比較 AWS 和 Azure 帳戶

本文將 Azure 的帳戶和組織結構與 Amazon Web Services （AWS） 的帳戶和組織結構進行比較。

如需比較其他 AWS 和 Azure 服務和 AWS 與 Azure 之間完整服務對應之文章的連結，請參閱適用於 AWS 專業人員的 Azure 。

管理帳戶階層

典型的 AWS 環境會使用組織結構，如下圖中的組織結構。 有一個組織根目錄，以及選擇性地設置專用的 AWS 管理帳戶。 根目錄下方是組織單位，可用來將不同的原則套用至不同的帳戶。 AWS 資源通常會使用 AWS 帳戶作為邏輯和計費界限。

顯示 AWS 帳戶的圖表。 有組織根目錄和選擇性的 AWS 管理帳戶。 在組織根部下方有組織單位。 組織單位下方有 AWS 帳戶和資源。

Azure 結構看起來很相似，但不是使用專用的管理帳戶，而是為租用戶提供系統管理的許可權。 此設計消除了設立專用帳戶以便管理的需求。 不同於 AWS，Azure 會使用資源群組作為基本單位。 資源必須指派給資源群組，而且可以在資源群組層級套用許可權。

顯示 Azure 帳戶階層的圖表。 它會從租使用者流向管理群組、訂用帳戶、資源群組，再到資源。

AWS 管理帳戶與 Azure 租戶

在 Azure 中，當您建立 Azure 帳號時，會建立 Microsoft Entra 租使用者。 您可以管理此租戶中的使用者、群組和應用程式。 Azure 訂用帳戶會在租戶底下建立。 Microsoft Entra 租戶提供身分識別和存取管理。 這有助於確保已驗證和授權的使用者只能存取他們具有許可權的資源。 

AWS 帳戶與 Azure 訂用帳戶

在 Azure 中，AWS 帳戶的對等專案是 Azure 訂用帳戶。 Azure 訂閱是 Microsoft Entra 租戶中與 Azure 帳戶連結的 Azure 服務的邏輯單位。 每個訂閱都會連結到一個計費帳戶，並提供建立、管理和計費資源的界限。 訂用帳戶對於瞭解成本配置並遵守預算限制非常重要。 它們可協助您確保所使用的每項服務都已正確追蹤並計費。 Azure 訂用帳戶，例如 AWS 帳戶，也會作為資源配額和限制的界限。 有些資源配額是可調整的，但有些則無法調整。

AWS 中的跨帳戶資源存取可讓來自某個 AWS 帳戶的資源由另一個 AWS 帳戶存取或管理。 AWS 也有身分識別與存取管理 （IAM） 角色和資源型原則，可跨帳戶存取資源。 在 Azure 中，您可以使用角色型存取控制（RBAC）來授與不同訂用帳戶中的使用者和服務存取權，此訪問控制會套用在不同的範圍（管理群組、訂用帳戶、資源群組或個別資源）。

AWS OU 與 Azure 管理群組

在 Azure 中，相當於 AWS 組織單位 （OU） 是管理群組。 兩者都用來在多個帳戶或訂閱間，以高層次組織和管理雲端資源。 您可以使用 Azure 管理群組，有效率地管理 Azure 訂用帳戶的存取、原則和合規性。 在管理群組層級套用的治理條件會透過繼承套用至所有相關聯的訂用帳戶。

管理群組與訂閱服務的重要資訊：

• 單一目錄支援多達10,000個管理群組。

• 管理群組樹狀結構支援多達六個深度層級。

• 每個管理群組和訂用帳戶只能有一個父項。

• 每個管理群組可以有多個子系。

• 所有訂用帳戶和管理群組都位於每個目錄中的單一階層內。

• 每個管理群組的訂用帳戶數目無限制。

根管理群組是與每個目錄相關聯的最上層管理群組。 所有管理群組和訂用帳戶都會匯總至根管理群組。 此設計可讓您在目錄層級實作全域原則和 Azure 角色指派。

服務控制原則與 Azure 原則

AWS 中服務控制原則 （SCP） 的主要目標是限制 AWS 帳戶內的最大有效許可權。 在 Azure 中，Microsoft Entra 中定義了最大許可權，而且可以在租用戶、訂用帳戶或資源群組層級套用。 Azure 原則有各種不同的使用案例，其中一些案例與一般 SCP 使用模式一致。 您可以使用 SCP 和 Azure 原則來強制執行企業標準的合規性，例如標記或使用特定 SKU。 SCP 和 Azure 原則都可以封鎖不符合合規性需求的資源部署。 Azure 原則比 SCP 更主動，而且可以觸發補救，讓資源符合規範。 Azure 原則也可以評估現有的資源和未來的部署。

比較 AWS 帳戶的結構和擁有權與 Azure 訂用帳戶

Azure 帳戶代表計費關聯性，而 Azure 訂用帳戶可協助您組織 Azure 資源的存取權。 帳戶管理員、服務管理員和共同管理員是 Azure 中的三個傳統訂用帳戶管理員角色：

• 帳戶管理員。 訂用帳戶擁有者和訂用帳戶中使用的資源的計費擁有者。 帳戶管理員只能藉由轉移訂用帳戶的擁有權來變更。 每個 Azure 帳戶只會指派一個帳戶管理員。

• 服務管理員。 此用戶有權在訂用帳戶中建立和管理資源，但不負責計費。 根據預設，新訂用帳戶的帳戶管理員也是服務管理員。 帳戶管理員可以將個別的使用者指派給服務管理員，以管理訂用帳戶的技術與操作層面。 每個訂用帳戶只能指派一個服務管理員。

• 共同管理員。 可以有多個共同管理員指派給訂用帳戶。 共同管理員具有與服務管理員相同的訪問許可權，但無法變更服務管理員。

在訂用帳戶層級下方，也可以將使用者角色和個別許可權指派給特定資源，類似於將許可權授與 AWS 中的 IAM 使用者和群組的方式。 在 Azure 中，所有使用者帳戶都會與Microsoft帳戶或組織帳戶相關聯（透過 Microsoft Entra ID 管理的帳戶）。

如同 AWS 帳戶，訂用帳戶具有預設的服務配額和限制。 如需這些限制的完整清單，請參閱 Azure 訂用帳戶和服務限制、配額和條件約束。 您可以在管理入口網站中提出支援要求，以增加這些限制上限。

貢獻者

本文由 Microsoft 維護。 它最初是由下列參與者所撰寫。

首席作者

• Srinivasaro Thumala |資深客戶工程師

其他參與者：

• Adam Cerini |合作夥伴技術策略師董事

若要查看非公開LinkedIn個人檔案，請登入LinkedIn。

後續步驟

• Azure 角色、Microsoft Entra 角色和傳統訂用帳戶系統管理員角色
• 新增或變更 Azure 訂用帳戶管理員
• 下載或檢視您的 Azure 帳單發票

相關資源

• 比較 AWS 和 Azure 網路選項
• 比較 AWS 和 Azure 資源管理