Confrontare gli account AWS e Azure

Questo articolo confronta l'account e la struttura organizzativa di Azure con quello di Amazon Web Services (AWS).

Per collegamenti ad articoli che confrontano altri servizi AWS e Azure e un mapping completo dei servizi tra AWS e Azure, vedere Azure per professionisti AWS.

Gestione della gerarchia degli account

Un tipico ambiente AWS usa una struttura organizzativa come quella nel diagramma seguente. Vi è una struttura radice dell'organizzazione e un account di gestione AWS dedicato, opzionalmente. Nella radice sono unità organizzative che possono essere usate per applicare criteri diversi a account diversi. Le risorse AWS usano spesso un account AWS come limite logico e di fatturazione.

Una struttura di Azure ha un aspetto simile, ma, anziché un account di gestione dedicato, fornisce autorizzazioni amministrative per il tenant. Questa progettazione elimina la necessità di un intero account solo per la gestione. A differenza di AWS, Azure usa i gruppi di risorse come unità fondamentale. Le risorse devono essere assegnate ai gruppi di risorse e le autorizzazioni possono essere applicate a livello di gruppo di risorse.

Account di gestione AWS e tenant di Azure

In Azure, quando si crea un account Azure, viene creato un tenant di Microsoft Entra. È possibile gestire utenti, gruppi e applicazioni in questo tenant. Le sottoscrizioni di Azure vengono create all'interno del tenant. Un tenant di Microsoft Entra fornisce la gestione delle identità e degli accessi. Garantisce che gli utenti autenticati e autorizzati possano accedere solo alle risorse per le quali dispongono delle autorizzazioni. 

Account AWS e sottoscrizioni di Azure

In Azure l'equivalente di un account AWS è la sottoscrizione di Azure. Le sottoscrizioni di Azure sono unità logiche di servizi di Azure collegate a un account Azure in un tenant di Microsoft Entra. Ogni sottoscrizione è collegata a un account di fatturazione e fornisce il limite entro il quale vengono create, gestite e fatturate le risorse. Le sottoscrizioni sono importanti per comprendere l'allocazione dei costi e l'adesione ai limiti del budget. Aiutano a garantire che ogni servizio utilizzato venga monitorato e fatturato correttamente. Le sottoscrizioni di Azure, come gli account AWS, fungono anche da limiti per le quote e i limiti delle risorse. Alcune quote di risorse sono regolabili, ma altre non lo sono.

L'accesso alle risorse tra account in AWS consente alle risorse di un account AWS di accedere o gestirle da un altro account AWS. AWS include anche ruoli di gestione delle identità e degli accessi (IAM) e criteri basati sulle risorse per l'accesso alle risorse tra gli account. In Azure è possibile concedere l'accesso a utenti e servizi in sottoscrizioni diverse usando il controllo degli accessi in base al ruolo di Azure, applicato a ambiti diversi (gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse).

Unità organizzative AWS e gruppi di gestione di Azure

In Azure, l'equivalente delle unità organizzative AWS sono i gruppi di gestione. Entrambi vengono usati per organizzare e gestire le risorse cloud a un livello elevato tra più account o sottoscrizioni. È possibile usare i gruppi di gestione di Azure per gestire in modo efficiente l'accesso, i criteri e la conformità per le sottoscrizioni di Azure. Le condizioni di governance applicate a livello di gruppo di gestione si propagano a tutte le sottoscrizioni associate tramite ereditarietà.

Informazioni importanti sui gruppi di gestione e sulle sottoscrizioni:

• Un singolo tenant Microsoft Entra supporta fino a 10.000 gruppi di gestione.

• Una gerarchia di gruppi di gestione supporta fino a sei livelli di gruppo di gestione al di sotto del gruppo di gestione radice.

• Ogni gruppo di gestione e sottoscrizione può avere un solo genitore.

• Ogni gruppo di gestione può avere più figli.

• Tutte le sottoscrizioni e i gruppi di gestione si trovano all'interno di una singola gerarchia in ogni tenant Microsoft Entra.

• Il numero di sottoscrizioni per gruppo di gestione è illimitato.

Il gruppo di gestione radice è il gruppo di gestione di primo livello associato a ogni tenant Microsoft Entra. Tutti i gruppi di gestione e le sottoscrizioni si aggregano al gruppo di gestione radice. Questa progettazione consente di implementare criteri globali e Azure assegnazioni di ruolo a livello di tenant.

Criteri di controllo dei servizi e Criteri di Azure

L'obiettivo principale dei criteri di controllo dei servizi in AWS è definire centralmente le autorizzazioni massime disponibili per gli utenti e i ruoli IAM in un'organizzazione AWS. Le Policy di Controllo di Servizio (SCP) sono collegate alla radice dell'organizzazione, alle unità organizzative (OU) o ai singoli account membro e non si applicano all'account di gestione principale. Le SCP (Service Control Policies) non concedono mai le autorizzazioni da sole; agiscono come limiti di sicurezza che filtrano ciò che le policy basate sull'identità o sulle risorse possono infine consentire.

In Azure, i confini delle autorizzazioni vengono implementati tramite Azure RBAC (controllo degli accessi in base al ruolo) e Criteri di Azure, che possono essere applicati a livello di gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse.

Confronto tra la struttura e la proprietà degli account AWS con le sottoscrizioni di Azure

Un account Azure rappresenta una relazione di fatturazione e le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. L'accesso a una sottoscrizione Azure viene gestito tramite due sistemi complementari:

• Ruoli di fatturazione, che gestiscono la relazione di fatturazione e sono definiti dal tipo di account di fatturazione (Contratto per i clienti Microsoft, Contratto Enterprise o Programma di Servizi Online Microsoft). Il ruolo di fatturazione principale è l'amministratore dell'account di fatturazione (storicamente denominato Amministratore account), che può creare e annullare sottoscrizioni, aggiornare i metodi di pagamento e trasferire la proprietà della fatturazione.
• Controllo degli accessi in base al ruolo di Azure (Azure RBAC), che gestisce l'accesso alle risorse di Azure. Microsoft consiglia Azure RBAC per tutta la gestione degli accessi alle risorse. I ruoli predefiniti comuni includono Proprietario, Collaboratore e Lettore, che possono essere assegnati nel gruppo di gestione, nella sottoscrizione, nel gruppo di risorse o nell'ambito delle risorse.

A livello di sottoscrizione, i ruoli utente e le singole autorizzazioni possono anche essere assegnati a risorse specifiche, in modo analogo alla modalità di concessione delle autorizzazioni a utenti e gruppi IAM in AWS. In Azure gli account utente sono account Microsoft personali (ad esempio Outlook.com, Hotmail o identità di Xbox) o account aziendali o dell'istituto di istruzione gestiti tramite Microsoft Entra ID.

Analogamente agli account AWS, le sottoscrizioni presentano limiti e quote di servizio predefiniti. Per un elenco completo di questi limiti, vedere Sottoscrizione di Azure e limiti del servizio, quote e vincoli. Questi limiti possono essere aumentati fino al massimo inviando una richiesta di supporto nel portale di gestione.

Contributori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai collaboratori seguenti.

Autore principale:

• Srinivasaro Thumala | Ingegnere Senior per Clienti

Altro collaboratore:

• Adam Cerini | Direttore, Partner Technology Strategist
• Juan Carlos Osorio | Senior CSA AI & Apps

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica
• Aggiungere o modificare gli amministratori delle sottoscrizioni di Azure
• Scaricare o visualizzare la fattura di fatturazione di Azure

Risorse correlate

• Confrontare le opzioni di rete di AWS e Azure
• Confrontare AWS e gestione delle risorse di Azure