Gestionarea accesului la resurse in Azure – Cloud Adoption Framework

• 17.09.2019
• 4 minute de citit

In acest articol

Metodologia Govern prezinta cele cinci discipline de guvernare in cloud, care include gestionarea resurselor. Ce este guvernarea accesului la resurse mai departe explica modul in care managementul accesului la resurse se incadreaza in disciplina gestionarii resurselor. Inainte de a continua sa aflati cum sa proiectati un model de guvernanta, este important sa intelegeti controalele de gestionare a accesului la resurse in Azure. Configurarea acestor controale de gestionare a accesului la resurse formeaza baza modelului dvs. de guvernanta.

Incepeti examinand mai atent modul in care sunt implementate resursele in Azure.

Ce este o resursa Azure?

In Azure, termenul resursa se refera la o entitate administrata de Azure. De exemplu, masinile virtuale, retelele virtuale si conturile de stocare sunt denumite resurse Azure.

Figura 1: O resursa.

Ce este un grup de resurse Azure?

Fiecare resursa din Azure trebuie sa apartina unui grup de resurse. Un grup de resurse este pur si simplu o constructie logica care grupeaza mai multe resurse, astfel incat sa poata fi gestionate ca o singura entitate pe baza ciclului de viata si a securitatii . De exemplu, resursele care partajeaza un ciclu de viata similar, cum ar fi resursele pentru o aplicatie de nivel n pot fi create sau sterse ca grup. Cu alte cuvinte, tot ceea ce se naste impreuna, se gestioneaza impreuna si devalorizeaza impreuna, merge impreuna intr-un grup de resurse.

Figura 2: Un grup de resurse contine o resursa.

Grupurile de resurse si resursele pe care le contin sunt asociate cu un abonament Azure.

Ce este un abonament Azure?

Un abonament Azure este similar cu un grup de resurse prin faptul ca este o constructie logica care grupeaza grupuri de resurse si resursele acestora. Un abonament Azure este, de asemenea, asociat cu controalele utilizate de Azure Resource Manager. Aruncati o privire mai atenta la Azure Resource Manager pentru a afla despre relatia dintre acesta si un abonament Azure.

Figura 3: Un abonament Azure.

Ce este Azure Resource Manager?

In Cum functioneaza Azure? ati aflat ca Azure include un front end cu multe servicii care orchestreaza toate functiile Azure. Unul dintre aceste servicii este Azure Resource Manager, iar acest serviciu gazduieste API-ul RESTful utilizat de clienti pentru a gestiona resursele.

Figura 4: Azure Resource Manager.

Urmatoarea figura prezinta trei clienti: PowerShell, portalul Azure si CLI Azure:

Figura 5: Clientii Azure se conecteaza la Resource Manager REST API.

In timp ce acesti clienti se conecteaza la Resource Manager utilizand API-ul REST, Resource Manager nu include functionalitatea de a gestiona direct resursele. Mai degraba, majoritatea tipurilor de resurse din Azure au propriul furnizor de resurse.

Figura 6: Furnizori de resurse Azure.

Cand un client face o cerere pentru a gestiona o anumita resursa, Azure Resource Manager se conecteaza la furnizorul de resurse pentru acel tip de resursa pentru a finaliza solicitarea. De exemplu, daca un client face o solicitare de gestionare a unei resurse de masini virtuale, Azure Resource Manager se conecteaza la furnizorul de resurse Microsoft.Compute.

Figura 7: Azure Resource Manager se conecteaza la furnizorul de resurse Microsoft.Compute pentru a gestiona resursa specificata in solicitarea clientului.

Managerul de resurse Azure solicita clientului sa specifice un identificator atat pentru abonament, cat si pentru grupul de resurse, pentru a gestiona resursa masinii virtuale.

Acum, ca aveti o intelegere a modului in care functioneaza Azure Resource Manager, reveniti la discutia despre modul in care un abonament Azure este asociat cu controalele utilizate de Azure Resource Manager. Inainte ca orice solicitare de gestionare a resurselor sa poata fi executata de Azure Resource Manager, un set de controale sunt verificate.

Primul control este ca o cerere trebuie facuta de un utilizator validat, iar Azure Resource Manager are o relatie de incredere cu Azure Active Directory (Azure AD) pentru a oferi functionalitatea identitatii utilizatorului.

Figura 8: Azure Active Directory.

In Azure AD, utilizatorii sunt segmentati in chiriasi. Un chirias este o constructie logica care reprezinta o instanta sigura si dedicata a Azure AD asociata de obicei cu o organizatie. Fiecare abonament este asociat cu un chirias Azure AD.

Figura 9: Un chirias Azure AD asociat cu un abonament.

Fiecare solicitare de client pentru a gestiona o resursa intr-un anumit abonament necesita ca utilizatorul sa aiba un cont in chiriasul Azure AD asociat.

Urmatorul control este o verificare a faptului ca utilizatorul are permisiunea suficienta pentru a face cererea. Permisiunile sunt atribuite utilizatorilor care utilizeaza controlul accesului bazat pe roluri Azure (Azure RBAC).

Figura 10: Fiecarui utilizator din chirias i se atribuie unul sau mai multe roluri Azure.

Un rol Azure specifica un set de permisiuni pe care un utilizator le poate lua asupra unei resurse specifice. Cand rolul este atribuit utilizatorului, aceste permisiuni sunt aplicate. De exemplu, rolul de proprietar incorporat permite unui utilizator sa efectueze orice actiune asupra unei resurse.

Urmatorul control este o verificare a faptului ca solicitarea este permisa in cadrul setarilor specificate pentru politica de resurse Azure. Politicile de resurse Azure specifica operatiunile permise pentru o anumita resursa. De exemplu, o politica de resurse Azure poate specifica faptul ca utilizatorii au voie sa implementeze un anumit tip de masina virtuala.

Figura 11: Politica de resurse Azure.

Urmatorul control este o verificare a faptului ca solicitarea nu depaseste o limita de abonament Azure. De exemplu, fiecare abonament are o limita de 980 de grupuri de resurse per abonament. Daca se primeste o cerere de implementare a unui grup de resurse suplimentare atunci cand limita a fost atinsa, aceasta este respinsa.

Figura 12: Limitele resurselor Azure.

Controlul final este o verificare a faptului ca solicitarea se incadreaza in angajamentul financiar asociat abonamentului. De exemplu, daca solicitarea este de a implementa o masina virtuala, Azure Resource Manager verifica daca abonamentul are suficiente informatii de plata.

Figura 13: Un angajament financiar este asociat cu un abonament.

rezumat

In acest articol, ati aflat despre cum este gestionat accesul la resurse in Azure utilizand Azure Resource Manager.

Pasii urmatori

Acum ca intelegeti cum sa gestionati accesul la resurse in Azure, treceti mai departe pentru a afla cum sa proiectati un model de guvernanta pentru o sarcina simpla sau pentru mai multe echipe care utilizeaza aceste servicii.