Microsoft正式发布Azure管理组

Microsoft宣布正式发布Azure管理组（Management Group）。Azure管理组通过集中管理Azure策略、RBAC等，组织并应用对同一管理组中所有预订（Sub ion）的治理（Governacne）功能。

近期，三家主要的云服务提供商都给出了各自的订阅分组方法。Amazon使用的是AWS Organizations，Google使用的是Resource Manager层级实现。现在，Microsoft也提供了Azure管理组。每个云服务提供商都声称，自己的分组服务通过改进整个组织范围内的安全和合规，有助于实现整体访问控制，并对云消费情况给出更好的可见性和可维护性。Azure管理组的发布，为实现包括Enterprise Agreement、Pay-As-You-Go和Certified Solution Partner等各种订阅的分组提供了一种方式。

图片来源：https://docs.microsoft.com/en-us/azure/azure-resource-manager/management-groups-overview

现在，组织可在管理组的所有层级（Hierarchy）上应用管治和合规。进而，管理组可被给定组的层级中的所有订阅继承，其中包括设置Azure规则。Azure规则强制了Azure资源的规则和效果，例如，只允许虚拟机SKU的某个子集，或是符合某种命名标准。Azure管理组的另一个功能是使用RBAC实现对多个订阅的访问管理。

在层级中，管理组中定义的策略和规则不能被较低层次覆盖，这是订阅应该严格遵循的限制。使用Azure管理组时，应该遵守如下基本约束：

• 单个目录最大支持10000个管理组。
• 管理组树最大可支持的深度为8，其中包括根层和订阅层。
• 一个管理组可以具有多个子组，但是订阅和管理组只能具有一个父亲。
• 对于每个目录中的单个层级，订阅和管理组都是其中的组成部分。
• 当前，管理组不支持自定义RBAC角色。

要实现Azure管理组，首先要创建一个管理组，推荐参阅Benoit Hamet给出的一个分步操作概述。实现中将首先构建一个根管理组，然后将所有的现有订阅移动到该根管理组中。完成管理组创建之后，目录管理者必须提升自身角色为组所有者。之后，管理组可以添加额外的管理组，构建完整的层级树。要将一个组新加为层级树中的一层，需要将其做为另一个管理组的子组。相应的，在层级树中重定位订阅或管理组，将会继承父管理组的规则和策略，进而使得治理控制可重用。

据Azure专家和Microsoft MVP Aidan Finn介绍，Azure管理组将有助于改进对具有多个订阅的组织的管治和合规：

查看英文原文： Microsoft Announces General Availability of Azure Management Groups