Åtkomsthantering av resurser i Azure
I den här artikeln får du lära dig hur resurser distribueras i Azure, med början i de grundläggande Azure-konstruktionerna av resurser, prenumerationer och resursgrupper. Sedan får du lära dig hur Azure Resource Manager (ARM) distribuerar resurser.
Vad är en Azure-resurs?
I Azure är en resurs en entitet som hanteras av Azure. Virtuella datorer, virtuella nätverk och lagringskonton är alla exempel på Azure-resurser.
Vad är en Azure-resursgrupp?
Varje resurs i Azure måste tillhöra en resursgrupp. En resursgrupp är en logisk container som associerar flera resurser så att du kan hantera dem som en enda entitet baserat på livscykel och säkerhet. Du kan till exempel skapa eller ta bort resurser som en grupp om resurserna delar en liknande livscykel, till exempel resurserna för ett n-nivåprogram. Med andra ord associeras allt som du skapar, hanterar och inaktuellt tillsammans i en resursgrupp.
Vi rekommenderar att du associerar resursgrupper och de resurser som de innehåller med en Azure-prenumeration.
Vad är en Azure-prenumeration?
En Azure-prenumeration liknar en resursgrupp eftersom det är en logisk container som associerar resursgrupper och deras respektive resurser. En Azure-prenumeration är också associerad med Azure Resource Manager-kontroller. Lär dig mer om Azure Resource Manager och dess relation till Azure-prenumerationer.
Vad är Azure Resource Manager?
I Hur fungerar Azure? får du lära dig att Azure innehåller en klientdel med tjänster som samordnar Azures funktioner. En av dessa tjänster är Azure Resource Manager. Den här tjänsten är värd för DE RESTful API-klienter som används för att hantera resurser.
Följande bild visar tre klienter: Azure PowerShell, Azure-portalen och Azure CLI:
Även om dessa klienter ansluter till Resource Manager med hjälp av REST-API:et innehåller Resource Manager inte funktioner för att hantera resurser direkt. I stället har de flesta resurstyper i Azure en egen resursprovider.
När en klient skickar en begäran om att hantera en specifik resurs ansluter Azure Resource Manager till resursprovidern för den resurstypen för att slutföra begäran. Om en klient till exempel gör en begäran om att hantera en virtuell datorresurs ansluter Azure Resource Manager till Microsoft.Compute
resursprovidern.
Azure Resource Manager kräver att klienten anger en identifierare för både prenumerationen och resursgruppen för att hantera den virtuella datorresursen.
När du förstår hur Azure Resource Manager fungerar kan du lära dig hur du associerar en Azure-prenumeration med Azure Resource Manager-kontrollerna. Innan Azure Resource Manager kan köra en resurshanteringsbegäran granskar du följande uppsättning kontroller.
Den första kontrollen är att en verifierad användare måste göra en begäran. Azure Resource Manager måste också ha en betrodd relation med Microsoft Entra-ID för att tillhandahålla användaridentitetsfunktioner.
I Microsoft Entra-ID kan du segmentera användare i klientorganisationer. En klientorganisation är en logisk konstruktion som representerar en säker, dedikerad instans av Microsoft Entra-ID som någon vanligtvis associerar med en organisation. Du kan också associera varje prenumeration med en Microsoft Entra-klientorganisation.
Varje klientbegäran om att hantera en resurs i en viss prenumeration kräver att användaren har ett konto i den associerade Microsoft Entra-klientorganisationen.
Nästa kontroll är en kontroll av att användaren har tillräcklig behörighet för att göra begäran. Behörigheter tilldelas användare med rollbaserad åtkomstkontroll i Azure (Azure RBAC).
En Azure-roll anger en uppsättning behörigheter som en användare kan ta på sig en specifik resurs. När rollen har tilldelats användaren tillämpas dessa behörigheter. Den inbyggda rollen Ägare gör till exempel att en användare kan köra alla åtgärder på en resurs.
Nästa kontroll är en kontroll av att begäran tillåts under de inställningar som angetts för Azure-resursprincipen. Azure-resursprinciper anger vilka åtgärder som tillåts för en specifik resurs. En Azure-resursprincip kan till exempel ange att användare endast får distribuera en viss typ av virtuell dator.
Nästa kontroll är en kontroll av att begäran inte överskrider en Azure-prenumerationsgräns. Varje prenumeration har till exempel en gräns på 980 resursgrupper per prenumeration. Om du får en begäran om att distribuera en annan resursgrupp när gränsen har nåtts nekar du den.
Den sista kontrollen är en kontroll för att kontrollera att begäran ligger inom det ekonomiska åtagande som du associerar med prenumerationen. Azure Resource Manager verifierar till exempel att prenumerationen har tillräckligt med betalningsinformation om begäran är att distribuera en virtuell dator.
Sammanfattning
I den här artikeln har du lärt dig hur resursåtkomst hanteras i Azure med Hjälp av Azure Resource Manager.
Nästa steg
Läs mer om molnimplementering med Microsoft Cloud Adoption Framework för Azure.