Управление доступом к ресурсам в Azure

В этой статье вы узнаете, как развертываются ресурсы в Azure, начиная с основных конструкций ресурсов, подписок и групп ресурсов Azure. Затем вы узнаете, как Azure Resource Manager (ARM) развертывает ресурсы.

Ресурсы Azure

В Azure ресурс — это сущность, управляемая Azure. Виртуальные машины, виртуальные сети и учетные записи хранения являются примерами ресурсов Azure.

Diagram of a resource.

Что такое группа ресурсов Azure?

Каждый ресурс в Azure должен принадлежать группе ресурсов. Группа ресурсов — это логический контейнер, который связывает несколько ресурсов, чтобы управлять ими в виде одной сущности на основе жизненного цикла и безопасности. Например, можно создать или удалить ресурсы в виде группы, если ресурсы имеют одинаковый жизненный цикл, например ресурсы для n-уровневого приложения. Другими словами, все, что вы создаете, управляете и нерекомендуется вместе, связано в группе ресурсов.

Diagram of a resource group containing a resource.

Рекомендуется связать группы ресурсов и содержащиеся в них ресурсы с подпиской Azure.

Подписка Azure

Подписка Azure похожа на группу ресурсов в том, что это логический контейнер, который связывает группы ресурсов и соответствующие ресурсы. Тем не менее подписка Azure также связана с элементами управления, используемыми Azure Resource Manager. Узнайте о Azure Resource Manager и его отношениях с подписками Azure.

Diagram of an Azure subscription.

Azure Resource Manager

Узнайте , как работает Azure? Вы узнаете, что Azure включает интерфейсные службы, которые оркеструют функции Azure. Одной из этих служб является Azure Resource Manager. Эта служба содержит клиенты API RESTful, используемые для управления ресурсами.

Diagram of Azure Resource Manager.

На следующем рисунке показаны три клиента: Azure PowerShell, портал Azure и Azure CLI:

Diagram of Azure clients connecting to the Resource Manager REST API.

Эти клиенты подключаются к Resource Manager через REST API. Однако Resource Manager не содержит инструментов, чтобы управлять ресурсами напрямую. Вместо этого большинство типов ресурсов в Azure имеют собственный поставщик ресурсов.

Diagram of Azure resource providers.

Когда клиент отправляет запрос на управление определенным ресурсом, Azure Resource Manager подключается к поставщику ресурсов этого типа ресурса, чтобы выполнить запрос. Например, если клиент отправляет запрос на управление ресурсами виртуальной машины, Azure Resource Manager подключается к поставщику ресурсов Microsoft.Compute.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

Azure Resource Manager требует, чтобы клиент указал идентификатор подписки и группы ресурсов и тем самым разрешил управлять ресурсами виртуальной машины.

Изучив, как работает Azure Resource Manager, вы сможете узнать, как связать подписку Azure с элементами управления Azure Resource Manager. Прежде чем Azure Resource Manager сможет выполнить какой-либо запрос на управление ресурсами, вам следует изучить следующий набор элементов управления.

Первый механизм управления заключается в том, что выполнить запрос должен проверенный пользователь. Кроме того, Azure Resource Manager должен иметь доверенные отношения с идентификатором Microsoft Entra для предоставления функциональных возможностей удостоверения пользователя.

Diagram of Microsoft Entra ID.

В идентификаторе Microsoft Entra можно сегментирование пользователей в арендаторы. Клиент — это логическая конструкция, представляющая безопасный выделенный экземпляр идентификатора Microsoft Entra, который обычно связывается с организацией. Вы также можете связать каждую подписку с клиентом Microsoft Entra.

A Microsoft Entra tenant associated with a subscription

Каждому запросу клиента на управление ресурсом в определенной подписке требуется, чтобы у пользователя была учетная запись в связанном клиенте Microsoft Entra.

Следующим проверяется, имеет ли пользователь необходимые права на выполнение запроса. Разрешения присваиваются пользователям с помощью механизма управления доступом на основе ролей (RBAC).

Users assigned to Azure roles

Роль Azure указывает набор разрешений, которые пользователь может взять на себя определенный ресурс. Эти разрешения применяются после назначения роли пользователю. Например, встроенная роль владельца позволяет пользователю выполнять любое действие в ресурсе.

На следующем этапе проверяется, разрешен ли запрос согласно параметрам, заданным в политике ресурсов Azure. Политики ресурсов Azure указывают операции, разрешенные в конкретном ресурсе. Например, в соответствии с политикой ресурсов Azure пользователи смогут развертывать только определенные типы виртуальной машины.

Azure resource policy

На следующем этапе проверяется, не превышает ли запрос ограничения подписки Azure. Например, каждая подписка может максимально содержать 980 групп ресурсов. Если вы получили запрос на развертывание другой группы ресурсов по достижении предела, отклоните его.

Diagram of Azure resource limits.

В последнюю очередь проверяется, остается ли запрос в рамках финансовых обязательств, которые вы связываете с подпиской. Например, если отправляется запрос на развертывание виртуальной машины, Azure Resource Manager проверяет платежную информацию в подписке.

Diagram of a financial commitment associated with a subscription.

Итоги

Из этой статьи вы узнали об управлении доступом к ресурсам в Azure с помощью Azure Resource Manager.

Следующие шаги

Узнайте больше о внедрении облака в разделе Microsoft Cloud Adoption Framework для Azure.