共用方式為

建立和調整 Azure 訂用帳戶

本文可協助您從第一天起就以正確的方式建立訂閱。 訂用帳戶是組織、保護和管理雲端資源的基礎。 現在,隨著業務的成長,深思熟慮的設定可以節省您的時間、金錢和精力。

必要條件:建立 Azure 帳戶初創公司請查看 您是否符合獲得 Azure 積分 的資格。

從訂用帳戶原則開始

建立第一個訂用帳戶之前,請務必定義部署和管理訂用帳戶的適當方式。 訂閱可協助您管理存取權、成本和安全性,因此預先制定計劃可協助您稍後擴展。 這裡說明如何開始使用:

  1. 使用管理群組來控管訂用帳戶。 管理群組可啟用階層式組織和原則繼承,以大規模簡化治理。 將相關訂用帳戶分組,並使用 Azure 原則強制執行治理原則。 如需進階案例,請參閱 Azure 登陸區域管理群組

  2. 建立訂閱建立和管理流程。 定義明確的程式,說明誰可以要求新訂用帳戶、核准訂用帳戶,以及您設定訂用帳戶的方式 (原則、存取權、預算)。 標準化程序可確保所有訂用帳戶都符合您的控管需求,同時提供稽核追蹤和訂用帳戶管理活動的責任。

  3. 使用訂用帳戶來分隔工作負載。 避免將多個工作負載環境放在相同的訂用帳戶中。 為生產環境、非生產環境和沙箱環境建立單獨的訂閱。 每個環境都需要不同的治理原則和存取控制。 這種分離可保護生產工作負載、支援創新,並簡化成本追蹤、存取控制和政策強制執行。 如需詳細資訊,請參閱 Azure 登陸區域應用程式環境

建立初始訂閱

制定原則後,您就可以建立第一個訂用帳戶了。 至少請遵循以下指引:

  1. 從三個核心訂閱開始,以建立適當的界限。 為即時工作負載建立一個生產訂閱、一個用於開發和測試的非生產訂閱,以及一個用於實驗和學習的沙箱訂閱。 這種結構提供了必要的分離,同時保持了較低的管理開銷和可預測的成本。

  2. 使用 Azure 開發/測試定價來優化非生產環境中的成本。Azure 開發/測試供應專案 可大幅節省開發、測試和定型活動的成本。 這些定價優勢可協助小型組織最大化其雲端投資,同時維持適當的環境分離和治理實踐。

  3. 透過 Azure 入口網站建立訂用帳戶。 流覽至 Azure 入口網站中的 [訂用帳戶],然後選取 [新增]。提供清楚指出工作負載和環境的描述性名稱。 選取適當的帳單帳戶和方案。 選擇正確的訂用帳戶目錄和管理群組。 指派訂用帳戶擁有者,並設定支出警示的預算。 套用標準化標籤以確保一致性。 如需詳細指引,請參閱 建立 MCA 訂用帳戶建立 EA 訂用帳戶。 隨著組織的成熟,請考慮 以程式設計方式建立訂用帳戶 ,以確保一致性並減少手動工作。

控管您的訂閱

有效的訂用帳戶控管可確保您的雲端資源在其整個生命週期中保持安全、合規且符合成本效益。 您必須決定所有標準訂用帳戶的外觀,包括 Azure 角色型存取控制、原則、標籤和資源。 方法如下:

  1. 依預設控制資源部署。 在管理群組層級使用 Azure 原則來強制執行治理原則。 從 Azure 原則中的 一般 定義開始,例如,可讓您封鎖資源、位置和刪除。 如需更多範例,請參閱 自動化原則強制執行

  2. 套用 Azure 角色型存取控制。 角色型存取控制可讓工作負載小組有效地管理其資源,同時維護安全界限。 在建立時將 Azure 角色型存取控制指派給訂用帳戶,為工作負載小組提供執行其職責所需的最低權限。 允許工作負載小組授與資源群組和資源的存取權。 如需詳細資訊,請參閱 Azure 登陸區域存取控制

  3. 將預算和成本警示套用至每個訂用帳戶。 Microsoft 成本管理工具提供財務治理並防止非預期的支出。 設定適當的 預算閾值 ,並按定義的時間間隔自動發出警報,以便在成本超過限制之前通知您。 這些控制可協助團隊負責任地管理雲端支出,同時為財務利害關係人提供可見性。

  4. 建立治理和成本分配的資源標記標準。 一致的標記可讓您在整個環境中準確追蹤和報告。 定義擁有權、成本中心、環境和應用程式的必要標籤,以支援治理報告和計費流程。 此標準化可改善訂用帳戶中所有資源的可見度和責任。 如需詳細資訊,請參閱 定義您的標記策略

調整您的訂閱

隨著雲端環境的成長,您的訂閱策略必須不斷發展。 建立可擴展的模式,在不影響治理的情況下支持增長。 方法如下:

  1. 使用具有預先定義組態的範本。 使用基礎結構即程式碼,透過包含針對每個訂閱類型量身打造的原則、角色指派、標籤和基準資源,確保一致性和合規性。 如需範例,請參閱 Azure 登陸區域 Bicep 範本

  2. 自動化訂用帳戶佈建和管理。 自動化工具可消除人為錯誤並確保大規模合規性。 這些工具簡化了訂閱創建、配置和治理,同時加速了對業務需求的回應。 如需詳細資訊,請參閱訂閱銷售

  3. 主動監控訂閱配額和限制。 定期監控可防止服務意外中斷。 追蹤資源使用量,對照 Azure 訂用帳戶限制,以便在達到關鍵閾值前識別何時需要增加訂用帳戶。 如需詳細資訊,請參閱 Azure 訂用帳戶限制和配額

  4. 最佳化架構中的跨訂閱網路成本。 高效的網路設計平衡了隔離與成本管理。 將訂閱之間不必要的資料傳輸降到最低,同時維護工作負載隔離和共用服務存取。 這種方法可確保成本效率,而不會影響您的營運要求。

  5. 備妥傳統部署模型的資源隔離計畫。 使用傳統部署模型建立的舊版資源無法使用 Azure 原則、角色型存取控制、資源群組或標籤。 將這些資源移至專用訂閱,以避免管理複雜性,並確保對新式資源的適當控管。 如需詳細資訊,請參閱 將 Azure 資源移至另一個資源群組或訂用帳戶

  6. 允許業務需求推動訂閱創建。 您的 Azure 訂用帳戶策略應該根據組織的優先順序來演變。 隨著您的業務成長,特定需求 (例如創新、移轉、成本控制、營運、安全性和治理) 可能會證明建立更多訂用帳戶是合理的。

  7. 決定如何在訂用帳戶之間移動資源。 隨著訂閱模型的成長,您可能會決定某些資源屬於其他訂閱。 許多類型的資源可以在訂用帳戶之間移動。 您也可以使用自動化部署,在另一個訂用帳戶中重新建立資源。 如需詳細資訊,請參閱 將 Azure 資源移至另一個資源群組或訂用帳戶

監視訂用帳戶

持續監控和優化可確保您的訂閱設計持續滿足業務需求。 定期審查有助於確定改進並防止問題升級。 方法如下:

  1. 定期進行存取審查。 每季或每年審查一次訂閱存取權,以確保符合業務需求。 使用 Microsoft Entra Privileged Identity Management (PIM) 來管理和稽核特殊許可權存取。

  2. 規劃訂閱生命週期管理。 定義停用未使用訂用帳戶、轉移資源和維持合規性的流程。 有效的生命週期管理可防止蔓延,並使您的環境井井有條且具有成本效益。

後續步驟

選取區域

  • Last updated on