Creación de grupos de administración
Las organizaciones que usan varias suscripciones necesitan una manera eficaz de administrar el acceso, las directivas y el cumplimiento. Los grupos de administración de Azure ofrecen un nivel de ámbito y control que está por encima de las suscripciones. Puede usar grupos de administración como contenedores para administrar el acceso, la directiva y el cumplimiento en todas las suscripciones.
Aspectos que debe saber sobre los grupos de administración
Tenga en cuenta las características siguientes de los grupos de administración de Azure:
De manera predeterminada, todas las suscripciones nuevas se colocan en el grupo de administración de nivel superior o grupo raíz.
Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones aplicadas a ese grupo de administración.
Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad.
La autorización de control de acceso basado en rol de Azure para las operaciones del grupo de administración no está habilitada de manera predeterminada.
En el diagrama siguiente se muestra cómo se pueden usar los grupos de administración de Azure para organizar las suscripciones en una jerarquía de administración unificada de directivas y acceso. En este escenario, la organización tiene un único grupo de administración de nivel superior. Todos los directorios del grupo raíz se contraen en el grupo de nivel superior.
Aspectos que se deben tener en cuenta al usar grupos de administración
Revise las siguientes formas de usar grupos de administración en Azure Policy para administrar las suscripciones:
Considere las jerarquías y grupos personalizados. Alinee las suscripciones de Azure mediante jerarquías personalizadas y agrupaciones que satisfagan la estructura organizativa y los escenarios empresariales de la empresa. Puede usar grupos de administración para dirigirse a directivas y presupuestos de gasto entre suscripciones.
Considere la herencia de directivas. Controle la herencia jerárquica de acceso y privilegios en las definiciones de directiva. Todas las suscripciones dentro de un grupo de administración heredan las condiciones que se aplican al grupo de administración. Puede aplicar directivas a un grupo de administración para limitar las regiones disponibles para crear máquinas virtuales (VM). La directiva se puede aplicar a todos los grupos de administración, suscripciones y recursos del grupo de administración inicial, para asegurarse de que las máquinas virtuales solo se crean en las regiones especificadas.
Considere las reglas de cumplimiento. Organice las suscripciones en grupos de administración para ayudar a satisfacer las reglas de cumplimiento de departamentos y equipos individuales.
Considere los informes de costos. Use grupos de administración para realizar informes de costos por departamento o para escenarios empresariales específicos. Puede usar grupos de administración para informar sobre los detalles presupuestarios entre suscripciones.
Creación de grupos de administración
Puede crear un grupo de administración con Azure Policy mediante Azure Portal, PowerShell o la CLI de Azure. Este es un ejemplo de lo que verá en Azure Portal:
Un grupo de administración tiene un identificador (id.) único de directorio y un nombre para mostrar. El id. se usa para enviar comandos en el grupo de administración. El valor del id. no se puede cambiar después de crearlo porque se usa en todo el sistema de Azure para identificar el grupo de administración. El nombre para mostrar del grupo de administración es opcional y se puede cambiar en cualquier momento.