你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

比较 AWS 和 Azure 帐户

本文将 Azure 的帐户和组织结构与 Amazon Web Services（AWS）的帐户和组织结构进行比较。

有关比较其他 AWS 和 Azure 服务的文章链接，以及 AWS 和 Azure 之间完整服务映射的链接，请参阅面向 AWS 专业人员的 Azure。

管理帐户层次结构

典型的 AWS 环境使用组织结构，如下图中的组织结构。 有一个组织根和可选的专用 AWS 管理帐户。 根节点下面是用于向不同帐户应用不同策略的组织单元。 AWS 资源通常使用 AWS 帐户作为逻辑和计费边界。

显示 AWS 帐户的图示。 有一个组织根节点以及一个可选的 AWS 管理帐户。 在组织根下，有组织单位。 组织单位下方有 AWS 帐户和资源。

Azure 结构看起来很相似，但它不是一个专用的管理帐户，而是为租户提供管理权限。 此设计消除了整个帐户仅用于管理的需求。 与 AWS 不同，Azure 使用资源组作为基本单元。 必须将资源分配到资源组，并且可以在资源组级别应用权限。

显示 Azure 帐户层次结构的关系图。 它从租户流向管理组，再到对资源组的订阅，再到资源。

AWS 管理帐户与 Azure 租户

在 Azure 中创建 Azure 帐户时，会创建Microsoft Entra 租户。 可以管理此租户中的用户、组和应用程序。 Azure 订阅是在租户账户下创建的。 Microsoft Entra 租户提供身份和访问管理。 它有助于确保经过身份验证和授权的用户只能访问其拥有权限的资源。 

AWS 帐户与 Azure 订阅

在 Azure 中，AWS 帐户的等效项是 Azure 订阅。 Azure 订阅是链接到 Microsoft Entra 租户中的 Azure 帐户的 Azure 服务的逻辑单元。 每个订阅都与一个计费帐户相关联，并定义了创建、管理和计费资源的范围。 订阅对于了解成本分配并遵守预算限制非常重要。 他们可帮助您确保您所使用的每个服务都被正确跟踪和计费。 Azure 订阅（如 AWS 帐户）也充当资源配额和限制的边界。 某些资源配额是可调整的，但其他配额则不可调整。

AWS 中的跨帐户资源访问使来自一个 AWS 帐户的资源可供另一个 AWS 帐户访问或管理。 AWS 还具有标识和访问管理（IAM）角色和基于资源的策略，用于跨帐户访问资源。 在 Azure 中，可以通过使用基于角色的访问控制（RBAC）授予对不同订阅内的用户和服务的访问权限，RBAC 并在不同层级（管理组、订阅、资源组或单个资源）应用。

AWS OU 与 Azure 管理组

在 Azure 中，AWS 组织单位（OU）等效于管理组。 这两者用于跨多个帐户或订阅在高级别组织和管理云资源。 可以使用 Azure 管理组有效地管理 Azure 订阅的访问、策略和符合性。 在管理组级别应用的治理条件通过继承级联到所有关联的订阅。

有关管理组和订阅的重要事实：

• 单个目录支持多达 10,000 个管理组。

• 管理组树支持多达六个深度级别。

• 每个管理组和订阅只有一个父项。

• 每个管理组可以有多个子级。

• 所有订阅和管理组都位于每个目录中的单个层次结构中。

• 每个管理组的订阅数不受限制。

根管理组是与每个目录关联的顶级管理组。 所有管理组和订阅最终汇总到根管理组。 通过此设计，可以在目录级别实现全局策略和 Azure 角色分配。

服务控制策略与 Azure Policy

AWS 中的服务控制策略（SCP）的主要目标是限制 AWS 帐户中的最大有效权限。 在 Azure 中，最大权限在 Microsoft Entra 中定义，可在租户、订阅或资源组级别应用。 Azure Policy 具有广泛的用例，其中一些与典型的 SCP 使用模式保持一致。 可以使用 SCP 和 Azure 策略来强制遵守企业标准，例如标记或使用特定 SKU。 SCP 和 Azure 策略都可以阻止部署不符合符合性要求的资源。 Azure 策略可以比 SCP 更主动，并可以触发补救措施，以使资源符合要求。 Azure 策略还可以评估现有资源和将来的部署。

AWS 帐户的结构和所有权与 Azure 订阅的比较

Azure 帐户表示计费关系，Azure 订阅可帮助你组织对 Azure 资源的访问。 “帐户管理员”、“服务管理员”和“共同管理员”是 Azure 中的三种经典订阅管理员角色：

• 帐户管理员。 对订阅中所用资源计费的订阅所有者和帐户。 只能通过转让订阅所有权来更改帐户管理员。 每个 Azure 帐户仅分配一名帐户管理员。

• 服务管理员。 此用户有权在订阅中创建和管理资源，但不负责计费。 默认情况下，新订阅的帐户管理员也是服务管理员。 帐户管理员可将单独的用户分配到服务管理员帐户，用于管理订阅的技术和操作方面。 每个订阅只分配有一个服务管理员。

• 共同管理员。 可将多个共同管理员帐户分配到一个订阅。 共同管理员具有与服务管理员相同的访问权限，但他们无法更改服务管理员。

在订阅级别下，还可以将用户角色和单个权限分配给特定资源，类似于向 AWS 中的 IAM 用户和组授予权限的方式。 在 Azure 中，所有用户帐户都与Microsoft帐户或组织帐户（通过 Microsoft Entra ID 管理的帐户）相关联。

与 AWS 帐户一样，订阅具有默认的服务配额和限制。 有关这些限制的完整列表，请参阅 Azure 订阅和服务限制、配额与约束。 可以通过在管理门户中提出支持请求，将这些限制提高到最大值。

贡献者

本文由Microsoft维护。 它最初由以下参与者编写。

主要作者

• Srinivasaro Thumala |高级客户工程师

其他参与者：

• 亚当·塞里尼 |合作伙伴技术策略师主管

若要查看非公开的 LinkedIn 个人资料，请登录 LinkedIn。

后续步骤

• Azure 角色、Microsoft Entra 角色和经典订阅管理员角色
• 添加或更改 Azure 订阅管理员
• 下载或查看 Azure 计费发票

相关资源

• 比较 AWS 和 Azure 网络选项
• 比较 AWS 和 Azure 资源管理