Microsoft正式釋出Azure管理組

Microsoft宣佈正式釋出Azure管理組（Management Group）。Azure管理組通過集中管理Azure策略、RBAC等，組織並應用對同一管理組中所有預訂（Subscription）的治理（Governacne）功能。

近期，三家主要的雲服務提供商都給出了各自的訂閱分組方法。Amazon使用的是AWS Organizations，Google使用的是Resource Manager層級實現。現在，Microsoft也提供了Azure管理組。每個雲服務提供商都聲稱，自己的分組服務通過改進整個組織範圍內的安全和合規，有助於實現整體訪問控制，並對雲消費情況給出更好的可見性和可維護性。Azure管理組的釋出，為實現包括Enterprise Agreement、Pay-As-You-Go和Certified Solution Partner等各種訂閱的分組提供了一種方式。

 
\圖片來源：https://docs.microsoft.com/en-us/azure/azure-resource-manager/management-groups-overview

現在，組織可在管理組的所有層級（Hierarchy）上應用管治和合規。進而，管理組可被給定組的層級中的所有訂閱繼承，其中包括設定Azure規則。Azure規則強制了Azure資源的規則和效果，例如，只允許虛擬機器SKU的某個子集，或是符合某種命名標準。Azure管理組的另一個功能是使用RBAC實現對多個訂閱的訪問管理。

在層級中，管理組中定義的策略和規則不能被較低層次覆蓋，這是訂閱應該嚴格遵循的限制。使用Azure管理組時，應該遵守如下基本約束：

• 單個目錄最大支援10000個管理組。\\t
• 管理組樹最大可支援的深度為8，其中包括根層和訂閱層。\\t
• 一個管理組可以具有多個子組，但是訂閱和管理組只能具有一個父親。\\t
• 對於每個目錄中的單個層級，訂閱和管理組都是其中的組成部分。\\t
• 當前，管理組不支援自定義RBAC角色。\

要實現Azure管理組，首先要建立一個管理組，推薦參閱Benoit Hamet給出的一個分步操作概述。實現中將首先構建一個根管理組，然後將所有的現有訂閱移動到該根管理組中。完成管理組建立之後，目錄管理者必須提升自身角色為組所有者。之後，管理組可以新增額外的管理組，構建完整的層級樹。要將一個組新加為層級樹中的一層，需要將其做為另一個管理組的子組。相應的，在層級樹中重定位訂閱或管理組，將會繼承父管理組的規則和策略，進而使得治理控制可重用。

據Azure專家和Microsoft MVP Aidan Finn介紹，Azure管理組將有助於改進對具有多個訂閱的組織的管治和合規：

\

對於在單個租戶中具有大量訂閱的複雜組織，管理組在組織層級和訂閱層級設定RBAC模型和Azure Policy治理上具有很大的幫助。

\

檢視英文原文： Microsoft Announces General Availability of Azure Management Groups