ניהול חשבונות Azure בעזרת Management Groups

פברואר 1, 2019 Avihai Hajaj Azure Policy, Azure RBAC, Governance, Microsoft Azure, Security 0

שלום לכולם,

במאמר זה אסביר מה זה Management Groups, איך הוא מסייע לנהל ביעילות מדיניות, גישה וכו’ על מספר חשבונות (subscriptions) וכמובן איך לבנות Management Group חדש.

מה זה Management Groups

מיקרוסופט יצרה מודל ניהול חדש עבור ארגונים בעלי מספר רב של Subscriptions בשם Management Groups.
באמצעות תכונה זו, ניתן להחיל הרשאות, מדיניות ועוד למספר מינויים בבת אחת.
כל החשבונות שנמצאים תחת “קבוצת הניהול” (Management Group) יורשים באופן אוטומטי את התנאים שהוחלו על ה-Management Group.
לדוגמה: להחיל מדיניות על ה-Manaagment Group המגביל לאזורים מסויימים או חסימה של כתובות Public IP וכל החשבונות (ה-Subscriptions) תחת אותו Management Groups יקבלו מדיניות זו (ראה מאמר על החלת מדינויות בעזרת Azure Policy).

בניית היררכיה בעזרת Management Group

כאשר מנהלים מספר רב של חשבונות באותו ארגון (לדוגמה הפרדה של חשבונות לפי מחלקות) ויש למספר רב של משתמשים/מחלקות את היכולת להרים שירותים בחשבון, חשוב שתהיה דרך לאכוף מדיניות Azure ארגונית.
היררכיה של Management Groups משתרעת מה-Root Group לאורך “הענפים” עבור כל חשבון (Subsciptions).
תכונה זאת תאפשר לנהל בצורה פשוטה ואחידה את המשאבים מבחינת מדיניות, גישה ועוד לכל Managment Group.
לדוגמה: החלה מדיניות של איסור Public IP בחשבונות שנמצאים תחת Management Group של Dev לעומת חשבונות Management Group של Prod שכן צריכים להיות חשופים לעולם.

Management Group

מספר דגשים:
  • ניתן להגדיר עד 6 רמות עומק בהיררכיה של Management Group.
  • ה-Management Group יכול להכיל “הורה” אחד אבל “הורה” יכול להכיל מספר “ילדים”.
  • ניתן לשייך סוגי חשבונות שונים (EA, PAYG וכו’) לאותו Management Group כל עוד הם שייכים לאותו Tenant.

איך בונים Management Group

  1. הולכים ל-All Services ובוחרים Management Groups.
    ManagementGroup01
  2. לוחצים על Add Management Groups ובוחרים אם רוצים חדש או קיים (תחת Management Group אחר), בוחרים שם ולוחצים אישור.
    ManagementGroup02
  3. בוחרים את ה-Management Group שיצרנו ולוחצים על Details ושם רואים את כל החשבונות השייכים לקבוצה, מדיניות ועוד.
    ManagementGroup03
  4. לוחצים על Add Subscription ומשייכים את ה-Subscription הרלוונטי.ManagementGroup04

לאחר השיוך תוכלו להגדיר מדיניות על הקבוצה, הרשאות ועוד (ראה מאמר על Azure Policy בלינק הבא: Azure Policy).

לסיכום

Management Groups מאפשר לנו לנהל בצורה פשוטה ואחידה מספר חשבונות Azure.
באמצעות תכונה זו, ניתן להחיל הרשאות, מדיניות ועוד למספר מינויים בבת אחת.
בהמשך אפרסם מאמרים נוספים בנושא governance בחשבונות Azure.
בהצלחה Smile

Be the first to comment

Leave a Reply

כתובת האימייל שלך לא תפורסם


*