你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中的资源访问管理
本文介绍如何在 Azure 中部署资源,从资源、订阅和资源组的基本 Azure 构造开始。 然后,你将了解 Azure 资源管理器 (ARM) 如何部署资源。
什么是 Azure 资源?
在 Azure 中,资源是指由 Azure 管理的实体。 Azure 资源的完整示例包括虚拟机、虚拟网络和存储帐户。
什么是 Azure 资源组?
Azure 中的每个资源必须属于某个资源组。 资源组是一个逻辑容器,用于关联多个资源,以便可以根据生命周期和安全性将它们作为单个实体进行管理。 例如,如果资源共享类似的生命周期,你可以将资源作为一个组创建或删除,例如 n 层应用程序的资源。 换句话说,你一起创建、管理和弃用的所有内容都与资源组关联。
推荐的最佳做法是将资源组及其包含的资源与 Azure 订阅相关联。
什么是 Azure 订阅?
Azure 订阅类似于资源组,因为它是一个逻辑容器,用于关联资源组及其各自的资源。 Azure 订阅还与 Azure 资源管理器控件相关联。 了解 Azure 资源管理器及其与 Azure 订阅的关系。
什么是 Azure 资源管理器?
在 Azure 如何工作?中,你了解到 Azure 包含一个前端,其中包含协调 Azure 功能的服务。 其中一项服务是 Azure 资源管理器。 此服务托管 RESTful API 客户端用于管理资源。
下图显示了三个客户端:Azure Powershell、Azure 门户和 Azure CLI:
尽管这些客户端使用 REST API 连接到资源管理器,但资源管理器不包含直接管理资源的功能。 Azure 中的大多数资源类型具有自身的资源提供程序。
当客户端发出管理特定资源的请求时,Azure 资源管理器连接到相应资源类型的资源提供程序,以完成请求。 例如,如果客户端发出管理虚拟机资源的请求,Azure 资源管理器会连接到 Microsoft.Compute
资源提供程序。
Azure 资源管理器要求客户端,必须指定订阅和资源组的标识符,才能管理虚拟机资源。
了解 Azure 资源管理器的工作原理后,即可了解如何将 Azure 订阅与 Azure 资源管理器控件相关联。 在 Azure 资源管理器可以执行任何资源管理请求之前,请先查看以下一组控制措施。
第一个控制措施是必须由经过验证的用户发出请求。 此外,Azure 资源管理器必须与 Microsoft Entra ID 建立受信任的关系才能提供用户标识功能。
在 Microsoft Entra ID 中,可以将用户细分为租户。 租户是一个逻辑构造,表示某人通常与组织关联的安全专用 Microsoft Entra ID 实例。 还可以将每个订阅与 Microsoft Entra 租户相关联。
每个客户端请求管理特定订阅中的资源都需要用户在关联的 Microsoft Entra 租户中拥有帐户。
下一个控制措施是检查用户是否拥有发出请求的足够权限。 权限是使用 Azure 基于角色的访问控制 (Azure RBAC) 分配给用户的。
Azure 角色指定用户可以对特定的资源拥有的一组权限。 将角色分配给用户时,会应用这些权限。 例如, 内置所有者角色 允许用户对资源运行任何操作。
下一个控制措施是检查为 Azure 资源策略指定的设置是否允许该请求。 Azure 资源策略指定允许对特定资源执行的操作。 例如,Azure 资源策略可以指定只允许用户部署特定类型的虚拟机。
下一个控制措施是检查请求是否未超过 Azure 订阅限制。 例如,每个订阅限制为包含 980 个资源组。 如果你在达到限制时收到部署另一个资源组的请求,请拒绝请求。
最后一个控制措施是验证请求是否在与订阅关联的财务承诺范围内。 例如,如果请求是部署虚拟机,Azure 资源管理器会验证订阅是否包含足够的付款信息。
总结
本文已介绍如何使用 Azure 资源管理器在 Azure 中管理资源访问。
后续步骤
通过适用于 Azure 的 Microsoft 云采用框架了解有关云采用的更多信息。