Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os Grupos de Serviços do Azure oferecem uma maneira flexível de organizar e gerenciar recursos entre assinaturas e grupos de recursos, paralelamente a qualquer hierarquia de recursos existente do Azure. Eles são ideais para cenários que exigem agrupamento transfronteiriço, permissões mínimas e agregações de dados entre recursos. Esses recursos capacitam as equipes a criar coleções de recursos personalizadas que se alinham com as necessidades operacionais, organizacionais ou baseadas em persona. Este artigo ajuda a fornecer uma visão geral do que são Grupos de Serviços, os cenários para os quais usá-los e fatos importantes.
Important
Os Grupos de Serviços do Azure estão atualmente em pré-visualização pública. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Principais capacidades
- Várias hierarquias: os Grupos de Serviços permitem cenários em que os recursos podem ser agrupados em diferentes modos de exibição para várias finalidades.
- Associação flexível: os grupos de serviços permitem que recursos de diferentes assinaturas sejam agrupados, fornecendo uma visão unificada e recursos de gerenciamento. Eles também permitem o agrupamento de assinaturas, grupos de recursos e recursos. Os mesmos recursos podem ser conectados a muitos grupos de serviços diferentes, permitindo que diferentes personas e cenários de clientes sejam criados e usados.
- Gerenciamento de privilégios baixos: os grupos de serviços são projetados para operar com permissões mínimas, garantindo que os usuários possam gerenciar recursos sem precisar de direitos de acesso excessivos.
Cenários de exemplo
Os clientes podem criar muitas visualizações diferentes que dão suporte à forma como organizam seus recursos.
Visão unificada de recursos
- As organizações com vários aplicativos e ambientes podem usar Grupos de Serviços para criar uma exibição centralizada das informações de recursos em diferentes ambientes. Recursos de membros ou contêineres de recursos de vários ambientes em diferentes grupos de gerenciamento ou assinaturas podem ser vinculados a um único Grupo de Serviços, fornecendo um ponto de referência unificado para detalhes de recursos.
- Como os Grupos de Serviços não herdam permissões de seus membros, os clientes podem aplicar princípios de privilégios mínimos para atribuir permissões nos Grupos de Serviços que permitem a exibição de informações de recursos. Esse recurso permite cenários em que dois usuários podem acessar o mesmo grupo de serviços, mas apenas um tem permissão para ver determinados recursos.
Criação de inventário
- Os clientes podem conectar recursos aos Grupos de Serviços para obter uma visão consolidada de todos os recursos de um determinado tipo ou função em todo o ambiente.
- Personas variadas
- Com os Grupos de Serviços, as organizações têm a capacidade de gerenciar várias hierarquias sobre os mesmos recursos para diferentes personas e suas próprias visões individuais. Os clientes podem usar os mesmos recursos para serem membros de um Grupo de Serviço de Carga de Trabalho, um Grupo de Serviço de Departamento e um Grupo de Serviços com todos os recursos de Produção.
Como funciona
Os Grupos de Serviços do Azure são uma hierarquia de nível de locatário paralelo que permite o agrupamento de recursos. A separação de Grupos de Gerenciamento, Assinaturas e Grupos de Recursos permite que os Grupos de Serviços sejam conectados muitas vezes a diferentes recursos e contêineres de recursos sem afetar as estruturas existentes.
Informações sobre Grupos de Serviços
- Um Grupo de Serviços é criado dentro do Provedor de Recursos Microsoft.Management.
- Os Grupos de Serviços permitem o agrupamento automático para criar até 10 "níveis" de profundidade de agrupamento. O aninhamento pode ser gerenciado por meio da propriedade 'pai' dentro do recurso do Grupo de Serviços.
- As atribuições de função no Grupo de Serviços podem ser herdadas apenas para os Grupos de Serviço filho. Não há herança por meio das associações aos recursos ou contêineres de recursos.
- Há um limite de 2000 membros do grupo de serviço provenientes da mesma assinatura.
- Na janela de pré-visualização, existe um limite de 10.000 grupos de serviços num único locatário.
- Os Grupos de Serviços e os IDs de Membros do Grupo de Serviços suportam até 250 caracteres. Podem ser caracteres alfanuméricos e especiais: - _ ( ). ~
- Os Grupos de Serviços requerem um ID globalmente exclusivo. Dois locatários do Microsoft Entra não podem ter um Grupo de Serviços com IDs idênticas.
- A associação a Grupos de Serviços é gerenciada pelo 'Microsoft.Relationship/ServiceGroupMember' no membro desejado (um recurso, grupo de recursos ou assinatura) enquanto segmenta o Grupo de Serviços desejado.
Agrupamentos do Azure Resource Manager
O Azure oferece uma ampla variedade de contêineres de recursos que permitem que nossos clientes gerenciem recursos em muitas escalas diferentes. Os Grupos de Serviços são apenas os mais recentes de uma família de contêineres do Azure Resource Manager (ARM) usados para organizar seu ambiente.
Esta tabela mostra um resumo das diferenças entre os grupos.
Comparação de cenários
| Scenario | Grupo de Recursos | Subscription | Grupo de Gestão | Grupo de Serviços | Tags |
|---|---|---|---|---|---|
| Exigir herança da atribuição no escopo para cada recurso membro/descendente | Supported* | Supported | Supported | Não suportado | Não suportado |
| Consolidação de recursos para redução de atribuições de funções/atribuições de políticas | Supported | Supported | Supported | Não suportado | Não suportado |
| Agrupamento de recursos partilhados através das fronteiras do escopo. Ex. Recursos de rede global em uma assinatura/grupo de recursos que são compartilhados entre vários aplicativos que têm suas próprias assinaturas/grupos de recursos. | Não suportado | Não suportado | Não suportado | Supported | Supported |
| Crie agrupamentos separados que permitam agregações separadas de métricas | Não suportado | Supported | Supported | Supported | Supported** |
| Imponha restrições ou configurações organizacionais a nível empresarial em múltiplos recursos | Supported* | Supported* | Supported* | Não suportado | Supported*** |
*: Quando uma política é aplicada a um escopo, a aplicação é para todos os membros dentro do escopo. Por exemplo, em um Grupo de Recursos ele só se aplica aos recursos sob ele.
**: As tags podem ser aplicadas entre escopos e são adicionadas aos recursos individualmente. A Política do Azure tem políticas internas que podem ajudar a gerenciar tags.
: As tags do Azure podem ser usadas como critérios dentro da Política do Azure para aplicar políticas a determinados recursos. As tags do Azure estão sujeitas a limitações.
Fatos importantes sobre grupos de serviços
- Um único locatário pode oferecer suporte a 10.000 grupos de serviços.
- A árvore do grupo de serviços pode suportar até 10 níveis de profundidade. Esse limite não inclui o nível raiz.
- Cada grupo de serviço pode ter muitos filhos.
- Um único nome/ID de grupo de serviços pode ter até 250 caracteres.
- Não há limites de número de membros de grupos de serviço, mas há um limite de 2.000 relacionamentos (incluindo ServiceGroupMember) dentro de uma assinatura
O Grupo de Serviço Raiz
Os Grupos de Serviço, de forma semelhante aos Grupos de Gerenciamento, têm um Grupo de Serviços raiz, que é o pai superior de todos os grupos de serviços nesse locatário. O ID de Root Service Group é o mesmo que o ID do Locatário.
Os Grupos de Serviços criam o Grupo de Serviços Raiz na primeira solicitação recebida no Locatário e os usuários não podem criar ou atualizar o grupo de serviços raiz. "/providers/microsoft.management/servicegroups/[tenantId]"
O acesso à raiz deve ser dado por um usuário com permissões "microsoft.authorization/roleassignments/write" no nível do locatário. Por exemplo, o Administrador Global do Locatário pode elevar seu acesso no locatário para ter essas permissões. Detalhes sobre como elevar os acessos de administrador global do locatário
Controles de acesso baseados em função
Existem três definições de funções integradas para dar suporte a Grupos de Serviços na pré-visualização.
Note
Não há suporte para Controles de Acesso Baseados em Função Personalizados durante a Pré-visualização.
Administrador de Grupo de Serviços: essa função interna gerencia todos os aspetos de Grupos de Serviços e Relações e é a função padrão dada aos usuários quando eles criam um Grupo de Serviços.
Colaborador do Grupo de Serviços: essa função interna deve ser dada aos usuários quando eles precisarem criar ou gerenciar o ciclo de vida de um Grupo de Serviços. Essa função permite todas as ações, exceto os recursos de Atribuição de Função.
Leitor de Grupo de Serviços: essa função interna fornece acesso somente leitura às informações do grupo de serviços e pode ser atribuída a outros recursos para exibir as relações conectadas.
Qualquer pessoa com permissões válidas dentro do locatário pode criar um grupo de serviços na raiz. O usuário que cria o grupo de serviços torna-se o 'Administrador do Grupo de Serviços'. Para editar o grupo de serviços ou criar grupos de serviços filhos, um usuário deve ter 'Colaborador do Grupo de Serviços' nesse grupo de serviços. Para adicionar membros, os usuários devem ter 'Colaborador do Grupo de Serviços' no grupo de serviços e Microsoft.Relationship/write no recurso.