und ihre jeweiligen Ressourcen miteinander verbindet. Ein Azure-Abonnement ist auch mit Azure Resource Manager-Steuerelementen verbunden. Erfahren Sie mehr über Azure Resource Manager und dessen Beziehung zu Azure-Abonnements.

Was ist Azure Resource Manager?

In Wie funktioniert Azure? erfahren Sie, dass Azure ein Front-End mit Diensten enthält, die die Azure-Funktionen orchestrieren. Einer dieser Dienste ist Azure Resource Manager. Dieser Dienst hostet die RESTful-API-Clients, die zum Verwalten von Ressourcen verwendet werden.

In der folgenden Abbildung sind drei Clients dargestellt: Azure PowerShell, das Azure-Portal und die Azure CLI:

Diese Clients stellen zwar über die REST-API eine Verbindung mit Resource Manager her, aber Resource Manager umfasst keine Funktionen zum direkten Verwalten von Ressourcen. Stattdessen verfügen die meisten Ressourcentypen in Azure über ihren eigenen Ressourcenanbieter.

Wenn ein Client eine Anforderung zur Verwaltung einer bestimmten Ressource sendet, stellt Azure Resource Manager eine Verbindung mit dem Ressourcenanbieter für diesen Ressourcentyp her, damit die Anforderung abgeschlossen werden kann. Wenn ein Client beispielsweise eine Anforderung zur Verwaltung einer VM-Ressource sendet, stellt Azure Resource Manager eine Verbindung mit dem Microsoft.Compute-Ressourcenanbieter her.

Azure Resource Manager setzt voraus, dass der Client einen Bezeichner für das Abonnement sowie für die Ressourcengruppe angibt, um die VM-Ressource zu verwalten.

Sobald Sie verstehen, wie Azure Resource Manager funktioniert, können Sie erfahren, wie Sie ein Azure-Abonnement den Azure Resource Manager-Kontrollen zuordnen. Bevor Azure Resource Manager eine Anforderung zur Ressourcenverwaltung ausführen kann, sollten Sie die folgenden Kontrollen festlegen.

Die erste Kontrolle besteht darin, dass ein überprüfter Benutzer eine Anforderung stellen muss. Außerdem muss Azure Resource Manager eine vertrauenswürdige Beziehung zu Microsoft Entra ID aufweisen, um die Funktionalität der Benutzeridentität bereitzustellen.

In Microsoft Entra ID können Sie Benutzer*innen in Mandanten unterteilen. Ein Mandant ist ein logisches Konstrukt, das eine sichere, dedizierte Instanz von Microsoft Entra ID repräsentiert, die in der Regel einer Organisation zugeordnet ist. Sie können jedes Abonnement auch einem Microsoft Entra-Mandanten zuordnen.

Für jede Clientanforderung zur Verwaltung einer Ressource unter einem bestimmten Abonnement ist es erforderlich, dass der/die Benutzer*in über ein Konto im zugeordneten Microsoft Entra-Mandanten verfügt.

Die nächste Kontrolle ist eine Überprüfung, ob der Benutzer über ausreichende Berechtigungen zum Senden der Anforderungen verfügt. Berechtigungen werden Benutzern über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) zugewiesen.

Mit einer Azure-Rolle wird ein Satz mit Berechtigungen angegeben, die einem Benutzer für eine bestimmte Ressource zur Verfügung stehen. Wenn die Rolle dem Benutzer zugewiesen wird, werden diese Berechtigungen angewendet. Mit der integrierten Rolle „Besitzer“ kann ein Benutzer beispielsweise eine beliebige Aktion für eine Ressource ausführen.

Die nächste Kontrolle umfasst eine Überprüfung, ob die Anforderung gemäß den Einstellungen, die für die Azure-Ressourcenrichtlinie angegeben wurden, zulässig ist. Mit Azure-Ressourcenrichtlinien werden die Vorgänge angegeben, die für eine bestimmte Ressource zulässig sind. Mithilfe einer Azure-Ressourcenrichtlinie kann beispielsweise angegeben werden, dass Benutzer nur einen bestimmten Typ eines virtuellen Computers bereitstellen dürfen.

Mit der nächsten Kontrolle wird sichergestellt, dass für die Anforderung kein Grenzwert für das Azure-Abonnement überschritten wird. Beispielsweise gilt für alle Abonnements ein Grenzwert von 980 Ressourcengruppen pro Abonnement. Wenn Sie eine Anforderung zur Bereitstellung einer weiteren Ressourcengruppe erhalten, wenn der Grenzwert erreicht ist, lehnen Sie diese ab.

Die letzte Kontrolle ist eine Überprüfung, ob sich die Anforderung innerhalb der Zahlungsverpflichtung des Abonnements bewegt. Azure Resource Manager prüft beispielsweise, ob das Abonnement über ausreichende Zahlungsinformationen verfügt, wenn die Anforderung die Bereitstellung eines virtuellen Computers vorsieht.

Zusammenfassung

In diesem Artikel wurde beschrieben, wie der Zugriff auf Ressourcen in Azure mit Azure Resource Manager verwaltet wird.

Nächste Schritte

Informieren Sie sich über die Cloudeinführung per Framework für die Einführung der Microsoft Cloud (Microsoft Cloud Adoption Framework).