Comparación de cuentas de AWS y Azure

En este artículo se compara la cuenta y la estructura organizativa de Azure con la de Amazon Web Services (AWS).

Para obtener vínculos a artículos que comparan otros servicios de AWS y Azure y una asignación completa de servicios entre AWS y Azure, consulte Azure para profesionales de AWS.

Administración de la jerarquía de cuentas

Un entorno típico de AWS usa una estructura organizativa como la del diagrama siguiente. Hay una raíz de organización y, opcionalmente, una cuenta de administración de AWS dedicada. Debajo de la raíz se muestran unidades organizativas que se pueden usar para aplicar directivas diferentes a diferentes cuentas. Los recursos de AWS suelen usar una cuenta de AWS como límite lógico y de facturación.

Diagrama que muestra una cuenta de AWS. Hay una raíz de la organización y una cuenta opcional de administración de AWS. Debajo de la raíz de la organización, hay unidades organizativas. Debajo de las unidades organizativas, hay cuentas y recursos de AWS.

Una estructura de Azure tiene un aspecto similar, pero, en lugar de una cuenta de administración dedicada, proporciona permisos administrativos en el inquilino. Este diseño elimina la necesidad de una cuenta completa solo para la administración. A diferencia de AWS, Azure usa grupos de recursos como una unidad fundamental. Los recursos deben asignarse a grupos de recursos y se pueden aplicar permisos en el nivel de grupo de recursos.

Diagrama que muestra la jerarquía de cuentas de Azure. Fluye de inquilino a grupos de administración, a suscripciones, a grupos de recursos y a recursos.

Cuenta de administración de AWS vs. entidad de Azure

En Azure, al crear una cuenta de Azure, se crea un inquilino de Microsoft Entra. Usted puede administrar los usuarios, grupos y aplicaciones de este entorno. Las suscripciones de Azure se crean bajo este inquilino. Un inquilino de Microsoft Entra proporciona administración de identidades y acceso. Ayuda a garantizar que los usuarios autenticados y autorizados solo puedan acceder a los recursos para los que tienen permisos. 

Cuentas de AWS frente a suscripciones de Azure

En Azure, el equivalente de una cuenta de AWS es la suscripción de Azure. Las suscripciones de Azure son unidades lógicas de servicios de Azure que están vinculadas a una cuenta de Azure en un entorno de Microsoft Entra. Cada suscripción está vinculada a una cuenta de facturación y proporciona el límite dentro del cual se crean, administran y facturan los recursos. Las suscripciones son importantes para comprender la asignación de costos y cumplir los límites presupuestarios. Le ayudan a asegurarse de que se realiza un seguimiento de todos los servicios usados y se facturan correctamente. Las suscripciones de Azure, como las cuentas de AWS, también actúan como límites para las cuotas y límites de recursos. Algunas cuotas de recursos son ajustables, pero otras no.

El acceso a recursos entre cuentas en AWS permite que otra cuenta de AWS acceda a los recursos de una cuenta de AWS o la administre. AWS también tiene roles de administración de identidades y acceso (IAM) y directivas basadas en recursos para acceder a los recursos entre cuentas. En Azure, puede conceder acceso a usuarios y servicios en distintas suscripciones mediante el control de acceso basado en rol (RBAC), que se aplica en distintos ámbitos (grupo de administración, suscripción, grupo de recursos o recursos individuales).

Unidades organizativas de AWS frente a grupos de administración de Azure

En Azure, el equivalente de unidades organizativas (UO) de AWS es grupos de administración. Ambos se usan para organizar y administrar recursos en la nube en un nivel alto en varias cuentas o suscripciones. Puede usar grupos de administración de Azure para administrar de forma eficaz el acceso, las directivas y el cumplimiento de las suscripciones de Azure. Las condiciones de gobernanza aplicadas en el nivel de grupo de administración se aplican en cascada a todas las suscripciones asociadas a través de la herencia.

Hechos importantes sobre los grupos de administración y las suscripciones:

• Un único directorio admite hasta 10 000 grupos de administración.

• Un árbol de grupo de administración admite hasta seis niveles de profundidad.

• Cada grupo de administración y suscripción solo pueden admitir un elemento primario.

• Cada grupo de administración puede tener varios elementos secundarios.

• Todas las suscripciones y grupos de administración se encuentran dentro de una sola jerarquía en cada directorio.

• El número de suscripciones por grupo de administración es ilimitado.

El grupo de administración raíz es el grupo de administración de nivel superior asociado a cada directorio. Todos los grupos de administración y suscripciones se integran en el grupo de administración raíz. Este diseño le permite implementar directivas globales y asignaciones de roles de Azure en el nivel de directorio.

Directivas de control de servicio frente a Azure Policy

El objetivo principal de las directivas de control de servicio (SCP) en AWS es limitar los permisos efectivos máximos dentro de una cuenta de AWS. En Azure, los permisos máximos se definen en Microsoft Entra y se pueden aplicar en el nivel de inquilino, suscripción o grupo de recursos. Azure Policy tiene una amplia gama de casos de uso, algunos de los cuales se alinean con los patrones de uso típicos de SCP. Puede usar scps y directivas de Azure para aplicar el cumplimiento de los estándares empresariales, como el etiquetado o el uso de SKU específicas. Tanto los SCP como las directivas de Azure pueden bloquear la implementación de recursos que no cumplen los requisitos de cumplimiento. Las directivas de Azure pueden ser más proactivas que las SCP y pueden desencadenar correcciones para que los recursos se cumplan. Las directivas de Azure también pueden evaluar los recursos existentes y las implementaciones futuras.

Comparación de la estructura y la propiedad de las cuentas de AWS con suscripciones de Azure

Una cuenta de Azure representa una relación de facturación y las suscripciones de Azure le ayudan a organizar el acceso a los recursos de Azure. Administrador de cuenta, administrador de servicios y coadministrador son las tres variantes de roles de administrador de suscripciones clásicas de Azure:

• Administrador de cuenta. El propietario de la suscripción y el propietario de la facturación de los recursos usados en dicha suscripción. El administrador de cuenta solo puede cambiarse mediante la transferencia de propiedad de la suscripción. Solo se asigna un administrador de cuenta por cuenta de Azure.

• Administrador de servicios. Este usuario tiene derechos para crear y administrar recursos en la suscripción, pero no es responsable de la facturación. De forma predeterminada, en una nueva suscripción, el administrador de cuenta es también el administrador de servicios. El administrador de cuenta puede asignar un usuario distinto al administrador de servicios para administrar los aspectos técnicos y operativos de una suscripción. Solo se asigna un administrador de servicios por suscripción.

• Coadministrador. Puede haber varios coadministradores asignados a una suscripción. Los coadministradores tienen los mismos privilegios de acceso que el administrador de servicios, pero no pueden cambiar el administrador de servicios.

Debajo del nivel de suscripción, los roles de usuario y los permisos individuales también se pueden asignar a recursos específicos, de forma similar a cómo se conceden permisos a usuarios y grupos de IAM en AWS. En Azure, todas las cuentas de usuario están asociadas a una cuenta Microsoft o a una cuenta de organización (una cuenta administrada a través de Microsoft Entra ID).

Al igual que las cuentas de AWS, las suscripciones tienen límites y cuotas de servicio predeterminados. Para ver una lista detallada de estos límites, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure. Estos límites se pueden aumentar hasta el máximo mediante la presentación de una solicitud de soporte técnico en el portal de administración.

Colaboradores

Microsoft mantiene este artículo. Originalmente fue escrito por los siguientes colaboradores.

Autor principal:

• Srinivasaro Thumala | Ingeniero superior de clientes

Otro colaborador:

• Adam Cerini | Director y creador de estrategias de tecnología de asociados

Para ver perfiles de LinkedIn no públicos, inicie sesión en LinkedIn.

Pasos siguientes

• Roles de Azure, roles de Microsoft Entra y roles de administrador de la suscripción clásica
• Agregar o cambiar administradores de suscripciones de Azure
• Descarga o ver tu factura de Azure

Recursos relacionados

• comparar las opciones de red de AWS y Azure
• Comparar la gestión de recursos de AWS y Azure