こんにちは。
たまには、技術よりなことを書かないとブログのコンセプトがかわっちゃうなーって思いつつあるので、今回は少し技術より内容です。
今回は、Microsoft Azure の Management Group がとてもお利口さんな感じがしたので、なんとなく調べてみたことの忘備録ってみました。
情報のソースは、こちら。
Managemdnt Group とは
ざっくり説明
Management Group をすんごいざっくり説明すると、以下の2つのシナリオをもとに、サブスクリプションを管理するグループです。
- サブスクリプションに対する権限管理を、サブスクリプションの所有者よりも上のレイアでガバナンスを効かせたいケース(所有者にある程度自由な権限を与えつつも、ガバナンスは効かせたいっていうようなとき)
- 1 つのディレクトリで複数のサブスクリプションを利用しているときの、サブスクリプションの管理/運用の効率化
ちなみに、Management Group は階層化することで、効率的に権限管理ができます。イメージはドキュメントからスクショはっちゃおっと♪
- Management Group はディレクトリに紐づきます。
- 親は必ず1人で、子供は沢山という階層になる。一番上の親が、Root Management Group
- 階層は6階層まで(Root Management Group とサブスクリプションは、階層にカウントしない)
- MAX 10,000個まで管理グループを作れる(でも、そんなに作ったら管理は大変っすよねー)
ちなみに、Management Group を最初に構築した際に、Root Manegement Group が作成されます。
Root Management Group と AAD の ID が一緒なので、ここで紐づけられてるんですね~。だから、別テナントのサブスクリプションに対しては、Management Group で管理はできないってことになります。
※マスクしまくりだけど、赤枠のところが一緒ですので、ご自身の環境でご確認ください。
テナントとサブスクリプションの関係は、こちらの記事を参考にしてください。
ひとまず触ってみた
まずは Management Group を作ってみたよ
Management Group がどんなもんか知るために、ひとまず作ってみました。作るのはとても簡単で、こんな感じです
All Service から、Management Group を選んで
Add で追加して
Create New するだけです。
できましたー。
詳細もみれますー。って、作ったばっかなのでなんも面白いところはないけど。
サブスクリプションをぶら下げてみたよ
「Add Subscription」でサブスクリプションを Management Group にぶら下げることが出来ます。
もちろん、ぶら下げる Management Group の変更はできますよー。
どの Management Group にも紐づけたくないっていうのはできないので、そういう場合は Tenant Root Group 直下にしてあげます。(制限がされないところで管理をするっていう考え方ですね)
その他にも
その他にも
RBAC の管理
RBAC については、ドキュメントに記載されているこの表も大切ですね。
ちなみに、カスタム RBAC は現時点では未サポートということです。
Policy の管理
ひとまず、画像をペタペタ。Policy については、ブログを書くというタスクを積んで、早3カ月が経過中ですw
あとは、Activite Log で各サブスクリプションに行った操作を統合的に管理することが出来るみたいです。
まとめ
テナントとサブスクリプションの構造の選択肢が増えてとてもいい機能だと思います。
って、どんなときにサブスクリプションを分けるかっていうと、権限なり料金を分けて管理したいときですよねー。
部署の力関係とか、予算構造、文化や思想は全く違うので、みなさんにとって最も管理しやすい形が実現できるといいんじゃないかなーって思いますね。
ポイントとして、時間とともに運用は変わるので、あまりガチガチ固めて階層を深くしたり、権限を細かくしない方がいいとは思います。
あと、ガバナンスで全部やるんじゃなくて、ガバナンスを効かせて守るべき範囲くらいからスタートするといいと思いますよ。
サブスクリプションの所有者というか、Azure を使っている人の多くは善人だと思いますし~w
補足
2018/06/25 よりも早いプレビューを試していた方の環境では、全てのサブスクリプションが表示されない場合があるようです。
対処方法などは、以下のドキュメントに記載されていますよ。
コメント