Краткое руководство. Создание группы управления с помощью REST API

Группы управления являются контейнерами для удобства управления доступом, политикой и соответствием в нескольких подписках. Создание таких контейнеров позволяет построить эффективную и экономную иерархию, которую можно использовать с политикой Azure и элементами управления доступом на основе ролей Azure. Дополнительные сведения о группах управления см. в статье Упорядочение ресурсов с помощью групп управления Azure.

Создание первой группы управления в каталоге может занять до 15 минут. Существуют процессы, выполняемые в первый раз при настройке службы групп управления в Azure для вашего каталога. По завершении процесса вы получите уведомление. См. сведения о начальной настройке групп управления.

Необходимые компоненты

  • Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

  • Установите ARMClient, если его у вас еще нет. Это средство, которое отправляет HTTP-запросы к REST API на основе Azure Resource Manager.

  • Любой пользователь Microsoft Entra ID в клиенте может создать группу управления без разрешения на запись группы управления, назначенной пользователю, если защита иерархии не включена. Эта новая группа управления становится дочерним элементом корневой группы управления или группы управления по умолчанию, а создатель получает назначение роли владельца. Служба группы управления обеспечивает эту возможность, чтобы назначения ролей не требовались на корневом уровне. При создании корневой группы управления пользователи не имеют доступа к ней. Чтобы начать использование групп управления, служба позволяет создавать начальные группы управления на корневом уровне. Дополнительные сведения см. в разделе "Корневая группа управления" для каждого каталога.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. Снимок экрана: пример открытия Azure Cloud Shell с помощью кнопки
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. Кнопка запуска Azure Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. Снимок экрана: кнопка

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

  1. Запустите Cloud Shell.

  2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

  3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

  4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Создание с помощью REST API

Чтобы создать новую группу управления в REST API, используйте конечную точку Группы управления — Создание или обновление. В нашем примере группа управления GroupId — это Contoso.

  • Универсальный код ресурса (URI) REST API

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • Без текста запроса

GroupId — это уникальный создаваемый идентификатор. Этот идентификатор используется в других командах для обращения к этой группе. Его нельзя изменить позже.

Если требуется, чтобы группа управления отображала другое имя на портале Azure, добавьте свойство properties.displayName в текст запроса. Например, чтобы создать группу управления с идентификатором groupId для Contoso и отображаемым именем Contoso Group, используйте следующие конечную точку и текст запроса:

  • Универсальный код ресурса (URI) REST API

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • Текст запроса

    {
      "properties": {
        "displayName": "Contoso Group"
      }
    }
    

В приведенных выше примерах новая группа управления создается в корневой группе управления. Чтобы указать другую группу управления в качестве родительской, используйте свойство properties.parent.id.

  • Универсальный код ресурса (URI) REST API

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • Текст запроса

    {
      "properties": {
        "displayName": "Contoso Group",
        "parent": {
          "id": "/providers/Microsoft.Management/managementGroups/HoldingGroup"
        }
      }
    }
    

Очистка ресурсов

Чтобы удалить созданную ранее группу управления, используйте конечную точку Группы управления — Удалить:

  • Универсальный код ресурса (URI) REST API

    DELETE https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • Без текста запроса

Следующие шаги

В этом кратком руководстве показано, как создать группу управления для организации иерархии ресурсов. Группа управления может содержать подписки и другие группы управления.

Чтобы узнать больше о группах управления и управлении иерархией ресурсов, см. следующее руководство: