Compartilhar via

Criar e dimensionar assinaturas do Azure

Este artigo ajuda você a criar suas assinaturas da maneira certa desde o primeiro dia. As assinaturas são a base para organizar, proteger e gerenciar seus recursos de nuvem. Uma configuração pensativa agora economiza tempo, dinheiro e esforço à medida que seu negócio cresce.

Começar com políticas de assinatura

Antes de criar sua primeira assinatura, é importante definir a maneira apropriada de implantá-las e gerenciá-las. As assinaturas ajudam você a gerenciar o acesso, os custos e a segurança, portanto, ter um plano antecipado ajuda você a dimensionar mais tarde. Estas são algumas dicas para começar:

  1. Use grupos de gerenciamento para controlar assinaturas. Os grupos de gerenciamento habilitam a organização hierárquica e a herança de políticas, simplificando a governança em escala. Agrupar assinaturas relacionadas e impor políticas de governança usando o Azure Policy. Para cenários avançados, consulte grupos de gerenciamento de zona de destino do Azure.

  2. Estabelecer processos de criação e gerenciamento de assinatura. Defina processos claros para quem pode solicitar novas assinaturas, aprová-las e como configurá-las (política, acesso, orçamentos). Os processos padronizados garantem que todas as assinaturas atendam aos seus requisitos de governança, fornecendo pistas de auditoria e prestação de contas para atividades de gerenciamento de assinaturas.

  3. Use assinaturas para separar cargas de trabalho. Evite colocar vários ambientes de carga de trabalho na mesma assinatura. Crie assinaturas separadas para ambientes de produção, não-produtivo e sandbox. Cada ambiente requer políticas de governança distintas e controles de acesso. Essa separação protege cargas de trabalho de produção, dá suporte à inovação e simplifica o controle de custos, o controle de acesso e a imposição de políticas. Para obter mais informações, consulte os ambientes de aplicativo da zona de destino do Azure.

Criar suas assinaturas iniciais

Com as políticas em vigor, você está pronto para criar suas primeiras assinaturas. No mínimo, siga estas diretrizes:

  1. Comece com três assinaturas principais para estabelecer limites adequados. Crie uma assinatura de produção para cargas de trabalho dinâmicas, uma assinatura de não produção para desenvolvimento e teste e uma assinatura de área restrita para experimentação e aprendizado. Essa estrutura fornece separação essencial, mantendo a sobrecarga de gerenciamento baixa e os custos previsíveis.

  2. Use os preços de Desenvolvimento/Teste do Azure para otimizar os custos em ambientes de não produção.As ofertas de Desenvolvimento/Teste do Azure fornecem uma economia significativa de custos para atividades de desenvolvimento, teste e treinamento. Esses benefícios de preços ajudam as pequenas organizações a maximizar seu investimento em nuvem, mantendo práticas adequadas de separação e governança do ambiente.

  3. Crie assinaturas por meio do portal do Azure. Navegue até "Assinaturas" no portal do Azure e selecione "Adicionar". Forneça um nome descritivo que indique claramente a carga de trabalho e o ambiente. Selecione a conta de cobrança e o plano apropriados. Escolha o diretório de assinatura e o grupo de gerenciamento corretos. Atribua um proprietário de assinatura e configure um orçamento para alertas de gastos. Aplique marcas padronizadas para garantir a consistência. Para obter diretrizes detalhadas, consulte Criar uma assinatura do MCA ou criar uma assinatura do EA. À medida que sua organização amadurece, considere criar assinaturas programaticamente para garantir a consistência e reduzir o esforço manual.

Governe suas assinaturas

A governança de assinatura efetiva garante que seus recursos de nuvem permaneçam seguros, compatíveis e econômicos durante todo o ciclo de vida. Você precisa decidir como todas as assinaturas padrão devem ser configuradas, incluindo controles de acesso baseados em função (RBAC) do Azure, políticas, tags e recursos. Veja como:

  1. Controle as implantações de recursos por padrão. Use o Azure Policy no nível do grupo de gerenciamento para impor políticas de governança. Comece com as definições gerais no Azure Policy, que, por exemplo, permitem bloquear recursos, locais e exclusões. Para obter mais exemplos, consulte a imposição de política automatizada.

  2. Aplique controles de acesso baseados em função do Azure. O controle de acesso baseado em função permite que as equipes de carga de trabalho gerenciem seus recursos efetivamente, mantendo os limites de segurança. Atribua controles de acesso baseados em função do Azure a assinaturas após a criação que fornecem às equipes de carga de trabalho as permissões mínimas necessárias para executar suas responsabilidades. Permita que as equipes de carga de trabalho concedam acesso a grupos de recursos e a recursos. Para obter mais informações, consulte os controles de acesso da zona de destino do Azure.

  3. Aplique orçamentos e alertas de custo a cada assinatura. As ferramentas de Gerenciamento de Custos da Microsoft fornecem governança financeira e impedem gastos inesperados. Defina os limites de orçamento apropriados com alertas automatizados em intervalos definidos para notificá-lo antes que os custos excedam os limites. Esses controles ajudam as equipes a gerenciar seus gastos na nuvem de forma responsável, fornecendo visibilidade aos stakeholders financeiros.

  4. Estabeleça padrões de marcação de recursos para governança e alocação de custos. A marcação consistente permite o acompanhamento preciso e os relatórios em seu ambiente. Defina marcas obrigatórias para propriedade, centro de custos, ambiente e aplicativo para dar suporte a relatórios de governança e processos de chargeback. Essa padronização melhora a visibilidade e a responsabilidade sobre todos os recursos em suas assinaturas. Para obter mais informações, consulte Definir sua estratégia de marcação.

Escalar suas assinaturas

À medida que seu ambiente de nuvem cresce, sua estratégia de assinatura deve evoluir. Estabeleça padrões escalonáveis que dão suporte ao crescimento sem comprometer a governança. Veja como:

  1. Use modelos com configurações predefinidas. Use a infraestrutura como código para garantir a consistência e a conformidade, incluindo políticas, atribuições de função, marcas e recursos de linha de base adaptados a cada tipo de assinatura. Para obter exemplos, consulte os modelos do Azure landing zone Bicep.

  2. Automatize o provisionamento e o gerenciamento de assinaturas. As ferramentas de automação eliminam erros manuais e garantem a conformidade em escala. Essas ferramentas simplificam a criação, a configuração e a governança da assinatura, acelerando a resposta às necessidades dos negócios. Para obter mais informações, consulte a venda automática de assinaturas.

  3. Monitorar cotas e limites de assinatura proativamente. O monitoramento regular evita interrupções inesperadas do serviço. Acompanhe o uso de recursos em relação aos limites de assinatura do Azure para identificar quando mais assinaturas são necessárias antes de atingir limites críticos. Para obter detalhes, consulte os limites e cotas de assinatura do Azure.

  4. Otimize os custos de rede entre assinaturas na sua arquitetura. O design de rede eficiente equilibra o isolamento com o gerenciamento de custos. Minimize transferências de dados desnecessárias entre assinaturas, mantendo o isolamento da carga de trabalho e o acesso ao serviço compartilhado. Essa abordagem garante a eficiência de custo sem comprometer seus requisitos operacionais.

  5. Planeje o isolamento de recursos do modelo de implantação clássico. Os recursos herdados criados com o modelo de implantação clássico não podem usar políticas do Azure, controle de acesso baseado em função, agrupamento de recursos ou marcas. Mova esses recursos para assinaturas dedicadas para evitar complicações de gerenciamento e habilitar a governança adequada dos recursos modernos. Para obter mais informações, consulte Mover recursos do Azure para outro grupo de recursos ou assinatura.

  6. Permitir que as necessidades de negócios guiem a criação de assinaturas. Sua estratégia de assinatura do Azure deve evoluir com base nas prioridades da sua organização. À medida que sua empresa cresce, necessidades específicas, como inovação, migração, controle de custos, operações, segurança e governança, podem justificar a criação de mais assinaturas.

  7. Decida como mover recursos entre assinaturas. À medida que o modelo de assinatura aumenta, você pode decidir que alguns recursos pertencem a outras assinaturas. Muitos tipos de recursos podem ser movidos entre assinaturas. Você também pode usar implantações automatizadas para recriar recursos em outra assinatura. Para obter mais informações, consulte Mover recursos do Azure para outro grupo de recursos ou assinatura.

Monitorar assinaturas

O monitoramento e a otimização contínuos garantem que o design da assinatura continue a atender às necessidades de negócios. Revisões regulares ajudam a identificar melhorias e impedir que problemas aumentem. Veja como:

  1. Realize revisões de acesso regulares. Examine o acesso à assinatura trimestral ou anualmente para garantir o alinhamento com as necessidades de negócios. Use o PIM (Microsoft Entra Privileged Identity Management) para gerenciar e auditar o acesso privilegiado.

  2. Planeje o gerenciamento do ciclo de vida da assinatura. Defina processos para desativar assinaturas não usadas, transferir recursos e manter a conformidade. O gerenciamento efetivo do ciclo de vida impede a expansão e mantém seu ambiente organizado e econômico.

Próximas etapas

Orientações da assinatura de zona de destino do Azure