Megosztás a következőn keresztül:

AWS- és Azure-fiókok összehasonlítása

  • Cikk

Ez a cikk az Azure fiókját és szervezeti struktúráját hasonlítja össze az Amazon Web Services (AWS) fiókjával.

Az egyéb AWS- és Azure-szolgáltatásokat összehasonlító cikkekre, valamint az AWS és az Azure közötti teljes szolgáltatásleképezésre mutató hivatkozásokért tekintse meg Azure for AWS-szakemberek.

Fiókhierarchia kezelése

Egy tipikus AWS-környezet az alábbi ábrán láthatóhoz hasonló szervezeti struktúrát használ. Van egy szervezeti gyökér, és opcionálisan egy dedikált AWS-felügyeleti fiók. A gyökér alatt olyan szervezeti egységek találhatók, amelyek különböző szabályzatok különböző fiókokra való alkalmazására használhatók. Az AWS-erőforrások gyakran használnak AWS-fiókot logikai és számlázási határként.

Tipikus AWS-fiók szervezeti struktúrájának diagramja.

Az Azure-struktúra hasonló, de dedikált felügyeleti fiók helyett rendszergazdai engedélyeket biztosít a bérlő számára. Ez a kialakítás kiküszöböli a teljes fiók igényét csak a felügyelethez. Az AWS-sel ellentétben az Azure alapvető egységként használja az erőforráscsoportokat. Az erőforrásokat erőforráscsoportokhoz kell rendelni, és az engedélyek az erőforráscsoport szintjén alkalmazhatók.

Tipikus Azure-fiókkezelési struktúra diagramja.

AWS felügyeleti fiók kontra Azure-bérlő

Az Azure-ban egy Azure-fiók létrehozásakor létrejön egy Microsoft Entra-bérlő. Ebben a bérlőben kezelheti a felhasználókat, csoportokat és alkalmazásokat. Az Azure-előfizetések a bérbeadó szervezet alatt jönnek létre. Egy Microsoft Entra-bérlő identitás- és hozzáférés-kezelést biztosít. Segít biztosítani, hogy a hitelesített és jogosult felhasználók csak azokhoz az erőforrásokhoz férhessenek hozzá, amelyekhez engedélyekkel rendelkeznek. 

AWS-fiókok és Azure-előfizetések

Az Azure-ban az AWS-fiók megfelelője az Azure-előfizetés. Az Azure-előfizetések olyan Azure-szolgáltatások logikai egységei, amelyek egy Microsoft Entra-bérlőben lévő Azure-fiókhoz vannak társítva. Minden előfizetés egy számlázási fiókhoz van csatolva, és megadja az erőforrások létrehozásának, felügyeletének és számlázásának határát. Az előfizetések fontosak a költségfelosztás megértéséhez és a költségvetési korlátok betartásához. Segítenek biztosítani, hogy minden használt szolgáltatás megfelelően legyen nyomon követve és számlázva. Az Azure-előfizetések, például az AWS-fiókok, szintén határként szolgálnak az erőforráskvótákhoz és a korlátokhoz. Egyes erőforráskvóták módosíthatók, mások azonban nem.

Az AWS-ben a fiókközi erőforrás-hozzáférés lehetővé teszi, hogy az egyik AWS-fiókból származó erőforrások egy másik AWS-fiókhoz legyenek elérhetők vagy kezelhetők. Az AWS identitás- és hozzáférés-kezelési (IAM) szerepkörökkel és erőforrás-alapú szabályzatokkal is rendelkezik az erőforrások fiókok közötti eléréséhez. Az Azure-ban különböző előfizetésekben lévő felhasználókhoz és szolgáltatásokhoz adhat hozzáférést szerepköralapú hozzáférés-vezérlés (RBAC) használatával, amely különböző hatókörökben (felügyeleti csoport, előfizetés, erőforráscsoport vagy egyéni erőforrások) van alkalmazva.

AWS-szervezeti egységek és Azure felügyeleti csoportok

Az Azure-ban az AWS szervezeti egységek (OU-k) egyenértékűek a felügyeleti csoportokkal. Mindkettő a felhőbeli erőforrások magas szintű rendszerezésére és kezelésére szolgál több fiók vagy előfizetés között. Az Azure felügyeleti csoportjaival hatékonyan kezelheti az Azure-előfizetések hozzáférését, szabályzatait és megfelelőségét. Az irányítási csoport szintjén alkalmazott feltételek öröklés útján terjednek az összes társított előfizetésre.

Fontos tudnivalók a felügyeleti csoportokról és előfizetésekről:

  • Egyetlen címtár legfeljebb 10 000 felügyeleti csoportot támogat.

  • A felügyeleti csoportfa legfeljebb hat mélységi szintet támogat.

  • Minden felügyeleti csoportnak és előfizetésnek csak egy szülője lehet.

  • Minden felügyeleti csoportnak több gyermeke is lehet.

  • Minden előfizetés és felügyeleti csoport egyetlen hierarchián belül található az egyes címtárakban.

  • A felügyeleti csoportonkénti előfizetések száma korlátlan.

A gyökérszintű felügyeleti csoport az egyes címtárakhoz társított legfelső szintű felügyeleti csoport. Minden felügyeleti csoport és előfizetés a gyökérszintű felügyeleti csoporthoz összegeződik. Ez a kialakítás lehetővé teszi, hogy globális szabályzatokat és Azure-szerepkör-hozzárendeléseket implementáljon a címtár szintjén.

Szolgáltatásvezérlési szabályzatok és Azure Policy

Az AWS szolgáltatásvezérlési szabályzatainak (SCP) elsődleges célja az AWS-fiókon belüli maximális érvényes engedélyek korlátozása. Az Azure-ban a maximális engedélyek a Microsoft Entra-ban vannak meghatározva, és a bérlő, az előfizetés vagy az erőforráscsoport szintjén alkalmazhatók. Az Azure Policy számos használati esettel rendelkezik, amelyek közül néhány megfelel a tipikus SCP-használati mintáknak. Az SCP-k és az Azure-szabályzatok használatával is kikényszerítheti a vállalati szabványoknak való megfelelést, például címkézést vagy adott termékváltozatok használatát. Az SCP-k és az Azure-szabályzatok is blokkolhatják az olyan erőforrások üzembe helyezését, amelyek nem felelnek meg a megfelelőségi követelményeknek. Az Azure-szabályzatok proaktívabbak lehetnek az SCP-knél, és szervizeléseket indíthatnak el az erőforrások megfelelősége érdekében. Az Azure-szabályzatok a meglévő erőforrásokat és a jövőbeli üzembe helyezéseket is értékelni tudják.

Az AWS-fiókok struktúrájának és tulajdonjogának összehasonlítása az Azure-előfizetésekkel

Az Azure-fiókok számlázási kapcsolatot jelölnek, és az Azure-előfizetések segítenek az Azure-erőforrásokhoz való hozzáférés rendszerezésében. A fiókadminisztrátor, a szolgáltatásadminisztrátor és a társadminisztrátor az Azure három klasszikus előfizetés-rendszergazdai szerepköre:

  • Fiókadminisztrátor. Az előfizetés tulajdonosa és az előfizetésben használt erőforrások számlázási tulajdonosa. A fiókadminisztrátor csak az előfizetés tulajdonjogának átruházásával módosítható. Azure-fiókonként csak egy fiókadminisztrátor van hozzárendelve.

  • Szolgáltatás-rendszergazda. Ez a felhasználó jogosult erőforrások létrehozására és kezelésére az előfizetésben, de nem felelős a számlázásért. Alapértelmezés szerint új előfizetések esetén a fiókadminisztrátor a szolgáltatás-rendszergazda is egyben. A fiókadminisztrátor külön felhasználót rendelhet a szolgáltatásadminisztrátorhoz az előfizetés technikai és működési szempontjainak kezeléséhez. Előfizetésenként csak egy szolgáltatásadminisztrátor van hozzárendelve.

  • Társadminisztrátor. Egy előfizetéshez több társadminisztrátor is hozzárendelhető. A társ-rendszergazdák ugyanolyan hozzáférési jogosultságokkal rendelkeznek, mint a szolgáltatásadminisztrátor, de nem módosíthatják a szolgáltatásadminisztrátort.

Az előfizetési szint alatt a felhasználói szerepkörök és az egyéni engedélyek adott erőforrásokhoz is hozzárendelhetők, hasonlóan ahhoz, ahogyan az AWS-ben az IAM-felhasználók és -csoportok kapnak engedélyeket. Az Azure-ban minden felhasználói fiók egy Microsoft-fiókhoz vagy egy szervezeti fiókhoz (a Microsoft Entra-azonosítón keresztül felügyelt fiókhoz) van társítva.

Az AWS-fiókokhoz hasonlóan az előfizetések alapértelmezett szolgáltatási kvótákkal és korlátokkal rendelkeznek. A korlátok teljes listáját az Azure-előfizetések és -szolgáltatások korlátozásait, kvótáit és megkötéseit ismertető cikkben találja. Ezek a korlátok a maximális értékre növelhetők egy támogatási kérelem a felügyeleti portálon történő kitöltésével.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

Egyéb közreműködő:

  • Adam Cerini | Igazgató, partnertechnológiai stratéga

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések