Cuanto más crecen los proyectos en la nube, más importante es la gobernanza. Ayer te conté un servicio muy útil, que te permite generar políticas o reglas sobre tus recursos. Los ámbitos en los que se pueden asignar estas son, en principio, a suscripciones y a grupo de recursos. Sin embargo, existe un nivel superior a las suscripciones llamado Azure Management Groups, que es lo que vamos a aprender a usar hoy.

¿Para qué sirven los management groups?

Según los departamentos van adoptando el cloud, lo más probable es que el número de suscripciones crezcan. Incluso es normal que un departamento tenga más de una suscripción adjudicada. Esto tiene sus ventajas y sus inconvenientes. Centrándonos en las desventajas, y volviendo al tema de las políticas, sería necesario asignar la misma política por cada una de las suscripciones donde quieres que aplique. También ocurre que si un departamento tiene más de una suscripción deberías de calcular de forma manual el coste que está generando dicho departamento en total. Por último, desde el punto de vista de seguridad, es posible gestionar suscripción por suscripción quién tiene acceso y quién no, pero también es igual de laborioso cuando debes retirar los permisos. Por todo ello, existe Azure Management Groups, los cuales te permiten tener una agrupación lógica por encima de tus suscripciones.

Puedes tener hasta 10.000 management groups por directorio, y hasta de 6 niveles de profundidad. Sobre ellos puedes aplicar políticas, controlar el acceso, así como ver el coste total de un conjunto de suscripciones que tienen alguna relación entre sí.

Crear un management group

El apartado de Management Groups puedes encontrarlo en el portal de Microsoft Azure, haciendo clic en la sección All services.

Para crear un nuevo grupo haz clic sobre el botón Add management group.

Sólo necesitas un ID y un nombre descriptivo.

Una vez que tienes creado tu nuevo management group ya puedes asignar dentro de él las suscripciones que consideres o incluso crear otros management groups. En mi caso, dentro de IT he creado Dev, QA y Pro, quedando la foto de la siguiente manera:

Crear management groups que dependan de otros es muy fácil: sólo tienes que posicionarte dentro de aquel del que quieres que sea el padre del que vas a crear y hacer clic sobre el botón Add management group.

Una vez que tienes tu jerarquía definida, puedes acceder a cualquiera de los grupos y hacer clic en el enlace Details.

Desde aquí podrás añadir las suscripciones que pertenezcan a este grupo, así como crear nuevos grupos dentro de este. También podrás asignar políticas, gestionar el acceso a todas las suscripciones a la vez, así como ver el coste generado a este nivel de tu jerarquía. De hecho, también puedes filtrar por los eventos ocurridos dentro de un management group dentro de Azure Activity Log. ¡Súper útil para la gobernanza!

¡Saludos!