如何在 Azure 中分离开发和生产环境?
How to separate development and production environments in Azure?
我的公司处理敏感数据,需要限制对生产环境的访问。如何组织订阅和(存储)帐户以便拥有独立的环境?
我可以有完全不同的订阅,但我想给一些开发人员在生产中部署的权力,而其他人应该只能访问开发资产。
在我的理想世界中,我会将个人添加到安全组中。每当 thw 开发人员想要部署到生产环境时,he/she 将使用 his/her 凭据加上额外的确认步骤,例如 otp。这样我可以避免错误,但仍然保持简单的用户管理。这在天蓝色中可能吗?
最终你想做的事情将成为可能,并且在某种程度上取决于资源。随着 Azure 的更多功能进入预览门户 (portal.azure.com),它们显示为 Role Based Access Controls,这正是您要找的。不幸的是,现在并不是所有的资源都在那里,有些资源没有内置完整的 RBAC(例如存储帐户)。
目前,最好的办法是仍然按订阅分开。如果您需要开发人员能够执行部署,您可以创建执行部署的脚本(使用存储的 PowerShell 凭据或安全管理证书),然后让开发人员能够执行脚本。
我的公司处理敏感数据,需要限制对生产环境的访问。如何组织订阅和(存储)帐户以便拥有独立的环境?
我可以有完全不同的订阅,但我想给一些开发人员在生产中部署的权力,而其他人应该只能访问开发资产。
在我的理想世界中,我会将个人添加到安全组中。每当 thw 开发人员想要部署到生产环境时,he/she 将使用 his/her 凭据加上额外的确认步骤,例如 otp。这样我可以避免错误,但仍然保持简单的用户管理。这在天蓝色中可能吗?
最终你想做的事情将成为可能,并且在某种程度上取决于资源。随着 Azure 的更多功能进入预览门户 (portal.azure.com),它们显示为 Role Based Access Controls,这正是您要找的。不幸的是,现在并不是所有的资源都在那里,有些资源没有内置完整的 RBAC(例如存储帐户)。
目前,最好的办法是仍然按订阅分开。如果您需要开发人员能够执行部署,您可以创建执行部署的脚本(使用存储的 PowerShell 凭据或安全管理证书),然后让开发人员能够执行脚本。