Comparer les comptes AWS et Azure

Cet article compare le compte et la structure organisationnelle d’Azure à celle d’Amazon Web Services (AWS).

Pour obtenir des liens vers des articles qui comparent d’autres services AWS et Azure et un mappage complet des services entre AWS et Azure, consultez Azure pour les professionnels AWS.

Gestion de la hiérarchie des comptes

Un environnement AWS classique utilise une structure organisationnelle comme celle du diagramme suivant. Il existe une racine d’organisation et éventuellement un compte de gestion AWS dédié. En dessous de la racine sont des unités d’organisation qui peuvent être utilisées pour appliquer différentes stratégies à différents comptes. Les ressources AWS utilisent souvent un compte AWS comme limite logique et de facturation.

Diagramme montrant un compte AWS. Il existe une racine d’organisation et un compte de gestion AWS facultatif. En dessous de la racine de l’organisation, il existe des unités organisationnelles. En dessous des unités organisationnelles, il existe des comptes et des ressources AWS.

Une structure Azure est similaire, mais au lieu d’un compte de gestion dédié, elle fournit des autorisations administratives sur le client. Cette conception élimine le besoin d’un compte entier uniquement pour la gestion. Contrairement à AWS, Azure utilise des groupes de ressources comme unité fondamentale. Les ressources doivent être affectées à des groupes de ressources et les autorisations peuvent être appliquées au niveau du groupe de ressources.

Diagramme montrant la hiérarchie des comptes Azure. Il passe d’un locataire à un groupe d’administration à des abonnements à des groupes de ressources vers des ressources.

Compte de gestion AWS vs. client Azure

Dans Azure, lorsque vous créez un compte Azure, un locataire Microsoft Entra est créé. Vous pouvez gérer vos utilisateurs, groupes et applications dans ce locataire. Les abonnements Azure sont créés sous le locataire (tenant). Une entité Microsoft Entra fournit une gestion des identités et des accès. Il permet de s’assurer que les utilisateurs authentifiés et autorisés peuvent accéder uniquement aux ressources pour lesquelles ils disposent d’autorisations. 

Comptes AWS et abonnements Azure

Dans Azure, l’équivalent d’un compte AWS est l’abonnement Azure. Les abonnements Azure sont des unités logiques de services Azure qui sont associés à un compte Azure dans un tenant Microsoft Entra. Chaque abonnement est lié à un compte de facturation et fournit la limite dans laquelle les ressources sont créées, gérées et facturées. Les abonnements sont importants pour comprendre l’allocation des coûts et respecter les limites budgétaires. Ils vous aident à vous assurer que chaque service utilisé est suivi et facturé correctement. Les abonnements Azure, tels que les comptes AWS, agissent également comme des limites pour les quotas et limites de ressources. Certains quotas de ressources sont réglables, mais d’autres ne le sont pas.

L’accès aux ressources inter-comptes dans AWS permet aux ressources d’un compte AWS d’être accessibles ou gérées par un autre compte AWS. AWS a également des rôles IAM (Identity and Access Management) et des stratégies basées sur les ressources pour accéder aux ressources entre les comptes. Dans Azure, vous pouvez accorder l’accès aux utilisateurs et aux services dans différents abonnements à l’aide du contrôle d’accès en fonction du rôle (RBAC), qui est appliqué à différentes étendues (groupe d’administration, abonnement, groupe de ressources ou ressources individuelles).

Unités d’organisation AWS et groupes d’administration Azure

Dans Azure, l’équivalent des unités d’organisation AWS est des groupes d’administration. Les deux sont utilisés pour organiser et gérer des ressources cloud à un niveau élevé sur plusieurs comptes ou abonnements. Vous pouvez utiliser des groupes d’administration Azure pour gérer efficacement l’accès, les stratégies et la conformité pour les abonnements Azure. Les conditions de gouvernance appliquées au niveau du groupe d’administration s’étendent à tous les abonnements associés via l’héritage.

Informations importantes sur les groupes d’administration et les abonnements :

• Un répertoire unique prend en charge autant de 10 000 groupes d’administration.

• Une arborescence de gestion supporte jusqu'à six niveaux de profondeur.

• Chaque groupe d’administration et chaque abonnement ne peut avoir qu’un seul parent.

• Chaque groupe d’administration peut avoir plusieurs enfants.

• Tous les abonnements et groupes d’administration se trouvent dans une hiérarchie unique dans chaque répertoire.

• Le nombre d’abonnements par groupe d’administration est illimité.

Le groupe d’administration racine est le groupe d’administration de niveau supérieur associé à chaque répertoire. Tous les groupes de gestion et abonnements sont rattachés au groupe de gestion racine. Cette conception vous permet d’implémenter des stratégies globales et des attributions de rôles Azure au niveau de l’annuaire.

Stratégies de contrôle de service et Azure Policy

L’objectif principal des stratégies de contrôle de service (SCP) dans AWS est de limiter les autorisations effectives maximales au sein d’un compte AWS. Dans Azure, les autorisations maximales sont définies dans Microsoft Entra et peuvent être appliquées au niveau du locataire, de l’abonnement ou du groupe de ressources. Azure Policy a un large éventail de cas d’usage, dont quelques-uns s’alignent sur des modèles d’utilisation SCP classiques. Vous pouvez utiliser les fournisseurs de services cloud et les stratégies Azure pour appliquer la conformité aux normes d’entreprise, telles que l’étiquetage ou l’utilisation de références SKU spécifiques. Les fournisseurs de services cloud et les stratégies Azure peuvent bloquer le déploiement de ressources qui ne répondent pas aux exigences de conformité. Les stratégies Azure peuvent être plus proactives que les fournisseurs de services cloud et déclencher des corrections pour mettre les ressources en conformité. Les stratégies Azure peuvent également évaluer les ressources existantes et les déploiements futurs.

Comparaison de la structure et de la propriété des comptes AWS avec les abonnements Azure

Un compte Azure représente une relation de facturation et les abonnements Azure vous aident à organiser l’accès aux ressources Azure. Dans Azure, les trois rôles d’administrateur d’abonnements classique sont Administrateur de comptes, Administrateur de services et Coadministrateur :

• Administrateur de comptes. Propriétaire de l’abonnement et de la facturation pour les ressources utilisées dans l’abonnement. L’administrateur de compte ne peut être modifié qu’en transférant la propriété de l’abonnement. Un seul administrateur de compte est attribué via le compte Azure.

• Administrateur de services. Cet utilisateur a des droits pour créer et gérer des ressources dans l’abonnement, mais n’est pas responsable de la facturation. Par défaut, pour un nouvel abonnement, l’administrateur de compte est également l’administrateur de services fédérés. L'administrateur du compte peut attribuer un utilisateur distinct à l'administrateur de service pour gérer les aspects techniques et opérationnels d'un abonnement. Un seul administrateur de service est attribué par abonnement.

• Coadministrateur. Il peut y avoir plusieurs Coadministrateur affectés à un abonnement. Les coadministrateurs disposent des mêmes privilèges d’accès que l’administrateur de service, mais ils ne peuvent pas modifier l’administrateur de service.

En dessous du niveau d’abonnement, les rôles d’utilisateur et les autorisations individuelles peuvent également être attribués à des ressources spécifiques, de la même façon que les autorisations sont accordées aux utilisateurs et groupes IAM dans AWS. Dans Azure, tous les comptes d’utilisateur sont associés à un compte Microsoft ou à un compte organisationnel (un compte géré via l’ID Microsoft Entra).

Comme les comptes AWS, les abonnements ont des quotas et des limites de service par défaut. Pour connaître la liste complète de ces limites, consultez Abonnement Azure et limites, quotas et contraintes du service. Ces limites peuvent être augmentées jusqu’à la limite maximale grâce au dépôt d’une requête de support dans le portail de gestion.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Srinivasaro Thumala | Ingénieur client senior

Autres contributeurs :

• Adam Cerini | Directeur, Stratège de la technologie partenaire

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Rôles Azure, rôles Microsoft Entra, et rôles d’administrateur de l'abonnement classique
• Ajouter ou modifier des administrateurs d’abonnements Azure
• Télécharger ou afficher votre facture Azure

Ressources associées

• Comparer les options de mise en réseau AWS et Azure
• Comparer AWS et la gestion des ressources Azure