Kaynak hiyerarşinizi koruma
Kaynaklarınız, kaynak gruplarınız, abonelikleriniz, yönetim gruplarınız ve kiracınız kaynak hiyerarşinizi oluşturur. Kök yönetim grubundaki Azure özel rolleri veya ilke atamaları gibi ayarlar, kaynak hiyerarşinizdeki her kaynağı etkileyebilir. Kaynak hiyerarşisini tüm kaynakları olumsuz etkileyebilecek değişikliklerden korumak önemlidir.
Yönetim grupları, kiracı yöneticisinin bu davranışları denetlemesini sağlayan hiyerarşi ayarlarına sahiptir. Bu makale, kullanılabilir hiyerarşi ayarlarının her birini ve bunların nasıl ayarlandığını kapsar.
Hiyerarşi ayarları için Azure RBAC izinleri
Hiyerarşi ayarlarını yapılandırmak için kök yönetim grubunda aşağıdaki kaynak sağlayıcısı işlemleri gerekir:
Microsoft.Management/managementgroups/settings/write
Microsoft.Management/managementgroups/settings/read
Bu işlemler Azure rol tabanlı erişim denetimi (Azure RBAC) izinlerini temsil eder. Bunlar yalnızca kullanıcının hiyerarşi ayarlarını okumasına ve güncelleştirmesine izin verir. Yönetim grubu hiyerarşisine veya hiyerarşideki kaynaklara başka erişim sağlamaz.
Bu işlemlerin her ikisi de Azure yerleşik rol Hiyerarşi Ayarları Yöneticisi'nde kullanılabilir.
Ayar: Varsayılan yönetim grubunu tanımlama
Varsayılan olarak, kiracıya eklediğiniz yeni bir abonelik kök yönetim grubunun üyesi olur. Kök yönetim grubuna ilke atamaları, Azure RBAC ve diğer idare yapıları atarsanız, bunlar bu yeni abonelikleri hemen etkiler. Bu nedenle, birçok kuruluş bu yapıları atamak için istenen yer olsa bile kök yönetim grubunda uygulamaz. Diğer durumlarda, kuruluş yeni abonelikler için daha kısıtlayıcı bir denetim kümesi ister ancak bunları tüm aboneliklere atamak istemez. Bu ayar her iki kullanım örneğini de destekler.
Yeni abonelikler için varsayılan yönetim grubunun tanımlanmasına izin vererek, kök yönetim grubunda kuruluş genelinde idare yapıları uygulayabilirsiniz. İlke atamalarıyla veya yeni abonelik için daha uygun olan Azure rol atamalarıyla ayrı bir yönetim grubu tanımlayabilirsiniz.
Portalda varsayılan yönetim grubunu tanımlama
Azure Portal’ında oturum açın.
Yönetim grupları'nı aramak ve seçmek için arama çubuğunu kullanın.
Kök yönetim grubunu seçin.
Sayfanın sol tarafındaki Ayarlar'ı seçin.
Varsayılan yönetim grubunu değiştir düğmesini seçin.
Varsayılan yönetim grubunu değiştir düğmesi kullanılamıyorsa, bunun nedeni şu koşullardan biridir:
- Görüntülediğiniz yönetim grubu kök yönetim grubu değildir.
- Güvenlik sorumlunuzun hiyerarşi ayarlarını değiştirmek için gerekli izinleri yoktur.
Hiyerarşinizden bir yönetim grubu seçin ve ardından Seç düğmesini seçin.
REST API kullanarak varsayılan yönetim grubunu tanımlama
REST API kullanarak varsayılan yönetim grubunu tanımlamak için Hiyerarşi Ayarları uç noktasını çağırmanız gerekir. Aşağıdaki REST API URI'sini ve gövde biçimini kullanın. değerini kök yönetim grubunuzun kimliğiyle değiştirin {rootMgID}
. değerini, varsayılan yönetim grubu olacak yönetim grubunun kimliğiyle değiştirin {defaultGroupID}
.
REST API URI'si:
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
İstek gövdesi:
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Varsayılan yönetim grubunu kök yönetim grubuna geri ayarlamak için aynı uç noktayı kullanın ve değerine /providers/Microsoft.Management/managementGroups/{rootMgID}
ayarlayındefaultManagementGroup
.
Ayar: Yetkilendirme gerektir
Varsayılan olarak tüm kullanıcılar kiracıda yeni yönetim grupları oluşturabilir. Bir kiracının yöneticileri, yönetim grubu hiyerarşisinde tutarlılığı ve uyumluluğu korumak için bu izinleri yalnızca belirli kullanıcılara sağlamak isteyebilir. Alt yönetim grupları oluşturmak için, bir kullanıcı kök yönetim grubunda işlemi gerektirir Microsoft.Management/managementGroups/write
.
Portalda yetkilendirme gerektir
Azure Portal’ında oturum açın.
Yönetim grupları'nı aramak ve seçmek için arama çubuğunu kullanın.
Kök yönetim grubunu seçin.
Sayfanın sol tarafındaki Ayarlar'ı seçin.
Yeni yönetim grupları oluşturma izinleri iki durumlu düğmesini açın.
Yeni yönetim grupları oluşturmak için yazma izinleri gerektir iki durumlu düğmesi kullanılamıyorsa, bunun nedeni şu koşullardan biridir:
- Görüntülediğiniz yönetim grubu kök yönetim grubu değildir.
- Güvenlik sorumlunuzun hiyerarşi ayarlarını değiştirmek için gerekli izinleri yoktur.
REST API kullanarak yetkilendirme iste
REST API kullanarak yetkilendirme istemek için Hiyerarşi Ayarları uç noktasını çağırın. Aşağıdaki REST API URI'sini ve gövde biçimini kullanın. Bu değer bir Boole değeridir, bu nedenle değer için veya false
değerini belirtintrue
. değeri true
, yönetim grubu hiyerarşinizi korumak için bu yöntemi etkinleştirir.
REST API URI'si:
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
İstek gövdesi:
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Ayarı kapatmak için aynı uç noktayı kullanın ve değerine false
ayarlayınrequireAuthorizationForGroupCreation
.
Azure PowerShell örneği
Azure PowerShell'in varsayılan yönetim grubunu tanımlamaya veya yetkilendirme gerektirmeye yönelik bir Az
komutu yoktur. Geçici bir çözüm olarak REST API'yi aşağıdaki Azure PowerShell örneğiyle kullanabilirsiniz:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
İlgili içerik
Yönetim grupları hakkında daha fazla bilgi almak için bkz.: