Condividi tramite

Confrontare gli account AWS e Azure

  • Articolo

Questo articolo confronta l'account e la struttura organizzativa di Azure con quello di Amazon Web Services (AWS).

Per collegamenti ad articoli che confrontano altri servizi AWS e Azure e un mapping completo dei servizi tra AWS e Azure, vedere Azure per i professionisti AWS.

Gestione della gerarchia degli account

Un tipico ambiente AWS usa una struttura organizzativa come quella nel diagramma seguente. Vi è una struttura radice dell'organizzazione e un account di gestione AWS dedicato, opzionalmente. Al di sotto della radice ci sono le unità organizzative che possono essere utilizzate per applicare politiche diverse a diversi account. Le risorse AWS usano spesso un account AWS come limite logico e di fatturazione.

Diagramma di una tipica struttura organizzativa dell'account AWS.

Una struttura di Azure ha un aspetto simile, ma, anziché un account di gestione dedicato, fornisce autorizzazioni amministrative per il tenant. Questa progettazione elimina la necessità di un intero account solo per la gestione. A differenza di AWS, Azure usa i gruppi di risorse come unità fondamentale. Le risorse devono essere assegnate ai gruppi di risorse e le autorizzazioni possono essere applicate a livello di gruppo di risorse.

Diagramma di una tipica struttura di gestione degli account di Azure.

Account di gestione AWS e tenant di Azure

In Azure, quando si crea un account Azure, viene creato un tenant di Microsoft Entra. È possibile gestire utenti, gruppi e applicazioni in questo tenant. Le sottoscrizioni di Azure vengono create all'interno del tenant. Un tenant di Microsoft Entra fornisce la gestione delle identità e degli accessi. Garantisce che gli utenti autenticati e autorizzati possano accedere solo alle risorse per le quali dispongono delle autorizzazioni. 

Account AWS e sottoscrizioni di Azure

In Azure l'equivalente di un account AWS è la sottoscrizione di Azure. Le sottoscrizioni di Azure sono unità logiche di servizi di Azure collegate a un account Azure in un tenant di Microsoft Entra. Ogni sottoscrizione è collegata a un account di fatturazione e fornisce il limite entro il quale vengono create, gestite e fatturate le risorse. Le sottoscrizioni sono importanti per comprendere l'allocazione dei costi e l'adesione ai limiti del budget. Aiutano a garantire che ogni servizio utilizzato venga monitorato e fatturato correttamente. Le sottoscrizioni di Azure, come gli account AWS, fungono anche da limiti per le quote e i limiti delle risorse. Alcune quote di risorse sono regolabili, ma altre non lo sono.

L'accesso alle risorse tra account in AWS consente alle risorse di un account AWS di accedere o gestirle da un altro account AWS. AWS include anche ruoli di gestione delle identità e degli accessi (IAM) e criteri basati sulle risorse per l'accesso alle risorse tra gli account. In Azure è possibile concedere l'accesso a utenti e servizi in sottoscrizioni diverse usando il controllo degli accessi in base al ruolo, applicato a ambiti diversi (gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse).

Unità organizzative AWS e gruppi di gestione di Azure

In Azure, l'equivalente delle unità organizzative AWS sono i gruppi di gestione. Entrambi vengono usati per organizzare e gestire le risorse cloud a un livello elevato tra più account o sottoscrizioni. È possibile usare i gruppi di gestione di Azure per gestire in modo efficiente l'accesso, i criteri e la conformità per le sottoscrizioni di Azure. Le condizioni di governance applicate a livello di gruppo di gestione si propagano a tutte le sottoscrizioni associate tramite ereditarietà.

Informazioni importanti sui gruppi di gestione e sulle sottoscrizioni:

  • Una singola directory supporta fino a 10.000 gruppi di gestione.

  • Un albero del gruppo di gestione supporta fino a sei livelli di profondità.

  • Ogni gruppo di gestione e sottoscrizione può avere un solo elemento padre.

  • Ogni gruppo di gestione può avere più figli.

  • Tutte le sottoscrizioni e i gruppi di gestione si trovano all'interno di una singola gerarchia in ogni directory.

  • Il numero di sottoscrizioni per gruppo di gestione è illimitato.

Il gruppo di gestione radice è il gruppo di gestione di primo livello associato a ogni directory. Tutti i gruppi di gestione e le sottoscrizioni si aggregano al gruppo di gestione radice. Questa progettazione consente di implementare criteri globali e assegnazioni di ruolo di Azure a livello di directory.

Criteri di controllo dei servizi e Criteri di Azure

L'obiettivo principale dei criteri di controllo dei servizi in AWS è limitare le autorizzazioni effettive massime all'interno di un account AWS. In Azure le autorizzazioni massime sono definite in Microsoft Entra e possono essere applicate a livello di tenant, sottoscrizione o gruppo di risorse. Azure Policy ha un'ampia gamma di casi d'uso, alcuni dei quali sono allineati ai modelli di utilizzo tipici di SCP. È possibile usare sia i criteri scP che i criteri di Azure per applicare la conformità agli standard aziendali, ad esempio l'assegnazione di tag o l'uso di SKU specifici. Sia i criteri SCP che i criteri di Azure possono bloccare la distribuzione di risorse che non soddisfano le richieste di conformità. I criteri di Azure possono essere più proattivi rispetto agli SCP e possono attivare correzioni per rendere le risorse conformi. I criteri di Azure possono anche valutare le risorse esistenti e le distribuzioni future.

Confronto tra la struttura e la proprietà degli account AWS con le sottoscrizioni di Azure

Un account Azure rappresenta una relazione di fatturazione e le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. Amministratore account, amministratore del servizio e coamministratore sono i tre ruoli di amministratore per una sottoscrizione classica in Azure:

  • Amministratore account. Proprietario della sottoscrizione e proprietario della fatturazione delle risorse usate nella sottoscrizione. L'amministratore account può essere modificato solo trasferendo la proprietà della sottoscrizione. Viene assegnato un solo amministratore account per ogni account Azure.

  • Amministratore del servizio. Questo utente ha i diritti per creare e gestire le risorse nella sottoscrizione, ma non è responsabile della fatturazione. Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio. L'amministratore account può assegnare un utente separato all'amministratore del servizio per la gestione degli aspetti tecnici e operativi di una sottoscrizione. Viene assegnato un solo amministratore del servizio per ogni sottoscrizione.

  • Coamministratore. A una sottoscrizione possono essere assegnati più coamministratori. I coamministratori hanno gli stessi privilegi di accesso dell'amministratore del servizio, ma non possono modificare l'amministratore del servizio.

Al di sotto del livello di sottoscrizione, i ruoli utente e le singole autorizzazioni possono anche essere assegnati a risorse specifiche, in modo analogo al modo in cui le autorizzazioni vengono concesse a utenti e gruppi IAM in AWS. In Azure tutti gli account utente sono associati a un account Microsoft o a un account aziendale (un account gestito tramite Microsoft Entra ID).

Analogamente agli account AWS, le sottoscrizioni presentano limiti e quote di servizio predefiniti. Per informazioni dettagliate su tali limiti, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi. I limiti possono essere aumentati fino al valore massimo inviando una richiesta di supporto tramite il portale di gestione.

Contributori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai collaboratori seguenti.

Autore principale:

Altro collaboratore:

  • Adam Cerini | Direttore, Partner Technology Strategist

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi