Сравнение учетных записей AWS и Azure

В этой статье сравнивается учетная запись и организационная структура Azure с структурой Amazon Web Services (AWS).

См. Azure для профессионалов AWSдля получения ссылок на статьи о сравнении других служб AWS и Azure, а также полного сопоставления служб между AWS и Azure.

Управление иерархией учетных записей

Типичная среда AWS использует организационную структуру, например на следующей схеме. Существует организационный корень и, при необходимости, специальная учетная запись AWS для управления. Под корнем находятся организационные подразделения, которые можно использовать для применения различных правил к разным учетным записям. Ресурсы AWS часто используют учетную запись AWS как логическую границу и границу выставления счетов.

Схема с учетной записью AWS. Существует корень организации и необязательная учетная запись управления AWS. Под корнем организации находятся организационные единицы. Под подразделениями находятся учетные записи и ресурсы AWS.

Структура Azure выглядит аналогично, но вместо выделенной учетной записи управления она предоставляет административные разрешения для клиента. Эта конструкция устраняет необходимость всей учетной записи только для управления. В отличие от AWS, Azure использует группы ресурсов в качестве основной единицы. Ресурсы должны быть назначены группам ресурсов, а разрешения можно применять на уровне группы ресурсов.

Схема, на которую показана иерархия учетных записей Azure. Он последовательно передается от арендатора к группам управления, затем к подпискам, к группам ресурсов и наконец к ресурсам.

Учетная запись управления AWS и клиент Azure

В Azure при создании учетной записи Azure создается клиент Microsoft Entra. Вы можете управлять пользователями, группами и приложениями в этом клиенте. Подписки Azure создаются в клиенте. Клиент Microsoft Entra предоставляет управление удостоверениями и доступом. Это помогает гарантировать, что прошедшие проверку подлинности и авторизованные пользователи могут получить доступ только к ресурсам, для которых у них есть разрешения. 

Учетные записи AWS и подписки Azure

В Azure эквивалент учетной записи AWS является подпиской Azure. Подписки Azure — это логические единицы служб Azure, связанные с учетной записью Azure в клиенте Microsoft Entra. Каждая подписка связана с учетной записью выставления счетов и обозначает границы, в пределах которых создаются, управляются и выставляются счета ресурсы. Подписки важны для понимания распределения затрат и ограничения бюджета. Они помогают гарантировать правильность отслеживания и выставления счетов каждой используемой службы. Подписки Azure, такие как учетные записи AWS, также служат границами для квот ресурсов и ограничений. Некоторые квоты ресурсов можно изменить, но другие — нет.

Доступ к ресурсам между учетными записями в AWS позволяет ресурсам одной учетной записи AWS получать доступ к другой учетной записи AWS или управлять ими. AWS также имеет роли управления идентификацией и доступом (IAM) и политики на основе ресурсов для доступа к ресурсам в разных учетных записях. В Azure можно предоставить доступ пользователям и службам в разных подписках с помощью управления доступом на основе ролей (RBAC), который применяется в разных областях (группа управления, подписка, группа ресурсов или отдельные ресурсы).

Организационные единицы (OU) AWS против групп управления Azure

В Azure эквивалент подразделения AWS (OUS) — это группы управления. Оба используются для организации облачных ресурсов и управления ими на высоком уровне между несколькими учетными записями или подписками. Группы управления Azure можно использовать для эффективного управления доступом, политиками и соответствием для подписок Azure. Условия управления, применяемые на уровне группы управления, через наследование распространяются на все связанные подписки.

Важные факты о группах управления и подписках:

• Один каталог поддерживает до 10 000 групп управления.

• Дерево группы управления поддерживает до шести уровней глубины.

• Каждая группа управления и подписка могут иметь только одного родителя.

• Каждая группа управления может иметь несколько дочерних элементов.

• Все подписки и группы управления находятся в одной иерархии в каждом каталоге.

• Количество подписок для каждой группы управления не ограничено.

Корневая группа управления — это группа управления верхнего уровня, связанная с каждым каталогом. Все группы управления и подписки передаются в корневую группу управления. Эта конструкция позволяет реализовать глобальные политики и назначения ролей Azure на уровне каталога.

Политики управления службами и политика Azure

Основная цель политик управления службами (SCP) в AWS — ограничить максимальные действующие разрешения в учетной записи AWS. В Azure максимальные разрешения определяются в Microsoft Entra и могут применяться на уровне клиента, подписки или группы ресурсов. Политика Azure имеет широкий спектр вариантов использования, некоторые из которых соответствуют типичным шаблонам использования SCP. Вы можете использовать политики SCP и Azure для обеспечения соответствия корпоративным стандартам, например тегов или использования определенных номеров SKU. Как scPs, так и политики Azure могут блокировать развертывание ресурсов, которые не соответствуют требованиям соответствия. Политики Azure могут быть более упреждающими, чем SCP-инструкции, и могут активировать исправления для приведения ресурсов в соответствие. Политики Azure также могут оценивать существующие ресурсы и будущие развертывания.

Сравнение структуры и владения учетными записями AWS с подписками Azure

Учетная запись Azure представляет собой финансовые отношения с Azure, а подписки Azure помогают организовать доступ к ресурсам Azure. В Azure предусмотрено три роли классического администратора подписки: администратор учетной записи, администратор службы и соадминистратор.

• Администратор учетной записи. Владелец подписки и владелец права на выставление счетов за использование ресурсов в подписке. Администратора учетной записи можно изменить, только передав права владения подпиской. Каждой учетной записи Azure назначается только один администратор учетной записи.

• Администратор служб. Этот пользователь имеет права на создание и управление ресурсами в подписке, но не несет ответственности за выставление счетов. По умолчанию для новой подписки администратор учетных записей является также администратором службы. Администратор учетной записи может назначить отдельного пользователя администратору службы для управления техническими и операционными аспектами подписки. Для каждой подписки назначается только один администратор службы.

• Соадминистратор. Для каждой подписки можно назначить несколько соадминистраторов. У соадминистров есть те же права доступа, что и администратор службы, но они не могут изменить администратора службы.

Ниже уровня подписки роли пользователей и отдельные разрешения также могут быть назначены определенным ресурсам, аналогично тому, как разрешения предоставляются пользователям и группам IAM в AWS. В Azure все учетные записи пользователей связаны с учетной записью Майкрософт или учетной записью организации (учетной записью, управляемой с помощью идентификатора Microsoft Entra).

Как и для учетных записей AWS, для подписок действуют квоты и ограничения службы по умолчанию. Полный список этих ограничений см. в статье Подписка Azure, границы, квоты и ограничения службы. Эти ограничения можно максимально увеличить, заполнив форму запроса на поддержку на портале управления.

Участники

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основной автор:

• Srinivasaro Thumala | Старший инженер клиента

Другой участник:

• Адам Серини | Директор, Стратег технологий партнеров

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Дальнейшие действия

• роли в Azure, роли Microsoft Entra и роли администратора подписки в классическом формате
• Добавление или изменение администраторов подписок Azure
• Скачать или просмотреть счет Azure

Связанные ресурсы

• Сравнить параметры сети AWS и Azure
• Сравнение управления ресурсами AWS и Azure