Udostępnij za pośrednictwem

Porównanie kont platformy AWS i platformy Azure

  • Artykuł

W tym artykule porównaliśmy konto i strukturę organizacyjną platformy Azure z usługami Amazon Web Services (AWS).

Aby uzyskać linki do artykułów, które porównują inne usługi AWS i Azure oraz kompletne mapowanie usług między platformami AWS i Azure, zobacz Azure for AWS professionals.

Zarządzanie hierarchią kont

Typowe środowisko platformy AWS używa struktury organizacyjnej, takiej jak na poniższym diagramie. Istnieje katalog główny organizacji i opcjonalnie dedykowane konto zarządzania platformy AWS. Poniżej katalogu głównego znajdują się jednostki organizacyjne, których można używać do stosowania różnych zasad do różnych kont. Zasoby platformy AWS często używają konta platformy AWS jako granicy logicznej i rozliczeniowej.

Diagram typowej struktury organizacyjnej konta platformy AWS.

Struktura platformy Azure wygląda podobnie, ale zamiast dedykowanego konta zarządzania zapewnia uprawnienia administracyjne dla dzierżawcy. Ten projekt eliminuje potrzebę całego konta tylko do zarządzania. W przeciwieństwie do platformy AWS platforma Azure używa grup zasobów jako podstawowej jednostki. Zasoby muszą być przypisane do grup zasobów, a uprawnienia można stosować na poziomie grupy zasobów.

Diagram typowej struktury zarządzania kontami platformy Azure.

Konto zarządzania platformy AWS a konto dzierżawy platformy Azure

Na platformie Azure, gdy tworzysz konto Azure, tworzona jest dzierżawa Microsoft Entra. Możesz zarządzać użytkownikami, grupami i aplikacjami w tym tenantcie. Subskrypcje platformy Azure są tworzone w ramach dzierżawy. Dzierżawca Microsoft Entra zapewnia zarządzanie tożsamościami i dostępem. Pomaga to zagwarantować, że uwierzytelnieni i autoryzowani użytkownicy będą mogli uzyskiwać dostęp tylko do zasobów, do których mają uprawnienia. 

Konta platformy AWS a subskrypcje platformy Azure

Na platformie Azure odpowiednik konta platformy AWS to subskrypcja platformy Azure. Subskrypcje platformy Azure to jednostki logiczne usług platformy Azure połączone z kontem platformy Azure w dzierżawie firmy Microsoft Entra. Każda subskrypcja jest połączona z kontem rozliczeniowym i zapewnia granicę, w ramach której zasoby są tworzone, zarządzane i rozliczane. Subskrypcje są ważne, aby zrozumieć alokację kosztów i przestrzegać limitów budżetu. Ułatwiają one upewnienie się, że każda używana usługa jest śledzona i rozliczana prawidłowo. Subskrypcje platformy Azure, takie jak konta platformy AWS, działają również jako granice limitów przydziałów i limitów zasobów. Niektóre przydziały zasobów są regulowane, ale inne nie.

Dostęp do zasobów między kontami na platformie AWS umożliwia dostęp do zasobów z jednego konta platformy AWS lub zarządzanie nimi przez inne konto platformy AWS. Platforma AWS ma również role zarządzania tożsamościami i dostępem (IAM) oraz zasady oparte na zasobach na potrzeby uzyskiwania dostępu do zasobów na kontach. Na platformie Azure można udzielić dostępu użytkownikom i usługom w różnych subskrypcjach przy użyciu kontroli dostępu opartej na rolach (RBAC), która jest stosowana w różnych zakresach (grupa zarządzania, subskrypcja, grupa zasobów lub poszczególne zasoby).

Jednostki organizacyjne platformy AWS a grupy zarządzania platformy Azure

Na platformie Azure odpowiednik jednostek organizacyjnych platformy AWS to grupy zarządzania. Oba są używane do organizowania zasobów w chmurze i zarządzania nimi na wysokim poziomie na wielu kontach lub subskrypcjach. Grupy zarządzania platformy Azure umożliwiają efektywne zarządzanie dostępem, zasadami i zgodnością subskrypcji platformy Azure. Warunki zarządzania stosowane na poziomie grupy zarządzania są kaskadowo stosowane do wszystkich skojarzonych subskrypcji poprzez dziedziczenie.

Ważne fakty dotyczące grup zarządzania i subskrypcji:

  • Pojedynczy katalog obsługuje aż 10 000 grup zarządzania.

  • Drzewo grupy zarządzania obsługuje aż sześć poziomów głębokości.

  • Każda grupa zarządzania i subskrypcja mogą mieć tylko jednego elementu nadrzędnego.

  • Każda grupa zarządzania może mieć wiele dzieci.

  • Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu.

  • Liczba subskrypcji na grupę zarządzania jest nieograniczona.

Główna grupa zarządzania to grupa zarządzania najwyższego poziomu skojarzona z każdym katalogiem. Wszystkie grupy zarządzania i subskrypcje są przyporządkowane do nadrzędnej grupy zarządzania. Ten projekt umożliwia wdrożenie globalnych polityk oraz przypisywanie ról w Azure na poziomie katalogu.

Zasady kontroli usług a Azure Policy

Głównym celem zasad kontroli usługi (SCP) na platformie AWS jest ograniczenie maksymalnych obowiązujących uprawnień w ramach konta platformy AWS. Na platformie Azure maksymalne uprawnienia są definiowane w usłudze Microsoft Entra i mogą być stosowane na poziomie dzierżawy, subskrypcji lub grupy zasobów. Usługa Azure Policy oferuje szeroką gamę przypadków użycia, z których kilka jest zgodnych z typowymi wzorcami użycia SCP (Service Control Policies). Możesz użyć zarówno scps, jak i zasad platformy Azure, aby wymusić zgodność ze standardami przedsiębiorstwa, takimi jak tagowanie lub użycie określonych jednostek SKU. Zarówno scps, jak i zasady platformy Azure mogą blokować wdrażanie zasobów, które nie spełniają wymagań dotyczących zgodności. Zasady platformy Azure mogą być bardziej proaktywne niż ZCP i mogą aktywnie inicjować środki naprawcze w celu zapewnienia zgodności zasobów. Zasady platformy Azure mogą również oceniać istniejące zasoby i przyszłe wdrożenia.

Porównanie struktury i własności kont platformy AWS z subskrypcjami platformy Azure

Konto platformy Azure reprezentuje relację rozliczeń, a subskrypcje platformy Azure ułatwiają organizowanie dostępu do zasobów platformy Azure. Administrator konta, administrator usługi i współadministrator to trzy klasyczne role administratora subskrypcji na platformie Azure:

  • Administrator konta. Właściciel subskrypcji i właściciel rozliczeń dla zasobów używanych w ramach subskrypcji. Zmiany administratora konta można dokonać wyłącznie przez przekazanie własności subskrypcji. Na konto platformy Azure jest przypisany tylko jeden administrator konta.

  • Administrator usługi. Ten użytkownik ma uprawnienia do tworzenia zasobów w subskrypcji i zarządzania nimi, ale nie jest odpowiedzialny za rozliczenia. W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi. Administrator konta może przypisać oddzielnego użytkownika do administratora usługi w celu zarządzania aspektami technicznymi i operacyjnymi subskrypcji. Na subskrypcję jest przypisywany tylko jeden administrator usługi.

  • Współadministrator. Do subskrypcji może być przypisanych wielu współadministratorów. Współadministratorzy mają takie same uprawnienia dostępu jak administrator usługi, ale nie mogą zmienić administratora usługi.

Poniżej poziomu subskrypcji role użytkowników i indywidualne uprawnienia mogą być również przypisywane do określonych zasobów, podobnie jak uprawnienia dla użytkowników i grup IAM (Zarządzanie dostępem i tożsamościami) na platformie AWS. Na platformie Azure wszystkie konta użytkowników są skojarzone z kontem Microsoft lub kontem organizacyjnym (kontem zarządzanym za pośrednictwem identyfikatora Microsoft Entra).

Podobnie jak konta platformy AWS subskrypcje mają domyślnie przypisane przydziały i limity usług. Pełną listę limitów można znaleźć w temacie Azure subscription and service limits, quotas, and constraints (Limity, przydziały i ograniczenia usługi i subskrypcji platformy Azure). W celu maksymalnego zwiększenia limitów należy wypełnić żądanie udzielenia pomocy technicznej w portalu zarządzania.

Współpracownicy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Inny współautor:

  • Adam Cerini | Dyrektor, Strateg Partnerski ds. Technologii

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki