Azure Ressources
Mittlerweile nutze ich immer mehr Dienste in Azure und damit leidet irgendwann die Übersichtlichkeit. Alle Ressourcen in einer Liste ist nicht nur unübersichtlich sondern auch schlecht zu delegieren. Gerade Firmen mit mehreren Administratoren und Abteilungen sollten sich frühzeitig ein Konzept überlegen, wie sie Ordnung in diesen Zoo bekommen, ehe er ihnen über den Kopf wächst.
Die Subscription
Ich musste auch erst einmal einige Zusammenhänge verstehen, was es mit den verschiedenen Azure Subscriptions und anderen Begriffen auf sich hat. Denn jeder Office 365 Tenant hat auch automatisch eine Azure AD im Hintergrund. Das ist aber keine Azure Subscription sondern ein Service, der eben als Office 365 Komponente das ist. Dieses AzureAD wird aber nur für die Konfiguration von Office 365, Intune etc. und Authentifizierungsaufgaben genutzt. Sie können damit aber keine weiteren Azure-Dienste nutzen. Dazu müssen Sie erst eine Azure Subscription anlegen.
Ich habe mich hier als "Tenant Admin" an https://portal.azure.com angemeldet und sehe, dass ich keine Subscription habe:
Die Subscription ist unabhängig von einem AzureAD oder Tenant und das macht ja auch Sinn, wenn Microsoft die Azure-Dienste an Firmen oder Entwickler verkaufen will, die keine Office 365 Lizenz haben. So ganz geht es aber nicht ohne AzureAD, denn die Verwaltung einer Subscription erfolgt natürlich über einen Administrator, der sich authentifizieren muss. Hier sehen Sie das Portal eines anderen Benutzers, der eine Subscription hat. In dem Beispiel ist das eine Azure Subscription, die ich als Teil meines Microsoft Partner Netzwerks (MPN) nutzen kann.
Diese Subscription ist aktuell mit einem AzureAD meines Office 365 Tenant verbunden. Ich kann, wie sie im roten Rechteck aber sehen, diese Zuordnung ändern. Ich muss dazu aber mit meinem Konto auch auf eine anderen AzureAD Directory berechtigt sein und natürlich warnt mich Azure davor, dass alle Berechtigungen verloren gehen.
Sie können also auch mehrere Azure Subscriptions zu einem Office 365 Tenant zuordnen und ein am AzureAD authentifizierter Benutzer kann durchaus in mehreren Subscriptions berechtigt sein.
- Transfer an Azure
subscription to a different Azure AD
directory
https://docs.microsoft.com/en-us/azure/role-based-access-control/transfer-subscription
Berechtigungen
Es gibt, ähnlich wie im Office 365 Tenant oder Active Directory bei der Einrichtung immer einen "Service Administrator".
Über "Access Control" kann ich natürlich auch andere Benutzer berechtigen. Die Azure Subscription bezieht dabei die Liste der Benutzer und Gruppen aus dem verknüpften Azure AD Directory, üblicherweise ihr Office 365 Tenant. Sie können dabei sowohl "Cloud Only"-Benutzer und -Gruppen verwenden aber auch Gruppen und Benutzer, die durch ADSync abgeglichen wurde. Es gibt auch abgestufte Berechtigungsrollen und ich habe über 140 vordefinierte Rollen gesehen. Neben einfachen Rollen wie "Owner" und "Reader" gib es viele sehr fein gestaltete Rollen.
- Add or remove Azure role assignments
using the Azure portal
https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-portal
Wenn Sie die Rollen auf dem Level der Subscription vergeben, dann werden diese auf alle alle Ressourcen vererbt. Wenn mehrere Personen in der gleichen Firmen-Subscription anfangen die Dienste zu nutzen und zu konfigurieren, sollten Sie sich ein Konzept überlegen.
Interesssant ist noch ein Schieber im AzureAD.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties
Hier kann ich mir als angemeldeter Admin die Rechte zu allen Azure Subscriptions beschaffen, die mit diesem Tenant verbunden sind.
- Elevate access to manage all Azure
subscriptions and management groups
https://docs.microsoft.com/de-de/azure/role-based-access-control/elevate-access-global-admin
Ressource Groups
Eine wichtige Rolle spielen dabei die Ressource Groups. Natürlich können Sie alle Ressourcen, also VM, Netzwerk, IP-Adressen, Webseiten einfach flach in der Subscription anlegen, aber mich würde es stark wundern, wenn sie alle Dienste als große zusammenhängende Gruppe von Diensten ansehen würden. In der Regel können sie schon Teams und Gruppen bilden, z.B. indem Sie Produkte, Funktionen o.ä. gruppieren wollen. Dann sollten Sie also "Service Admin zuerst entsprechende "Ressource Gruppen" anlegen. Sie wählen die Subscription aus, benennen die Ressource Group und legen die Region fest. Sie sollten spätestens hier sich Gedanken über ein Namenskonzept machen.
Im nächsten Schritt können Sie noch Tags vergeben, z.B. wer der "Besitzer" ist.
- Use tags to organize your Azure
resources and management hierarchy
https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/tag-resources
Danach können Sie in der Ressource Group bestimmten, wer darin welche Berechtigungen hat. Eine Ressource Group ist also so etwas wie eine OU im Active Directory, auf der Sie Berechtigungen zur Anlage weiterer Objekte vergeben können. So können andere Personen aus ihrem AzureAD Directory dann innerhalb dieser Ressource Group ihre Konfiguration selbst aufbauen.
Ganz losgelöst geht das natürlich nicht, denn spätentens wenn virtuelle Netzwerke mit IP-Adressen angelegt und per VPN mit der Firma verbunden werden, ist weiterhin eine Abstimmung erforderlich. Das kennen Sie aber analog ja auch aus dem Active Directory, wo z.B. zwei Benutzer nicht den gleichen SAMAccountNamen haben dürfen.
Beispielkonzept
So kommen Sie aber langsam an ein Berechtigungskonzept heran.
Rolle | Berechtigungen | Beschreibung |
---|---|---|
SubscriptionAdmin |
Subscription: Service Admin |
|
RessourceGroupAdmin |
Ressourcegroup: Owner |
|
SubscriptionReader |
Subscription: Reader |
|
RessourceGroupReader |
Ressourcegroup: Reader |
|
Mit so einer einfachen Struktur können Sie fürs erste schon einmal anfangen. Ich habe nicht geschrieben, dass dieser Aufbau für alle Firmen ausreichend ist. Aber es ist ein Anfang und allemal besser als alle Personen mit Bedarf an Ressourcen mal eben zum Subscription-Admin zu machen. Natürlich können Sie auch als RessourceGroupAdmin auf die Ressourcen in ihrer Ressource Group weitere Berechtigungen vergeben und sonstigen Unfug machen.
Das "Betriebskonzept" von Azure wird sich also kontinuierlich erweitern.
Azure-Nutzung zusammenführen
Dienste in der Cloud kosten Geld und es wäre nicht das erste Mal, dass Kosten entstehen, zu denen es keinen Gegenwert gibt. VMs für Testzecke werden nicht herunter gefahren, Betriebs-VMs sind zu groß dimensioniert oder di Firma nutzt aus Unwissenheit mehrere Subscriptions anstatt diese zusammen zu führen. Das ist insbesondere bei Software-Schmieden ein Thema, wo Entwickler gerne mal eine eigene Subscription mit ihrem Visual Studio Vertrag nutzen. Aber auch eine "Schatten IT" in Form einer Fachabteilung, die einfach eine eigene Subscription mit eigener Bezahlung an der IT vorbei aufbaut, ist nicht ungewöhnlich. Also Firmen-Administrator oder Geschäftsführer ist es nicht immer einfach, solche weitere Instanzen ausfindig zu machen.
Ein Weg kann einfach die Kontrolle der Buchhaltung sein, denn kaum ein Mitarbeiter wird Firmendaten auf einer Subscription betreiben, die er mit seiner privaten Kreditkarte bezahlt. Irgendwann erscheint die Rechnung in der Buchhaltung und wenn Sie dann sauber dem richtigen Konto zugewiesen wird, sollten Sie sehr schnell den Überblick behalten können.
Der andere Weg ist die Erfassung der Internet-Nutzung nach Diensten. Die Azure-Services sind klar umrissene IP-Adressen (BGP-ASN 8075) und die meisten Firewalls können diese Ziele zusammen erfassen. Wenn Sie dann noch die internen Endpunkte betrachten, dann sollten unbekannte Clients oder untypische Datenmengen oder Zeitpunkte auffallen Allerdings muss ihre Technik diese Fähigkeiten auch bereitstellen.
Limits und Abrechnung nach Tags und Ressource Groups
Sie sollten aber noch weitere Dinge bei der Verwaltung von Azure bedenken. Für jede Ressouregruppe und Ressource können Sie "Tags" verwalteten. Nutzen Sie die Möglichkeiten und als Firma sollten Sie auch die Existenz bestimmter Tags erzwingen. Ressourcen, die z.B. keinen Besitzer haben, darf es aus meiner Sicht gar nicht geben. Es muss immer jemanden geben, der für die Daten und Kosten einer Ressource verantwortlich ist. Andere Tags für Produktgruppen, Kunden-Namen, Unterscheidung nach DEV/TEST/PROG sind die nächsten Forderungen. Sie können In Azure über "Tag Polices" erzwingen, dass eine Ressource nicht angelegt werden kann, wenn bestimmte Tags gesetzt sind". Sie können auch eine Policy z.B. auf eine Ressource Group anwenden, dass bestimmte Tags bei den Ressourcen in dieser Gruppe automatisch gesetzt werden.
- Tutorial: Verwalten der Tag-Governance
mit Azure Policy
https://docs.microsoft.com/de-de/azure/governance/policy/tutorials/govern-tags
How to review tag policies
with Azure Cost Management
https://www.youtube.com/watch?v=nHQYcYGKuyw
How to use tags to quickly organize
Azure Resources | Azure Tips and Tricks
https://www.youtube.com/watch?v=qFLvB5cxREg
Auch en sinnvolles Konzept zur Benennung der verschiedenen Azure-Dienste sollen Sie vorgeben.
- Empfohlene Namens- und
Kennzeichnungskonventionen
https://docs.microsoft.com/de-de/azure/cloud-adoption-framework/ready/azure-best-practices/naming-and-tagging#naming-and-tagging-resources - Leitfaden zur Entscheidungsfindung für
Ressourcenbenennung und -markierung
https://docs.microsoft.com/de-de/azure/cloud-adoption-framework/decision-guides/resource-tagging/ - Verwenden von Tags zum Organisieren von
Azure-Ressourcen und Verwaltungshierarchie
https://docs.microsoft.com/de-de/azure/azure-resource-manager/management/tag-resources
Interessant wird, es, wenn Sie mit diesen Tags dann Reports erzeugen und jedem "Besitzer" z.B. automatisiert einen Kostenbericht zusenden können
- Script Sample - Generate Azure Resources
Report by Tags v3.0
http://harvestingclouds.com/post/script-sample-generate-azure-resources-report-by-tags-v30/
https://GitHub.com/HarvestingClouds/PowerShellSamples/tree/master/Scripts/Tagging%20Reports - Reporting on Resource Groups Tags in
Azure
https://www.cryingcloud.com/blog/2018/02/08/reporting-on-resource-group-tags-in-azure
Weitere Links
- Azure
- Tag support for Azure resources
https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/tag-support -
Transfer an Azure subscription to a
different Azure AD directory
https://docs.microsoft.com/en-us/azure/role-based-access-control/transfer-subscription