Azure 구독 및 관리 그룹에 대하여

1. Azure의 계층 구조 이해

• Microsoft Azure는 클라우드 리소스를 효과적으로 구성하고 관리하기 위해 구조화된 계층 구조를 사용합니다. 이 계층 구조를 이해하는 것은 적절한 리소스 구성, 접근 제어, 비용 관리 및 거버넌스를 위해 매우 중요합니다. Azure계정은 기본적으로 "테넌트 > 관리 그룹 > 구독 > 리소스 그룹 > 리소스"와 같은 계층 구조로 리소스를 관리합니다. 

2. Azure 계정

• 정의
  Azure 계정은 Azure 서비스와 구독에 접근할 수 있게 해주는 전 세계적으로 고유한 엔티티입니다. 이메일 주소와 연결되어 있으며 연락처 정보와 결제 세부 정보(신용 카드 정보 등)를 포함합니다.
• 목적
  Azure 계정은 Microsoft와의 결제 관계를 수립하고 구독 내 리소스에서 발생하는 모든 비용을 지불할 책임이 있습니다.
• 주요 사항
  - 하나의 Azure 계정으로 여러 구독을 관리할 수 있습니다
  - 계정 소유자는 계정 관리자로 간주됩니다
  - Azure 계정을 생성하면 첫 번째 구독도 함께 생성됩니다
  
  

3. Azure 테넌트(Microsoft Entra ID 테넌트)

• 정의
  Azure 테넌트는 Microsoft 클라우드 서비스에 가입할 때 자동으로 생성되는 Microsoft EntraID(이전의 Azure Active Directory)의 전용 인스턴스로, 조직 구조의 최상위에 위치하며, ID 및 접근 관리 기능을 제공합니다.
• 목적
  테넌트는 단일 조직을 나타내며 인증 및 권한 부여를 위한 보안 경계 역할을 합니다.
• 주요 사항
   -  테넌트는 사용자, 그룹 및 애플리케이션이 포함된 자체 디렉터리를 가지고 있습니다
   - 하나의 테넌트는 여러 구독을 포함할 수 있습니다
   - 테넌트는 Microsoft Entra ID를 통해 ID와 접근 제어를 관리합니다
   - 여러 구독을 하나의 테넌트에 연결할 수 있습니다
   - 테넌트는 Azure 조직 구조의 최상위에 위치하며 ID 및 접근 관리 기능을 제공합니다.
  
  

4. 관리 그룹

• 정의
  다수의 Azure 구독을 조직적이고 효율적으로 관리하기 위한 계층 구조입니다. 이를 통해 조직의 구조를 반영하여 구독을 그룹화하고, 정책 및 액세스 제어를 일괄적으로 적용할 수 있습니다
• 목적
  기업의 조직 구조나 부서별로 구독을 그룹화하여 관리 효율성을 높이고(조직적 관리), 관리 그룹에 정책 및 권한을 할당하면 하위 관리 그룹, 구독 및 리소스 그룹에 상속되어 일관된 거버넌스를 유지하고(일관된 정책 및 엑세스 제어), 수백, 수천 개의 구독을 관리할 때 유연하고 확장 가능한 관리 체계를 제공(규모 확장성)합니다. 
• 주요 사항
   - 하나의 디렉터리는 10,000개의 관리 그룹을 지원할 수 있습니다.
   - 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6입니다. 이 제한에는 루트 수준 또는 구독 수준이 포함되지 않습니다.
   - 각 관리 그룹과 구독은 부모를 하나만 지원할 수 있습니다.
   - 각 관리 그룹에는 여러 자식 요소가 있을 수 있습니다.
   - 모든 구독 및 관리 그룹은 각 디렉터리의 단일 계층 내에 위치합니다 
  
  

5. Azure 구독

• 정의
  Azure 구독은 Azure에서 리소스를 프로비저닝하는 데 사용되는 논리적 컨테이너입니다.Microsoft와의 법적 계약으로, Azure 서비스에 대한 접근을 제공합니다.
• 목적
  구독은 Azure 리소스에 대한 결제 배열, 접근 제어 경계 및 규모 제한을 정의합니다.
• 주요 사항
   - 각 구독은 하나의 테넌트와 연결됩니다
   - 구독은 결제 단위를 나타내며, 구독 내 모든 리소스는 함께 청구됩니다
   - 구독은 리소스에 대한 격리 경계를 제공합니다
   - 조직은 일반적으로 다양한 부서, 프로젝트 또는 환경(개발, 테스트, 프로덕션)에 대해 여러 구독을 생성합니다
   - 구독에는 리소스 사용에 대한 제한이 있습니다
  
  

6. 리소스 그룹

• 정의
  리소스 그룹은 애플리케이션이나 솔루션을 위한 관련 Azure 리소스를 담는 논리적 컨테이너입니다.
• 목적
  리소스 그룹은 리소스를 개별적으로 관리하는 대신 컬렉션으로 구성하고 관리하는 데 도움이됩니다.
• 주요 사항
   - 모든 Azure 리소스는 정확히 하나의 리소스 그룹에 배치되어야 합니다.
   - 리소스 그룹은 다양한 지역의 리소스를 포함할 수 있습니다
   - 리소스는 한 번에 하나의 리소스 그룹에만 존재할 수 있습니다.
   - 하나의 리소스 그룹은 여러 리소스를 가질 수 있습니다.
   - 리소스 그룹은 중첩될 수 없습니다
   - 리소스 그룹에 작업을 적용하면 그 안에 포함된 모든 리소스에 적용됩니다
   - 리소스 그룹은 동일한 수명 주기를 공유하는 리소스를 그룹화하는 데 유용합니다
  
  

7. Azure 구독 및 그룹 관리에 대한 모범 사례

• 관리 그룹을 사용하여 거버넌스 및 정책 상속을 위해 여러 구독을 그룹화한다.
• 비즈니스 기능, 환경 또는 결제 요구 사항에 따라 논리적 구독을 생성한다.
• 동일한 수명 주기를 공유하는 리소스를 중심으로 리소스 그룹을 설계한다.
• 모든 계층 수준에서 일관된 명명 규칙을 적용한다.
• 태그를 사용하여 리소스에 대한 추가 메타데이터를 제공한다.
  
  

8. 참고 문서

• Azure 관리 그룹 : https://learn.microsoft.com/ko-kr/azure/governance/management-groups/overview
• Azure 리소스 계층 구조 : https://aitown.tistory.com/1101