Azure Ressources

Mittlerweile nutze ich immer mehr Dienste in Azure und damit leidet irgendwann die Übersichtlichkeit. Alle Ressourcen in einer Liste ist nicht nur unübersichtlich sondern auch schlecht zu delegieren. Gerade Firmen mit mehreren Administratoren und Abteilungen sollten sich frühzeitig ein Konzept überlegen, wie sie Ordnung in diesen Zoo bekommen, ehe er ihnen über den Kopf wächst.

Die Subscription

Ich musste auch erst einmal einige zusammenhänge verstehen, was es mit den verschiedenen Azure Subscriptions und anderen Begriffen auf sich hat. Denn jeder Office 365 Tenant hat auch automatisch eine Azure AD im Hintergrund. Das ist aber keine Azure Subscription sondern ein Service, der eben als Office 365 Komponente das ist. Dieses AzureAD wird aber nur für die Konfiguration von Office 365, Intune etc. und Authentifizierungsaufgaben genutzt. Sie können damit aber keine weiteren Azure-Dienste nutzen. Dazu müssen Sie erst eine Azure Subscription anlegen.

Ich habe mich hier als "Tenant Admin" an https://portal.azure.com angemeldet und sehe, dass ich keine Subscription habe:

Die Subscription ist unabhängig von einem AzureAD oder Tenant und das macht ja auch Sinn, wenn Microsoft die Azure-Dienste an Firmen oder Entwickler verkaufen will, die keine Office 365 Lizenz haben. So ganz geht es aber nicht ohne AzureAD, denn die Verwaltung einer Subscription erfolgt natürlich über einen Administrator, der sich authentifizieren muss. Hier sehen Sie das Portal eines anderen Benutzers, der eine Subscription hat. In dem Beispiel ist das eine Azure Subscription, die ich als Teil meines Microsoft Partner Netzwerks (MPN) nutzen kann.

Diese Subscription ist aktuell mit einem AzureAD meines Office 365 Tenant verbunden. Ich kann, wie sie im roten Rechteck aber sehen, diese Zuordnung ändern. Ich muss dazu aber mit meinem Konto auch auf eine anderen AzureAD Directory berechtigt sein und natürlich warnt mich Azure davor, dass alle Berechtigungen verloren gehen

Sie können also auch mehrere Azure Subscriptions zu einem Office 365 Tenant zuordnen und ein am AzureAD authentifizierter Benutzer kann durchaus in mehreren Subscriptions berechtigt sein

Berechtigungen

Es gibt, ähnlich wie im Office 365 Tenant oder Active Directory bei der Einrichtung immer einen "Service Administrator"

Über "Access Control" kann ich natürlich auch andere Benutzer berechtigen. Die Azure Subscription bezieht dabei die Liste der Benutzer und Gruppen aus dem verknüpften Azure AD Directory, üblicherweise ihr Office 365 Tenant. Sie können dabei sowohl "Cloud Only"-Benutzer und -Gruppen verwenden aber auch Gruppen und Benutzer, die durch ADSync abgeglichen wurde. Es gibt auch abgestufte Berechtigungsrollen und ich habe über 140 vordefinierte Rollen gesehen. Neben einfachen Rollen wie "Owner" und "Reader" gib es viele sehr fein gestaltete Rollen.

Wenn Sie die Rollen auf dem Level der Subscription vergeben, dann werden diese auf alle alle Ressourcen vererbt. Wenn mehrere Personen in der gleichen Firmen-Subscription anfangen die Dienste zu nutzen und zu konfigurieren, sollten Sie sich ein Konzept überlegen.

Interesssant ist noch ein Schieber im AzureAD.

Hier kann ich mir als angemeldeter Admin die Rechte zu allen Azure Subscriptions beschaffen, die mit diesem Tenant verbunden sind.

Ressource Groups

Eine wichtige Rolle spielen dabei die Ressource Groups. Natürlich können Sie alle Ressourcen, also VM, Netzwerk, IP-Adressen, Webseiten einfach flach in der Subscription anlegen, aber mich würde es stark wundern, wenn sie alle Dienste als große zusammenhängende Gruppe von Diensten ansehen würden. In der Regel können sie schon Teams und Gruppen bilden, z.B. indem Sie Produkte, Funktionen o.ä. gruppieren wollen. Dann sollten Sie also "Service Admin zuerst entsprechende "Ressource Gruppen" anlegen. Sie wählen die Subscription aus, benennen die Ressource Group und legen die Region fest. Sie sollten spätestens hier sich Gedanken über ein Namenskonzept machen.

Im nächsten Schritt können Sie noch Tags vergeben, z.B. wer der "Besitzer" ist.

Danach können Sie in der Ressource Group bestimmten, wer darin welche Berechtigungen hat. Eine Ressource Group ist also so etwas wie eine OU im Active Directory, auf der Sie Berechtigungen zur Anlage weiterer Objekte vergeben können. So können andere Personen aus ihrem AzureAD Directory dann innerhalb dieser Ressource Group ihre Konfiguration selbst aufbauen.

Ganz losgelöst geht das natürlich nicht, denn spätentens wenn virtuelle Netzwerke mit IP-Adressen angelegt und per VPN mit der Firma verbunden werden, ist weiterhin eine Abstimmung erforderlich. Das kennen Sie aber analog ja auch aus dem Active Directory, wo z.B. zwei Benutzer nicht den gleichen SAMAccountNamen haben dürfen.

Beispielkonzept

So kommen Sie aber langsam an ein Berechtigungskonzept heran.

Rolle Berechtigungen Beschreibung

SubscriptionAdmin

Subscription: Service Admin

  • Verwaltet alle Belange der kompletten Subscription.
  • Legt entsprechende Ressource Groups an
  • Vergibt Berechtigungen auf die die Ressource Group
  • Verwaltet die Zahlungsmittel und überwacht Gesamtkosten

RessourceGroupAdmin

Ressourcegroup: Owner

  • Verwaltet seine RessourceGroup selbständig
  • Ist eigenverantwortlich für die entstehenden Kosten
  • Sorgt für die Einhaltung des Namenskonzepts
  • Verwaltet die Ressourcen

SubscriptionReader

Subscription: Reader

  • Darf alle Informationen der Subscription und Ressource Groups lesen
  • z.B. IT Security und Compliance, um die Einhaltung zu kontrollieren
  • IT-Helpdesk und Monitoring zur Unterstützung und Fehlersuche
  • Controlling, um die Kosten zu prüfen

RessourceGroupReader

Ressourcegroup: Reader

  • "Kontrolliert" den RessourceGroupAdmin
  • Oft Team-Mitglieder, die ebenfalls sehen müssen, was eingestellt ist.
  • Sie dürfen aber nicht ändern.

Mit so einer einfachen Struktur können Sie fürs erste schon einmal anfangen. Ich habe nicht geschrieben, dass dieser Aufbau für alle Firmen ausreichend ist. Aber es ist ein Anfang und allemal besser als alle Personen mit Bedarf an Ressourcen mal eben zum Subscription-Admin zu machen. Natürlich können Sie auch als RessourceGroupAdmin auf die Ressourcen in ihrer Ressource Group weitere Berechtigungen vergeben und sonstigen Unfug machen.

Das "Betriebskonzept" von Azure wird sich also kontinuierlich erweitern.

Azure-Nutzung zusammenführen

Dienste in der Cloud kosten Geld und es wäre nicht das erste Mal, dass Kosten entstehen, zu denen es keinen Gegenwert gibt. VMs für Testzecke werden nicht herunter gefahren, Betriebs-VMs sind zu groß dimensioniert oder di Firma nutzt aus Unwissenheit mehrere Subscriptions anstatt diese zusammen zu führen. Das ist insbesondere bei Software-Schmieden ein Thema, wo Entwickler gerne mal eine eigene Subscription mit ihrem Visual Studio Vertrag nutzen. Aber auch eine "Schatten IT" in Form einer Fachabteilung, die einfach eine eigene Subscription mit eigener Bezahlung an der IT vorbei aufbaut, ist nicht ungewöhnlich. Also Firmen-Administrator oder Geschäftsführer ist es nicht immer einfach, solche weitere Instanzen ausfindig zu machen.

Ein Weg kann einfach die Kontrolle der Buchhaltung sein, denn kaum ein Mitarbeiter wird Firmendaten auf einer Subscription betreiben, die er mit seiner privaten Kreditkarte bezahlt. Irgendwann erscheint die Rechnung in der Buchhaltung und wenn Sie dann sauber dem richtigen Konto zugewiesen wird, sollten Sie sehr schnell den Überblick behalten können.

Der andere Weg ist die Erfassung der Internet-Nutzung nach Diensten. Die Azure-Services sind klar umrissene IP-Adressen (BGP-ASN 8075) und die meisten Firewalls können diese Ziele zusammen erfassen. Wenn Sie dann noch die internen Endpunkte betrachten, dann sollten unbekannte Clients oder untypische Datenmengen oder Zeitpunkte auffallen Allerdings muss ihre Technik diese Fähigkeiten auch bereitstellen.

Limits und Abrechnung nach Tags und Ressource Groups

Sie sollten aber noch weitere Dinge bei der Verwaltung von Azure bedenken. Für jede Ressouregruppe und Ressource können Sie "Tags" verwalteten. Nutzen Sie die Möglichkeiten und als Firma sollten Sie auch die Existenz bestimmter Tags erzwingen. Ressourcen, die z.B. keinen Besitzer haben, darf es aus meiner Sicht gar nicht geben. Es muss immer jemanden geben, der für die Daten und Kosten einer Ressource verantwortlich ist. Andere Tags für Produktgruppen, Kunden-Namen, Unterscheidung nach DEV/TEST/PROG sind die nächsten Forderungen. Sie können In Azure über "Tag Polices" erzwingen, dass eine Ressource nicht angelegt werden kann, wenn bestimmte Tags gesetzt sind". Sie können auch eine Policy z.B. auf eine Ressource Group anwenden, dass bestimmte Tags bei den Ressourcen in dieser Gruppe automatisch gesetzt werden.

How to review tag policies with Azure Cost Management
https://www.youtube.com/watch?v=nHQYcYGKuyw

How to use tags to quickly organize Azure Resources | Azure Tips and Tricks
https://www.youtube.com/watch?v=qFLvB5cxREg

Auch en sinnvolles Konzept zur Benennung der verschiedenen Azure-Dienste sollen Sie vorgeben.

Interessant wird, es, wenn Sie mit diesen Tags dann Reports erzeugen und jedem "Besitzer" z.B. automatisiert einen Kostenbericht zusenden können

Weitere Links