Freigeben über

Vergleichen von AWS- und Azure-Konten

  • Artikel

In diesem Artikel wird die Konto- und Organisationsstruktur von Azure mit der von Amazon Web Services (AWS) verglichen.

Links zu Artikeln, die andere AWS- und Azure-Dienste vergleichen und eine vollständige Servicezuordnung zwischen AWS und Azure herstellen, finden Sie unter Azure für AWS-Experten.

Verwalten der Kontohierarchie

Eine typische AWS-Umgebung verwendet eine Organisationsstruktur wie die im folgenden Diagramm. Es gibt einen Organisationsstamm und optional ein dediziertes AWS-Verwaltungskonto. Dem Stamm sind Organisationseinheiten untergeordnet, die verwendet werden können, um verschiedene Richtlinien auf verschiedene Konten anzuwenden. AWS-Ressourcen verwenden oft ein AWS-Konto als logische Grenze und als Abrechnungsgrenze.

Diagramm der Organisationsstruktur eines typischen AWS-Kontos.

Eine Azure-Struktur sieht ähnlich aus, bietet aber anstelle eines dedizierten Verwaltungskontos Administratorberechtigungen für den Mandanten. Dieses Design beseitigt die Notwendigkeit eines gesamten Kontos nur für die Verwaltung. Im Gegensatz zu AWS verwendet Azure Ressourcengruppen als grundlegende Einheit. Ressourcen müssen Ressourcengruppen zugewiesen werden, und Berechtigungen können auf Ressourcengruppenebene angewendet werden.

Diagramm einer typischen Azure-Kontoverwaltungsstruktur.

AWS-Verwaltungskonto versus Azure-Mandant

Wenn Sie in Azure ein Azure-Konto erstellen, wird ein Microsoft Entra-Mandant erstellt. In diesem Mandanten können Sie Ihre Benutzer, Gruppen und Anwendungen verwalten. Azure-Abonnements werden unter dem Mandanten erstellt. Ein Microsoft Entra-Mandant bietet Identitäts- und Zugriffsverwaltung. Dadurch wird sichergestellt, dass authentifizierte und autorisierte Benutzer nur auf die Ressourcen zugreifen können, für die sie über Berechtigungen verfügen. 

AWS-Konten im Vergleich zu Azure-Abonnements

In Azure ist das Äquivalent eines AWS-Kontos das Azure-Abonnement. Azure-Abonnements sind logische Einheiten von Azure-Diensten, die mit einem Azure-Konto in einem Microsoft Entra-Mandanten verknüpft sind. Jedes Abonnement ist mit einem Abrechnungskonto verknüpft und stellt die Grenze bereit, in der Ressourcen erstellt, verwaltet und in Rechnung gestellt werden. Abonnements sind wichtig, um die Kostenzuteilung zu verstehen und Budgetlimits einzuhalten. Sie helfen Ihnen sicherzustellen, dass jeder verwendete Dienst korrekt nachverfolgt und in Rechnung gestellt wird. Azure-Abonnements, z. B. AWS-Konten, fungieren auch als Grenzen für Ressourcenkontingente und -beschränkungen. Einige Ressourcenkontingente sind anpassbar, andere sind jedoch nicht.

Der kontoübergreifende Ressourcenzugriff in AWS ermöglicht den Zugriff auf Ressourcen aus einem AWS-Konto oder die Verwaltung durch ein anderes AWS-Konto. AWS verfügt außerdem über Identitäts- und Zugriffsverwaltungsrollen (IAM) und ressourcenbasierte Richtlinien für den Zugriff auf Ressourcen über Konten hinweg. In Azure können Sie Benutzern und Diensten in verschiedenen Abonnements Zugriff gewähren, indem Sie die rollenbasierte Zugriffssteuerung (RBAC) verwenden, die in verschiedenen Bereichen (Verwaltungsgruppe, Abonnement, Ressourcengruppe oder einzelne Ressourcen) angewendet wird.

AWS-OUs im Vergleich zu Azure-Verwaltungsgruppen

In Azure ist das Äquivalent von AWS-Organisationseinheiten (OUs) Verwaltungsgruppen. Beide werden verwendet, um Cloudressourcen auf hoher Ebene über mehrere Konten oder Abonnements hinweg zu organisieren und zu verwalten. Sie können Azure-Verwaltungsgruppen verwenden, um Zugriff, Richtlinien und Compliance für Azure-Abonnements effizient zu verwalten. Die Governance-Bedingungen, die auf der Ebene der Verwaltungsgruppen angewendet werden, werden durch Vererbung an alle zugehörigen Abonnements weitergegeben.

Wichtige Fakten zu Verwaltungsgruppen und Abonnements:

  • Ein einzelnes Verzeichnis unterstützt bis zu 10.000 Verwaltungsgruppen.

  • Ein Verwaltungsgruppenbaum unterstützt bis zu sechs Tiefenebenen.

  • Jede Verwaltungsgruppe und jedes Abonnement kann nur über ein übergeordnetes Element verfügen.

  • Jede Verwaltungsgruppe kann mehrere untergeordnete Elemente besitzen.

  • Alle Abonnements und Verwaltungsgruppen befinden sich innerhalb einer einzigen Hierarchie in jedem Verzeichnis.

  • Die Anzahl der Abonnements pro Verwaltungsgruppe ist unbegrenzt.

Die Stammverwaltungsgruppe ist die Verwaltungsgruppe der obersten Ebene, die den einzelnen Verzeichnissen zugeordnet ist. Alle Verwaltungsgruppen und Abonnements werden in der Stammverwaltungsgruppe zusammengefasst. Mit diesem Design können Sie globale Richtlinien und Azure-Rollenzuweisungen auf Verzeichnisebene implementieren.

Dienststeuerungsrichtlinien vs. Azure-Richtlinien

Das Hauptziel von Service Control Policies (SCP) in AWS besteht darin, die maximalen effektiven Berechtigungen innerhalb eines AWS-Kontos einzuschränken. In Azure werden maximale Berechtigungen in Microsoft Entra definiert und können auf Mandanten-, Abonnement- oder Ressourcengruppenebene angewendet werden. Azure Policy verfügt über eine vielzahl von Anwendungsfällen, von denen einige mit typischen SCP-Verwendungsmustern übereinstimmen. Sie können sowohl SCPs als auch Azure-Richtlinien verwenden, um die Einhaltung von Unternehmensstandards wie Tagging oder die Verwendung bestimmter SKUs zu erzwingen. Sowohl SCPs als auch Azure-Richtlinien können die Bereitstellung von Ressourcen blockieren, die die Complianceanforderungen nicht erfüllen. Azure-Richtlinien können proaktiver sein als SCPs und können Korrekturen auslösen, um Ressourcen in Compliance zu bringen. Azure-Richtlinien können auch vorhandene Ressourcen und zukünftige Bereitstellungen bewerten.

Vergleich der Struktur und des Besitzes von AWS-Konten und Azure-Abonnements

Ein Azure-Konto stellt eine Abrechnungsbeziehung dar, und Azure-Abonnements helfen Ihnen beim Organisieren des Zugriffs auf Azure-Ressourcen. Kontoadministrator, Dienstadministrator und Co-Administrator sind die drei Rollen für „Administrator für klassisches Abonnement“ in Azure:

  • Kontoadministrator Der Abonnementbesitzer und der Abrechnungsbesitzer, für das die im Abonnement verwendeten Ressourcen in Rechnung gestellt werden. Eine Änderung des Kontoadministrators ist nur durch Übertragung des Abonnementbesitzes möglich. Pro Azure-Konto wird nur ein Kontoadministrator zugewiesen.

  • Dienstadministrator Dieser Benutzer verfügt über Rechte zum Erstellen und Verwalten von Ressourcen im Abonnement, ist jedoch nicht für die Abrechnung verantwortlich. Standardmäßig ist der Kontoadministrator für ein neues Abonnement gleichzeitig auch der Dienstadministrator. Der Kontoadministrator kann dem Serviceadministrator einen separaten Benutzer für die Verwaltung technischer und betrieblicher Aufgaben eines Abonnements zuweisen. Pro Abonnement wird nur ein Serviceadministrator zugewiesen.

  • Co-Administrator Einem Abonnement können mehrere Co-Administratoren zugewiesen sein. Co-Administratoren verfügen über dieselben Zugriffsrechte wie der Dienstadministrator, aber sie können den Dienstadministrator nicht ändern.

Unter der Abonnementebene können Benutzerrollen und individuelle Berechtigungen auch bestimmten Ressourcen zugewiesen werden, ähnlich wie berechtigungen für IAM-Benutzer und -Gruppen in AWS erteilt werden. In Azure werden alle Benutzerkonten entweder einem Microsoft-Konto oder einem Organisationskonto zugeordnet (ein Konto, das über die Microsoft Entra-ID verwaltet wird).

Wie bei AWS-Konten gelten für Abonnements standardmäßige Dienstkontingente und -einschränkungen. Eine vollständige Liste zu diesen Einschränkungen finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen. Diese Einschränkungen können bis zum Maximalwert erhöht werden, wenn Sie eine entsprechende Supportanfrage im Verwaltungsportal stellen.

Beitragende

Dieser Artikel wird von Microsoft verwaltet. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.

Hauptautor:

Andere Mitwirkende:

Um nicht öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächste Schritte