背景

Azure在IT治理领域跟AWS走了一条不一样的顶层模型设计，在面对复杂多组织企业场景，它能够更灵活地设计。本文会围绕企业IT治理领域中的人、财、物、权、法介绍一下Azure的管理模型。

人

在云计算时代，Azure顺势提供了Azure Active Diretory延续传统AD的模式，让企业的组织架构信息和人员信息先行上云，轻松实现“一人一账号”的管理模式；

跟AWS差异的几个要素：

• 应用程序如何访问云资源，基于AAD如何管理应用程序身份
• 其他云服务如何借助AAD来访问云资源

物

企业的员工并不直接拥有物资的所有权，而是因为归属到企业的组织架构之中才拥有了物资的使用权。所以这三者的关系是：企业员工、企业组织架构、资源。是因为资源归属于企业组织里面了，并且企业员工又刚好是企业组织中的成员，所以就有相应的管理权限。

Azure中有一个订阅(Subscription)的概念，并依据此定义了“计费”和产品/资源/服务“访问控制”的边界。云上资源不直接归属于用户(UID)，而是归属于订阅。（这块跟AWS的最本质区别了，AWS对账号的定义是资源容器，资源属于账号UID级别但Azure里面是归属于订阅）。人员通过订阅而具备了资源的使用和管理权限。订阅概念的存在给云上资源管理带来了极大的灵活性；

与AWS差异

• 在AWS里面账号是容器，资源归属于账号内，包括对应账单等；
• 针对一家多业务组织的话，会存在多个订阅，分别归属于不同业务团队；
• 整个资源体系与AWS还是差异挺大的。

财

Azure订阅(Subscription)同样也是Azure进行财务管理的基础；用户的产品/资源/服务都归属到订阅，同样由此产生的费用也由订阅统一管理。但单一订阅只能满足一个扁平组织结构内的计费，不能跨越多个组织进行有效的计费分账。为此Azure又有了一个“管理组”的概念，管理组是用于管理多个 Azure订阅的访问、策略和合规性的容器。

权

Azure进行权限管理是通过AzureAD和Azure订阅(Subscription)配合完成的。AzureAD提供了基于角色的访问控制 (RBAC) 为 Azure 资源提供细粒度的访问管理；

法

Policy 是 Azure 提供的一项服务，用于创建、分配和管理策略，并依据这些策略确保云上资源符合企业内部最佳实践和相关等级服务级别。这是一个持续不间断的过程，可以跟踪从资源创建到销毁的整个生命周期，确保资源持续合规。这也是Azure进行企业合规审计IT治理的基础。

Azure Policy则用于审计资源是否合规，并可以执行操作前审计，拒绝执行某些风险不合规操作；

资源视角

资源组： 顾名思义就是对资源进行分组，统一授权管理。RBAC角色控制和Policy可以直接作用于资源组，细化粒度，设定作用范围；资源组具备两个基本的特性：唯一性和不可嵌套性；唯一性指的是资源只能唯一归属于一个资源组；不可嵌套性指资源组是一个扁平结构，不能进行嵌套，资源组里不会有子的资源组；这两个特性确保了资源概念的简洁，易理解；

标签： 同样也是一种横向资源管控的能力；为资源打标，让资源的检索和发现更加高效；同时可以跨越多个资源组进行资源标注，维护资源之间的相互关系，在计费分账，统一管理方面方面很有帮助；

资源管理器

当用户从任意 Azure 工具、API 或 SDK 发送请求时，资源管理器将会接收该请求，首先它会对该请求进行身份验证和权限校验（统一鉴权处理），通过后再将请求发送到 Azure 服务，后者将执行具体的资源创建/更新/删除操作。由于所有请求是通过同一个 API 处理的，因此在使用不同的工具时会提供一致性的功能，并能够得到一致性的执行结果；

提供统一资源创建的好处在于：
1. 可以运用基础结构即代码(Infrastructure as Code)的形式更加快速、安全地构建基础基础设施，并能进行有效版本控制；这与Terraform等工具存在的意义如出一辙；
2. 对内强化资源管理的标准化流程，使得云产品自身的产品管控能力更加规范，沟通成本更低，更加高效；（关于云产品接入度问题，Azure是不存在的）
3. 因为资源管理器能够跟踪资源的全生命周期，从而使得资源的操作日志更加规范，可用性更强，对合规审计更加友好；

可以看看它的操作日志

ActivityLog提供的信息更加细致，可读性也更好；