Jämföra AWS- och Azure-konton

I den här artikeln jämförs konto- och organisationsstrukturen i Azure med Amazon Web Services (AWS).

Länkar till artiklar som jämför andra AWS- och Azure-tjänster och en fullständig tjänstmappning mellan AWS och Azure finns i Azure for AWS-proffs.

Hantera kontohierarki

En typisk AWS-miljö använder en organisationsstruktur som den i följande diagram. Det finns en organisationsrot och eventuellt ett dedikerat AWS-hanteringskonto. Under roten finns organisationsenheter som kan användas för att tillämpa olika principer på olika konton. AWS-resurser använder ofta ett AWS-konto som en logisk gräns och faktureringsgräns.

Diagram som visar ett AWS-konto. Det finns en organisationsrot och ett valfritt AWS-hanteringskonto. Under organisationsroten finns det organisationsenheter. Under organisationens enheter finns AWS-konton och resurser.

En Azure-struktur ser liknande ut, men i stället för ett dedikerat hanteringskonto ger den administratörsbehörighet för klientorganisationen. Den här designen eliminerar behovet av ett helt konto bara för hantering. Till skillnad från AWS använder Azure resursgrupper som en grundläggande enhet. Resurser måste tilldelas till resursgrupper och behörigheter kan tillämpas på resursgruppsnivå.

Diagram som visar Azure-kontohierarkin. Det går från användare till hanteringsgrupper till prenumerationer till resursgrupper till resurser.

AWS-hanteringskonto jämfört med Azure-klientorganisation

I Azure skapas en Microsoft Entra-klientorganisation när du skapar ett Azure-konto. Du kan hantera användare, grupper och program i den här klientorganisationen. Azure-prenumerationer skapas under klienten. En Microsoft Entra-klientorganisation tillhandahåller identitets- och åtkomsthantering. Det hjälper till att säkerställa att autentiserade och auktoriserade användare endast kan komma åt de resurser som de har behörighet för. 

AWS-konton jämfört med Azure-prenumerationer

I Azure är motsvarigheten till ett AWS-konto Azure-prenumerationen. Azure-prenumerationer är logiska enheter för Azure-tjänster som är länkade till ett Azure-konto i en Microsoft Entra-klientorganisation. Varje prenumeration är länkad till ett faktureringskonto och ger gränsen inom vilken resurser skapas, hanteras och faktureras. Prenumerationer är viktiga för att förstå kostnadsallokering och följa budgetgränser. De hjälper dig att se till att alla tjänster som används spåras och faktureras korrekt. Azure-prenumerationer, till exempel AWS-konton, fungerar också som gränser för resurskvoter och -gränser. Vissa resurskvoter kan justeras, men andra inte.

Resursåtkomst mellan konton i AWS gör att resurser från ett AWS-konto kan nås eller hanteras av ett annat AWS-konto. AWS har också IAM-roller och resurspolicyer för åtkomst till resurser mellan konton. I Azure kan du bevilja åtkomst till användare och tjänster i olika prenumerationer med hjälp av rollbaserad åtkomstkontroll (RBAC), som tillämpas i olika omfång (hanteringsgrupp, prenumeration, resursgrupp eller enskilda resurser).

AWS-organisationsenheter jämfört med Azure-hanteringsgrupper

I Azure är motsvarigheten till AWS-organisationsenheter (OUs) hanteringsgrupper. Båda används för att organisera och hantera molnresurser på hög nivå över flera konton eller prenumerationer. Du kan använda Azure-hanteringsgrupper för att effektivt hantera åtkomst, principer och efterlevnad för Azure-prenumerationer. Styrningsvillkoren som tillämpas på hanteringsgruppsnivå tillämpas på alla associerade prenumerationer genom ärvning.

Viktiga fakta om hanteringsgrupper och prenumerationer:

• En enskild katalog stöder så många som 10 000 hanteringsgrupper.

• Ett hanteringsgruppsträd har stöd för så många som sex djupnivåer.

• Varje hanteringsgrupp och prenumeration kan bara ha en överordnad.

• Varje hanteringsgrupp kan ha flera underordnade.

• Alla prenumerationer och hanteringsgrupper finns i en enda hierarki i varje katalog.

• Antalet prenumerationer per hanteringsgrupp är obegränsat.

Den överordnade hanteringsgruppen är den högsta hanteringsgruppen som är associerad med varje katalog. Alla hanteringsgrupper och prenumerationer sammanställs i rot-hanteringsgruppen. Med den här designen kan du implementera globala principer och Azure-rolltilldelningar på katalognivå.

Principer för tjänstkontroll jämfört med Azure Policy

Det primära målet med tjänstkontrollprinciper (SCP) i AWS är att begränsa de maximala effektiva behörigheterna i ett AWS-konto. I Azure definieras maximala behörigheter i Microsoft Entra och kan tillämpas på klient-, prenumerations- eller resursgruppsnivå. Azure Policy har ett brett spektrum av användningsfall, varav några överensstämmer med vanliga SCP-användningsmönster. Du kan använda både SCP:er och Azure-principer för att framtvinga efterlevnad av företagsstandarder, till exempel taggning eller användning av specifika SKU:er. Både SCP:er och Azure-principer kan blockera distribution av resurser som inte uppfyller efterlevnadskraven. Azure-principer kan vara mer proaktiva än SCP:er och kan utlösa åtgärder för att få resurser i överensstämmelse. Azure-principer kan också utvärdera både befintliga resurser och framtida distributioner.

Jämförelse av strukturen och ägarskapet för AWS-konton med Azure-prenumerationer

Ett Azure-konto representerar en faktureringsrelation och Azure-prenumerationer hjälper dig att organisera åtkomsten till Azure-resurser. Kontoadministratör, tjänstadministratör och medadministratör är de tre klassiska administratörsrollerna för prenumerationer i Azure:

• Kontoadministratör. Prenumerationsägaren och faktureringsägaren för de resurser som används i prenumerationen. Kontoadministratören kan bara ändras genom att överföra ägarskapet för prenumerationen. Endast en kontoadministratör tilldelas per Azure-konto.

• Tjänstadministratör. Den här användaren har behörighet att skapa och hantera resurser i prenumerationen men ansvarar inte för fakturering. Som standard för en ny prenumeration är kontoadministratören också tjänstadministratören. Kontoadministratören kan tilldela en separat användare till tjänstadministratören för att hantera de tekniska och operativa aspekterna av en prenumeration. Endast en tjänstadministratör tilldelas per prenumeration.

• Medadministratör. Det kan finnas flera medadministratörer tilldelade till en prenumeration. Medadministratörer har samma åtkomstbehörighet som tjänstadministratören, men de kan inte ändra tjänstadministratören.

Under prenumerationsnivån kan användarroller och enskilda behörigheter också tilldelas till specifika resurser, på samma sätt som behörigheter beviljas till IAM-användare och grupper i AWS. I Azure är alla användarkonton associerade med antingen ett Microsoft-konto eller ett organisationskonto (ett konto som hanteras via Microsoft Entra-ID).

Precis som AWS-konton så har prenumerationer har standardkvoter och begränsningar för tjänster. En lista med de här gränserna finns i Azure-prenumerationer och gränser, kvoter och begränsningar för tjänster. Dessa begränsningar kan utökas upp till maxgränserna genom att du registrerar en supportförfrågan i hanteringsportalen.

Bidragsgivare

Den här artikeln underhålls av Microsoft. Den skrevs ursprungligen av följande bidragsgivare.

Huvudförfattare:

• Srinivasaro Thumala | Senior kundtekniker

Annan deltagare:

• Adam Cerini | Direktör, partnerteknikstrateg

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer
• Lägga till eller ändra Azure-prenumerationsadministratörer
• Ladda ned eller visa din Azure-faktureringsfaktura

Relaterade resurser

• Jämför AWS- och Azure-nätverksalternativ
• Jämför AWS- och Azure-resurshantering