Gestire le sottoscrizioni Azure con gli Azure Management Groups
In una organizzazione può capitare, per diversi motivi, di avere più di una sottoscrizione Azure. Uno di questi può essere l’esigenza di attribuire i costi a differenti dipartimenti dove ad esempio una sottoscrizione è figlia di un Enterprise Agreement ed un’altra è un Pay As You Go utilizzata per scopi di test.
Ciò nonostante è importante poter definire Azure Policies e criteri di accesso degli amministratori (utilizzando RBAC) in maniera trasversale a tutte le subscriptions.
Abbiamo già parlato di come implementare le Azure Policies nell’articolo Come gestire le risorse Azure utilizzando le Azure Policy
I Management Groups sono la soluzione tramite la quale è possibile applicare in maniera trasversale Policies e ruoli a diverse subscription, contemporaneamente ed in maniera consistente, senza doverle riscrivere più volte.
I Management Groups sono dei contenitori logici che possono contenere, a loro volta, altri Management Groups oppure delle Subscription.
Esiste solo un Management Group principale, il Root Management Group, tutti gli altri sono suoi figli.
Ogni Management group può avere più figli, ma ogni Management Group può essere figlio di un solo Management Group.
Figura 1 – Gerarchia di Management Groups
Prima di poter attivare i Management Group è necessario essere certi di avere accesso a tutte le sottoscrizioni e per questo è necessario essere Global Admin del tenant Azure AD a cui sono collegate le subscriptions.
Questo prerequisito è fondamentale in quanto il Global Admin è l’unico ruolo Azure AD in grado di assegnarsi autonomamente il ruolo Azure di User Access Administrator. Una volta assegnatosi questo ruolo il Global Admin sarà in grado di gestire tutte le subscriptions del suo tenant, oltre al Root Management Group.
Come potete vedere nell’immagine sottostante, i ruoli Azure (in azzurro) e quelli di Azure AD (in verde) sono separati e lo User Access Administrator è l’unico ruolo Azure AD che si applica a livello Root, sopra a tutte le subscription e a tutti i Management Groups.
Figura 2 – Ruoli Azure AD vs Ruoli Azure
Per potervi assegnare questo diritto dovete aprire un browser sul portale di gestione di Azure AD https://aad.portal.azure.com, cliccare su Azure Active Directory, aprire la blade Properties e su “Access Management for Azure Resources” spostare la levetta su Yes e premere su Save
Figura 3 – Assegnare lo User Access Administrator
Una volta terminata la configurazione dei Management Groups è consigliabile rimuovere il ruolo User Access Administrator se non è necessario durante la normale operatività.
Ora potete procedere alla creazione del primo Management Group.
Nel momento in cui viene creato esso non ha né policy ne ruoli definiti ed ogni subscription già esistente viene resa figlia del Root Management Group. Questo processo può impiegare fino a 15 minuti.
Per poter creare il primo Management Group aprite il portale Azure https://portal.azure.com e nella ricerca cercate “Management groups”, si aprirà questa pagina
Figura 4 – Start using management groups
nella quale dovete premere “Start using management groups”.
Si aprirà un blade che vi chiederà Management Group ID e Display Name del Management Group che state creando. Il Group ID non può più essere cambiato dopo la creazione.
Figura 5 – Aggiunta di un Management Group
A questo punto inizia la creazione del Management Group. Attendete qualche minuto.
Figura 6 – Creazione del Management Group in corso
Una volta terminata la creazione del Management Group apparirà nella lista, eccone i punti principali:
Figura 7 – Vista di insieme del Root Management Group
- È stato creato il Tenant Root Group
- Il Management Group che è stato creato ne viene reso figlio
- Così come la Subscription
Premendo sui puntini indicati dal punto 4 e premendo Move è possibile spostare la subscription e assegnarla al Management Group appena creato
Figura 8 – Spostamento di una Subscription
Al termine del processo, ecco come si presenta la gerarchia.
Figura 9 – Gerarchia Completa
A questo punto, premendo details, è possibile creare ed assegnare Azure Policies e Ruoli al Management Group appena creato, sapendo che si applicheranno a tutte le Subscription in esso contenute.
Figura 10 – Proprietà del Management Grop
Premendo su Policies è possibile consultare tutte le Policies applicate al Management Group, in questo esempio è riportata una Policy Initiative che altro non è che un insieme di policies applicata ad un Management Group.
Figura 11 – Policies applicate al Management Group
Conclusioni
I Management Groups permettono di semplificare la gestione di multiple sottoscrizioni Azure all’interno di uno stesso Tenant. Qui trovate la documentazione ufficiale che sottolinea nel dettaglio limiti e scalabilità dei Management Groups.
Vi consiglio di creare un Management Group anche se avete solo una sottoscrizione Azure, se un domani se ne aggiungerà un’altra sarà molto più facile applicare le stesse policies.