Partilhar via


Gestão do acesso aos recursos no Azure

Neste artigo, saiba como os recursos são implantados no Azure, começando com as construções fundamentais do Azure de recursos, assinaturas e grupos de recursos. Em seguida, você aprenderá como o Azure Resource Manager (ARM) implanta recursos.

O que é um recurso do Azure?

No Azure, um recurso é uma entidade gerenciada pelo Azure. Máquinas virtuais, redes virtuais e contas de armazenamento são exemplos de recursos do Azure.

Diagram of a resource.

O que é um grupo de recursos do Azure?

Cada recurso no Azure deve pertencer a um grupo de recursos. Um grupo de recursos é um contêiner lógico que associa vários recursos para que você possa gerenciá-los como uma única entidade, com base no ciclo de vida e na segurança. Por exemplo, você pode criar ou excluir recursos como um grupo se os recursos compartilharem um ciclo de vida semelhante, como os recursos para um aplicativo de n camadas. Em outras palavras, tudo o que você cria, gerencia e deprecia juntos está associado a um grupo de recursos.

Diagram of a resource group containing a resource.

A prática recomendada é associar grupos de recursos e os recursos que eles contêm a uma assinatura do Azure.

O que é uma assinatura do Azure?

Uma assinatura do Azure é semelhante a um grupo de recursos, pois é um contêiner lógico que associa grupos de recursos e seus respetivos recursos. Uma assinatura do Azure também está associada aos controles do Azure Resource Manager. Saiba mais sobre o Azure Resource Manager e sua relação com as assinaturas do Azure.

Diagram of an Azure subscription.

O que é o Azure Resource Manager?

Em Como funciona o Azure?, você aprende que o Azure inclui um front-end com serviços que orquestram as funções do Azure. Um desses serviços é o Azure Resource Manager. Este serviço hospeda a API RESTful que os clientes usam para gerenciar recursos.

Diagram of Azure Resource Manager.

A figura a seguir mostra três clientes: Azure PowerShell, o portal do Azure e a CLI do Azure:

Diagram of Azure clients connecting to the Resource Manager REST API.

Embora esses clientes se conectem ao Resource Manager usando a API REST, o Resource Manager não inclui funcionalidade para gerenciar recursos diretamente. Em vez disso, a maioria dos tipos de recursos no Azure tem seu próprio provedor de recursos.

Diagram of Azure resource providers.

Quando um cliente faz uma solicitação para gerenciar um recurso específico, o Azure Resource Manager se conecta ao provedor de recursos desse tipo de recurso para concluir a solicitação. Por exemplo, se um cliente fizer uma solicitação para gerenciar um recurso de máquina virtual, o Azure Resource Manager se conectará ao provedor de Microsoft.Compute recursos.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

O Azure Resource Manager exige que o cliente especifique um identificador para a assinatura e o grupo de recursos para gerenciar o recurso de máquina virtual.

Depois de entender como o Azure Resource Manager funciona, você pode aprender a associar uma assinatura do Azure aos controles do Azure Resource Manager. Antes que o Azure Resource Manager possa executar qualquer solicitação de gerenciamento de recursos, examine um conjunto de controles a seguir.

O primeiro controle é que um usuário validado deve fazer uma solicitação. Além disso, o Azure Resource Manager deve ter uma relação de confiança com o Microsoft Entra ID para fornecer a funcionalidade de identidade do usuário.

Diagram of Microsoft Entra ID.

No Microsoft Entra ID, você pode segmentar usuários em locatários. Um locatário é uma construção lógica que representa uma instância segura e dedicada do Microsoft Entra ID que alguém normalmente associa a uma organização. Você também pode associar cada assinatura a um locatário do Microsoft Entra.

A Microsoft Entra tenant associated with a subscription

Cada solicitação de cliente para gerenciar um recurso em uma assinatura específica requer que o usuário tenha uma conta no locatário associado do Microsoft Entra.

O próximo controle é uma verificação de que o usuário tem permissão suficiente para fazer a solicitação. As permissões são atribuídas aos usuários usando o controle de acesso baseado em função do Azure (Azure RBAC).

Users assigned to Azure roles

Uma função do Azure especifica um conjunto de permissões que um usuário pode assumir em um recurso específico. Quando a função é atribuída ao usuário, essas permissões são aplicadas. Por exemplo, a função Proprietário interna permite que um usuário execute qualquer ação em um recurso.

O próximo controle é uma verificação de que a solicitação é permitida nas configurações especificadas para a política de recursos do Azure. As políticas de recursos do Azure especificam as operações permitidas para um recurso específico. Por exemplo, uma política de recursos do Azure pode especificar que os usuários só têm permissão para implantar um tipo específico de máquina virtual.

Azure resource policy

O próximo controle é uma verificação de que a solicitação não excede um limite de assinatura do Azure. Por exemplo, cada assinatura tem um limite de 980 grupos de recursos por assinatura. Se você receber uma solicitação para implantar outro grupo de recursos quando o limite for atingido, negue-a.

Diagram of Azure resource limits.

O controle final é uma verificação para verificar se a solicitação está dentro do compromisso financeiro que você associa à assinatura. Por exemplo, o Azure Resource Manager verifica se a assinatura tem informações de pagamento suficientes se a solicitação for para implantar uma máquina virtual.

Diagram of a financial commitment associated with a subscription.

Resumo

Neste artigo, você aprendeu sobre como o acesso a recursos é gerenciado no Azure usando o Gerenciador de Recursos do Azure.

Próximos passos

Saiba mais sobre a adoção da nuvem com o Microsoft Cloud Adoption Framework for Azure.