Porovnání účtů AWS a Azure

Tento článek porovnává účet a organizační strukturu Azure se službou Amazon Web Services (AWS).

Odkazy na články, které porovnávají další služby AWS a Azure a kompletní mapování služeb mezi AWS a Azure, najdete v tématu azure pro odborníky na AWS.

Správa hierarchie účtů

Typické prostředí AWS používá organizační strukturu, jako je ta v následujícím diagramu. Existuje kořenový adresář organizace a volitelně vyhrazený účet pro správu AWS. Pod kořenem jsou organizační jednotky, které je možné použít k použití různých zásad na různé účty. Prostředky AWS často používají účet AWS jako logickou a fakturační hranici.

Diagram znázorňující účet AWS Existuje kořenový adresář organizace a volitelný účet pro správu AWS. Pod kořenem organizace jsou organizační jednotky. Pod organizačními jednotkami jsou účty a prostředky AWS.

Struktura Azure vypadá podobně, ale místo vyhrazeného účtu pro správu poskytuje oprávnění správce pro tenanta. Tento návrh eliminuje potřebu celého účtu jen pro správu. Azure na rozdíl od AWS používá skupiny prostředků jako základní jednotku. Prostředky musí být přiřazeny ke skupinám prostředků a oprávnění se dají použít na úrovni skupiny prostředků.

Diagram znázorňující hierarchii účtu Azure Proudí od tenanta ke skupinám pro správu, k předplatným, ke skupinám prostředků a k prostředkům.

Účet pro správu AWS vs. tenant Azure

Když v Azure vytvoříte účet Azure, vytvoří se tenant Microsoft Entra. V tomto tenantovi můžete spravovat uživatele, skupiny a aplikace. Předplatná Azure se vytvářejí v rámci tenanta. Tenant Microsoft Entra poskytuje správu identit a přístupu. Pomáhá zajistit, aby ověření a autorizovaní uživatelé měli přístup jenom k prostředkům, pro které mají oprávnění. 

Účty AWS vs. předplatná Azure

Ekvivalentem účtu AWS v Azure je předplatné Azure. Předplatná Azure jsou logické jednotky služeb Azure, které jsou propojené s účtem Azure v tenantovi Microsoft Entra. Každé předplatné je propojené s fakturačním účtem a poskytuje hranici, ve které se vytvářejí, spravují a fakturují prostředky. Předplatná jsou důležitá pro pochopení alokace nákladů a dodržování limitů rozpočtu. Pomáhají vám zajistit, aby se všechny použité služby sledovaly a účtovaly správně. Předplatná Azure, jako jsou účty AWS, fungují také jako hranice pro kvóty a limity prostředků. Některé kvóty prostředků se dají upravit, ale jiné ne.

Přístup k prostředkům mezi účty v AWS umožňuje prostředkům z jednoho účtu AWS být přístupny nebo spravovány jiným účtem AWS. AWS má také role správy identit a přístupu (IAM) a zásady založené na prostředcích pro přístup k prostředkům napříč účty. V Azure můžete udělit přístup uživatelům a službám v různých předplatných pomocí řízení přístupu na základě role (RBAC), které se použije v různých oborech (skupina pro správu, předplatné, skupina prostředků nebo jednotlivé prostředky).

AWS OUs vs. skupiny pro správu Azure

Ekvivalentem organizačních jednotek AWS v Azure jsou skupiny pro správu. Obě se používají k uspořádání a správě cloudových prostředků na vysoké úrovni napříč několika účty nebo předplatnými. Skupiny pro správu Azure můžete použít k efektivní správě přístupu, zásad a dodržování předpisů pro předplatná Azure. Podmínky správy použité na úrovni skupiny pro správu se aplikují na všechna přidružená předplatná.

Důležitá fakta o skupinách pro správu a předplatných:

• Jeden adresář podporuje až 10 000 skupin pro správu.

• Strom skupiny pro správu podporuje až šest úrovní hierarchie.

• Každá skupina pro správu a předplatné může mít pouze jednoho nadřazeného.

• Každá skupina pro správu může mít více podřízených skupin.

• Všechna předplatná a skupiny pro správu jsou v rámci jedné hierarchie v každém adresáři.

• Počet předplatných pro skupinu pro správu je neomezený.

Skupina pro správu na nejvyšší úrovni je kořenová skupina, která je napojená na každý adresář. Všechny skupiny pro správu a předplatná spadají pod kořenovou skupinu. Tento návrh umožňuje implementovat globální zásady a přiřazení rolí Azure na úrovni adresáře.

Zásady řízení služeb vs. Azure Policy

Hlavním cílem zásad řízení služeb (SCP) v AWS je omezit maximální efektivní oprávnění v rámci účtu AWS. V Azure se v Microsoft Entra definují maximální oprávnění a dají se použít na úrovni tenanta, předplatného nebo skupiny prostředků. Azure Policy má širokou škálu případů použití, z nichž několik odpovídá typickým vzorům použití SCP. Zásady SCPS i Azure můžete použít k vynucení dodržování podnikových standardů, jako je označování nebo použití konkrétních skladových položek. ScPs i zásady Azure můžou blokovat nasazení prostředků, které nesplňují požadavky na dodržování předpisů. Zásady Azure mohou být proaktivnější než SCPs a mohou spustit nápravná opatření, aby byly prostředky v souladu s předpisy. Zásady Azure také můžou vyhodnotit stávající prostředky i budoucí nasazení.

Porovnání struktury a vlastnictví účtů AWS s předplatnými Azure

Účet Azure představuje fakturační vztah a předplatná Azure vám pomůžou uspořádat přístup k prostředkům Azure. Správce účtu, správce služeb a spolusprávce jsou tři klasické role správce předplatného v Azure:

• Správce účtu. Vlastník předplatného a vlastník fakturace pro prostředky použité v předplatném. Správce účtu může být změněn pouze převedením vlastnictví předplatného. Pro každý účet Azure je přiřazen pouze jeden správce účtu.

• Správce služeb. Tento uživatel má práva vytvářet a spravovat prostředky v předplatném, ale není zodpovědný za fakturaci. Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce účtu může správci služby přiřadit samostatného uživatele pro správu technických a provozních aspektů předplatného. Pro každé předplatné je přiřazen pouze jeden správce služeb.

• Spolusprávce. K předplatnému může být přiřazeno více spolusprávníků. Spolusprávci mají stejná přístupová oprávnění jako správce služeb, ale nemůžou změnit správce služeb.

Pod úrovní předplatného je možné přiřadit také role uživatelů a jednotlivá oprávnění ke konkrétním prostředkům, podobně jako oprávnění udělená uživatelům a skupinám IAM v AWS. V Azure jsou všechny uživatelské účty přidružené k účtu Microsoft nebo účtu organizace (účet spravovaný prostřednictvím ID Microsoft Entra).

Podobně jako u účtů AWS mají předplatná výchozí kvóty a limity služby. Úplný seznam těchto limitů najdete v článku Limity, kvóty a omezení předplatného a služeb Azure. Tyto limity můžete zvýšit až na dostupné maximum odesláním žádosti o podporu na portálu správy.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Srinivasaro Thumala | Vedoucí zákaznický inženýr

Další přispěvatel:

• Adam Cerini | Ředitel, Partner Technology Strategist

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Role Azure, role Microsoft Entra a klasické role správce předplatného
• Přidání nebo změna správců předplatného Azure
• Stažení nebo zobrazení faktury za Azure

Související prostředky

• porovnání možností sítí AWS a Azure
• porovnání správy prostředků AWS a Azure