Compartilhar via

Comparar contas do AWS e do Azure

  • Artigo

Este artigo compara a conta e a estrutura organizacional do Azure com a do Amazon Web Services (AWS).

Para obter links para artigos que comparam outros serviços do AWS e do Azure e um mapeamento de serviço completo entre o AWS e o Azure, consulte Azure para profissionais do AWS.

Gerenciando a hierarquia de contas

Um ambiente típico do AWS usa uma estrutura organizacional como a do diagrama a seguir. Há uma raiz de organização e, opcionalmente, uma conta de gerenciamento do AWS dedicada. Abaixo da raiz estão unidades organizacionais que podem ser usadas para aplicar políticas diferentes a contas diferentes. Os recursos do AWS geralmente usam uma conta do AWS como um limite lógico e de cobrança.

Diagrama de uma estrutura organizacional de conta AWS típica.

Uma estrutura do Azure é semelhante, mas, em vez de uma conta de gerenciamento dedicada, fornece permissões administrativas no locatário. Esse design elimina a necessidade de uma conta inteira apenas para gerenciamento. Ao contrário do AWS, o Azure usa grupos de recursos como uma unidade fundamental. Os recursos devem ser atribuídos a grupos de recursos e as permissões podem ser aplicadas no nível do grupo de recursos.

Diagrama de uma estrutura de gerenciamento de conta típica do Azure.

Conta de gerenciamento do AWS versus locatário do Azure

No Azure, quando você cria uma conta do Azure, um tenant do Microsoft Entra é criado. Você pode gerenciar seus usuários, grupos e aplicativos nesse locatário. As assinaturas do Azure são criadas sob o locatário. Um locatário do Microsoft Entra fornece gerenciamento de identidade e acesso. Isso ajuda a garantir que usuários autenticados e autorizados possam acessar apenas os recursos para os quais têm permissões. 

Contas do AWS versus assinaturas do Azure

No Azure, o equivalente a uma conta do AWS é a assinatura do Azure. As assinaturas do Azure são unidades lógicas de serviços do Azure vinculadas a uma conta do Azure em um locatário do Microsoft Entra. Cada assinatura é vinculada a uma conta de cobrança e fornece o limite no qual os recursos são criados, gerenciados e cobrados. As assinaturas são importantes para entender a alocação de custos e aderir aos limites de orçamento. Eles ajudam a garantir que todos os serviços usados sejam acompanhados e cobrados corretamente. As assinaturas do Azure, como contas do AWS, também atuam como limites para cotas e limites de recursos. Algumas cotas de recursos são ajustáveis, mas outras não.

O acesso a recursos entre contas no AWS permite que recursos de uma conta AWS sejam acessados ou gerenciados por outra conta do AWS. O AWS também tem funções de IAM (Gerenciamento de Identidade e Acesso) e políticas baseadas em recursos para acessar recursos entre contas. No Azure, você pode conceder acesso a usuários e serviços em assinaturas diferentes usando o RBAC (controle de acesso baseado em função), que é aplicado em escopos diferentes (grupo de gerenciamento, assinatura, grupo de recursos ou recursos individuais).

OUs do AWS versus grupos de gerenciamento do Azure

No Azure, o equivalente a UOs (unidades organizacionais) do AWS é grupos de gerenciamento. Ambos são usados para organizar e gerenciar recursos de nuvem em um alto nível em várias contas ou assinaturas. Você pode usar grupos de gerenciamento do Azure para gerenciar com eficiência o acesso, as políticas e a conformidade das assinaturas do Azure. As condições de governança aplicadas no nível do grupo de gerenciamento são aplicadas em cascata a todas as assinaturas associadas por meio de herança.

Fatos importantes sobre grupos de gerenciamento e assinaturas:

  • Um único diretório dá suporte a até 10.000 grupos de gerenciamento.

  • Uma árvore de grupo de gerenciamento dá suporte a até seis níveis de profundidade.

  • Cada grupo de gerenciamento e assinatura pode ter apenas um pai.

  • Cada grupo de gerenciamento pode ter vários filhos.

  • Todas as assinaturas e grupos de gerenciamento estão dentro de uma única hierarquia em cada diretório.

  • O número de assinaturas por grupo de gerenciamento é ilimitado.

O grupo de gerenciamento raiz é o grupo de gerenciamento de nível superior associado a cada diretório. Todos os grupos de gerenciamento e assinaturas são transferidos para o grupo de gerenciamento raiz. Esse design permite implementar políticas globais e atribuições de função do Azure no nível do diretório.

Políticas de controle de serviço versus Azure Policy

O objetivo principal das SCP (políticas de controle de serviço) no AWS é limitar as permissões efetivas máximas em uma conta do AWS. No Azure, as permissões máximas são definidas no Microsoft Entra e podem ser aplicadas no nível de locatário, assinatura ou grupo de recursos. O Azure Policy tem uma ampla gama de casos de uso, alguns dos quais se alinham com padrões de uso de SCP típicos. Você pode usar os SCPs e as políticas do Azure para impor a conformidade com os padrões corporativos, como marcação ou o uso de SKUs específicos. Tanto os SCPs quanto as políticas do Azure podem bloquear a implantação de recursos que não atendem aos requisitos de conformidade. As políticas do Azure podem ser mais proativas do que os SCPs e podem disparar correções para colocar recursos em conformidade. As políticas do Azure também podem avaliar recursos existentes e implantações futuras.

Comparação da estrutura e propriedade de contas do AWS com assinaturas do Azure

Uma conta do Azure representa uma relação de cobrança e as assinaturas do Azure ajudam você a organizar o acesso aos recursos do Azure. Administrador da Conta, Administrador de Serviços e Coadministrador são as funções de administrador de assinatura clássica no Azure:

  • Administrador da Conta. O proprietário da assinatura e o proprietário da cobrança dos recursos usados na assinatura. O administrador da conta só pode ser alterado transferindo-se a propriedade da assinatura. Somente um Administrador da conta é atribuído por conta do Azure.

  • Administrador de Serviços. Esse usuário tem direitos para criar e gerenciar recursos na assinatura, mas não é responsável pela cobrança. Por padrão, para uma nova assinatura, o Administrador da Conta também é o Administrador de Serviços. O administrador da conta pode atribuir um usuário separado ao Administrador de Serviços para gerenciar os aspectos técnicos e operacionais de uma assinatura. Somente um Administrador de Serviços é atribuído por assinatura.

  • Coadministrador. Pode haver vários coadministradores atribuídos a uma assinatura. Os coadministradores têm os mesmos privilégios de acesso que o Administrador de Serviços, mas não podem alterar o Administrador de Serviços.

Abaixo do nível de assinatura, as funções de usuário e as permissões individuais também podem ser atribuídas a recursos específicos, da mesma forma como as permissões são concedidas a usuários e grupos do IAM no AWS. No Azure, todas as contas de usuário são associadas a uma conta da Microsoft ou a uma conta organizacional (uma conta gerenciada por meio da ID do Microsoft Entra).

Tal como as contas do AWS, as assinaturas têm cotas e limites de serviço padrão. Para obter uma lista completa desses limites, confira Limites, cotas e restrições em assinaturas e serviços do Azure. Esses limites podem ser aumentados até o máximo preenchendo-se uma solicitação de suporte no portal de gerenciamento.

Colaboradores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

  • Srinivasaro Thumala | Engenheiro sênior de clientes

Outro colaborador:

  • Adam Cerini | Diretor, Estrategista de Tecnologia de Parceiros

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas