Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Группы служб Azure предлагают гибкий способ упорядочивания ресурсов и управления ими между подписками и группами ресурсов, параллельно с любой существующей иерархией ресурсов Azure. Они идеально подходят для сценариев, требующих межграничной группировки, минимальных разрешений и агрегирования данных между ресурсами. Эти функции позволяют командам создавать специализированные коллекции ресурсов, которые соответствуют операционным, организационным или персонализированным потребностям. В этой статье приведены общие сведения о группах служб, сценариях их использования и важных фактах.
Important
Группы служб Azure в настоящее время находятся в общедоступной предварительной версии. Ознакомьтесь с Дополнительными условиями использования для предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся в статусе бета, предварительного просмотра или иначе еще не выпущены в общий доступ.
Ключевые возможности
- Несколько иерархий: группы служб позволяют использовать сценарии, в которых ресурсы можно группировать в разных представлениях для нескольких целей.
- Гибкое членство: группы служб позволяют объединять ресурсы из разных подписок, предоставляя унифицированные возможности представления и управления. Они также позволяют группировать подписки, группы ресурсов и ресурсы. Одни и те же ресурсы могут быть подключены ко многим разным группам служб, что позволяет создавать и использовать разные пользовательские лица и сценарии.
- Управление низкими привилегиями: группы служб предназначены для работы с минимальными разрешениями, гарантируя, что пользователи могут управлять ресурсами без чрезмерного доступа.
Примеры сценариев
Клиенты могут создавать различные представления, поддерживающие организацию ресурсов.
Унифицированное представление ресурсов
- Организации с несколькими приложениями и средами могут использовать группы служб для создания централизованного представления сведений о ресурсах в разных средах. Ресурсы-члены или контейнеры ресурсов из различных сред в разных группах управления или подписках могут быть связаны с одной группой сервисов, предоставляя единую эталонную точку для сведений о ресурсах.
- Так как группы служб не наследуют разрешения от своих членов, клиенты могут применять принципы наименьших привилегий для назначения разрешений на группы служб, которые позволяют просматривать сведения о ресурсах. Эта возможность позволяет использовать сценарии, в которых два пользователя могут получить доступ к одной группе служб, но только один может просматривать определенные ресурсы.
Создание инвентаризации
- Клиенты могут подключать ресурсы к группам служб, чтобы получить консолидированное представление всех ресурсов определенного типа или функции во всей среде.
- Различные персоны
- С группами служб организации могут управлять несколькими иерархиями в одних и том же ресурсах для разных пользователей и собственных отдельных представлений. Клиенты могут использовать одни и те же ресурсы, чтобы быть членами группы служб рабочей нагрузки, группы служб отделов и группы служб со всеми рабочими ресурсами.
Принцип работы
Группы служб Azure — это параллельная иерархия уровня клиента, которая позволяет группировать ресурсы. Разделение между группами управления, подписками и группами ресурсов позволяет группам служб подключаться несколько раз к разным ресурсам и контейнерам ресурсов, не влияя на существующие структуры.
Сведения о группах служб
- Группа служб создается в поставщике ресурсов Microsoft.Management.
- Группы служб позволяют создавать вложенные структуры до 10 уровней глубины группировки. Вложение можно управлять с помощью свойства parent в ресурсе группы служб.
- Назначения ролей в группе служб можно наследоваться только дочерним группам служб. Нет наследования через членство в ресурсах или контейнерах ресурсов.
- Существует ограничение в 2000 членов группы служб, поступающих из одной подписки.
- В окне предварительной версии в одном клиенте существует ограничение в 10 000 групп служб.
- Идентификаторы групп служб и участников группы служб поддерживают до 250 символов. Они могут быть буквенно-цифровыми и специальными символами: - _ ( ). ~
- Для групп служб требуется глобальный уникальный идентификатор. Два клиента Microsoft Entra не могут иметь группу служб с идентичными идентификаторами.
- Членство в группах служб управляется параметром Microsoft.Relationship/ServiceGroupMember на нужном элементе (ресурсе, группе ресурсов или подписке) при выборе требуемой группы служб.
Группы Azure Resource Manager
Azure предлагает широкий спектр контейнеров ресурсов, которые позволяют нашим клиентам управлять ресурсами в различных масштабах. Группы служб — это только самые новые в семействе контейнеров Azure Resource Manager (ARM), используемых для упорядочивания среды.
В этой таблице показана сводка различий между группами.
Сравнение сценариев
| Scenario | Группа ресурсов | Subscription | Группа управления | Группа служб | Tags |
|---|---|---|---|---|---|
| Требовать наследование от назначения области действия к каждому члену или потомкам ресурсов. | Supported* | Supported | Supported | Не поддерживается | Не поддерживается |
| Консолидация ресурсов для уменьшения назначений ролей и назначений политик | Supported | Supported | Supported | Не поддерживается | Не поддерживается |
| Группирование ресурсов, общих между границами охватов. Ex. Глобальные сетевые ресурсы в одной подписке или группе ресурсов, которые совместно используются в нескольких приложениях с собственными подписками или группами ресурсов. | Не поддерживается | Не поддерживается | Не поддерживается | Supported | Supported |
| Создайте отдельные группы, позволяющие выполнять отдельные агрегации метрик | Не поддерживается | Supported | Supported | Supported | Supported** |
| Применение ограничений на уровне предприятия или конфигураций организации для множества ресурсов | Supported* | Supported* | Supported* | Не поддерживается | Supported*** |
*: если политика применяется к области, принудительное применение относится ко всем членам в области. Например, в группе ресурсов она применяется только к ресурсам под ним.
**. Теги могут применяться между областями и добавляться в ресурсы по отдельности. Политика Azure имеет встроенные политики, которые могут помочь управлять тегами.
. Теги Azure можно использовать в качестве критериев в политике Azure для применения политик к определенным ресурсам. Теги Azure подвергаются ограничениям.
Важные факты о группах служб
- Один клиент может поддерживать 10 000 групп служб.
- Дерево групп служб может поддерживать до 10 уровней глубины. Это ограничение не включает корневой уровень.
- У каждой группы служб может быть много детей.
- Имя или идентификатор одной группы служб может составлять до 250 символов.
- Нет ограничений на количество членов групп служб, но в подписке существует ограничение в 2000 связей (включая ServiceGroupMember)
Группа базовых услуг
Группы служб, аналогично группам управления, имеют единственную корневую группу служб, которая является вышестоящей для всех групп служб этого арендатора. Идентификатор корневой группы служб совпадает с идентификатором арендатора.
Группы служб создают корневую группу служб при получении первого запроса в пределах арендатора, и пользователи не могут создавать или обновлять корневую группу служб. "/providers/microsoft.management/servicegroups/[tenantId]"
Доступ к корневому каталогу должен быть предоставлен пользователю с разрешениями microsoft.authorization/roleassignments/write на уровне клиента. Например, глобальный администратор арендатора может увеличить уровень доступа арендатора, чтобы иметь эти разрешения. Сведения о повышении доступа глобального администратора клиента
Элементы управления доступом на основе ролей
Существует три встроенных определения ролей для поддержки групп служб в предварительной версии.
Note
Пользовательские элементы управления доступом на основе ролей не поддерживаются в режиме предварительного просмотра.
Администратор группы служб. Эта встроенная роль управляет всеми аспектами групп служб и отношений и является ролью по умолчанию , предоставленной пользователям при создании группы служб.
Участник группы служб. Эта встроенная роль должна быть предоставлена пользователям, когда им нужно создать или управлять жизненным циклом группы служб. Эта роль позволяет выполнять все действия, кроме возможностей назначения ролей.
Читатель группы служб: Эта встроенная роль предоставляет доступ только для чтения к сведениям о группе служб и может быть назначена другим ресурсам для просмотра подключенных связей.
Любой пользователь с допустимыми разрешениями в клиенте может создать группу служб под корнем. Пользователь, создающий группу служб, становится администратором группы служб. Чтобы изменить группу служб или создать дочерние группы служб, пользователь должен иметь "Участника группы служб" в этой группе служб. Чтобы добавить участников, пользователи должны иметь роль "Контрибьютор группы служб" в группе служб и Microsoft.Relationship/write в ресурсе.