Compare as contas da AWS e do Azure

Este artigo compara a conta e a estrutura organizacional do Azure com a da Amazon Web Services (AWS).

Para obter links para artigos que comparam outros serviços da AWS e do Azure e um mapeamento de serviço completo entre a AWS e o Azure, consulte Azure para profissionais da AWS.

Gerenciando a hierarquia da conta

Um ambiente típico da AWS usa uma estrutura organizacional como a do diagrama a seguir. Há uma raiz da organização e, opcionalmente, uma conta de gerenciamento dedicada da AWS. Abaixo da raiz estão as unidades organizacionais que podem ser usadas para aplicar políticas diferentes a contas diferentes. Os recursos da AWS geralmente usam uma conta da AWS como um limite lógico e de faturamento.

Uma estrutura do Azure parece semelhante, mas, em vez de uma conta de gerenciamento dedicada, ela fornece permissões administrativas ao locatário. Este design elimina a necessidade de uma conta inteira apenas para gestão. Ao contrário da AWS, o Azure usa grupos de recursos como uma unidade fundamental. Os recursos devem ser atribuídos a grupos de recursos e as permissões podem ser aplicadas no nível do grupo de recursos.

Conta de gerenciamento da AWS vs. locatário do Azure

No Azure, ao criar uma conta Azure, é criado um tenant Microsoft Entra. Você pode gerenciar seus usuários, grupos e aplicativos neste locatário. As assinaturas do Azure são criadas dentro da entidade. Um tenant do Microsoft Entra fornece gestão de identidade e acesso. Ele ajuda a garantir que os usuários autenticados e autorizados possam acessar apenas os recursos para os quais eles têm permissões. 

Contas da AWS versus assinaturas do Azure

No Azure, o equivalente a uma conta da AWS é a assinatura do Azure. As assinaturas do Azure são unidades lógicas dos serviços do Azure que estão vinculadas a uma conta do Azure em um locatário do Microsoft Entra. Cada assinatura é vinculada a uma conta de cobrança e fornece o limite dentro do qual os recursos são criados, gerenciados e cobrados. As assinaturas são importantes para entender a alocação de custos e respeitar os limites orçamentários. Eles ajudam a garantir que todos os serviços usados sejam rastreados e faturados corretamente. As assinaturas do Azure, como as contas da AWS, também atuam como limites para cotas e limites de recursos. Algumas cotas de recursos são ajustáveis, mas outras não.

O acesso a recursos entre contas na AWS permite que recursos de uma conta da AWS sejam acessados ou gerenciados por outra conta da AWS. A AWS também tem funções de gerenciamento de identidade e acesso (IAM) e políticas baseadas em recursos para acessar recursos entre contas. No Azure, você pode conceder acesso a usuários e serviços em diferentes assinaturas usando o RBAC (controle de acesso baseado em função), que é aplicado em escopos diferentes (grupo de gerenciamento, assinatura, grupo de recursos ou recursos individuais).

UOs da AWS versus grupos de gerenciamento do Azure

No Azure, o equivalente às unidades organizacionais (OUs) da AWS são grupos de gerenciamento. Ambos são usados para organizar e gerenciar recursos de nuvem em alto nível em várias contas ou assinaturas. Você pode usar grupos de gerenciamento do Azure para gerenciar com eficiência o acesso, as políticas e a conformidade para assinaturas do Azure. As condições de governança aplicadas ao nível do grupo de gestão propagam-se por herança a todas as assinaturas associadas.

Fatos importantes sobre grupos de gerenciamento e assinaturas:

• Um único diretório suporta até 10.000 grupos de gerenciamento.

• Uma árvore de grupo de gerenciamento suporta até seis níveis de profundidade.

• Cada grupo de gerenciamento e assinatura pode ter apenas um pai.

• Cada grupo de gestão pode ter vários filhos.

• Todas as assinaturas e grupos de gerenciamento estão dentro de uma única hierarquia em cada diretório.

• O número de assinaturas por grupo de gerenciamento é ilimitado.

O grupo de gerenciamento raiz é o grupo de gerenciamento de nível superior associado a cada diretório. Todos os grupos de gestão e assinaturas estão subordinados ao grupo de gestão raiz. Esse design permite implementar políticas globais e atribuições de função do Azure no nível de diretório.

Políticas de controle de serviço versus Política do Azure

O principal objetivo das políticas de controle de serviço (SCP) na AWS é limitar o máximo de permissões efetivas em uma conta da AWS. No Azure, as permissões máximas são definidas no Microsoft Entra e podem ser aplicadas no nível de locatário, assinatura ou grupo de recursos. A Política do Azure tem uma ampla gama de casos de uso, alguns dos quais se alinham com os padrões de uso típicos do SCP. Você pode usar SCPs e políticas do Azure para impor a conformidade com padrões corporativos, como marcação ou o uso de SKUs específicos. Tanto os SCPs quanto as políticas do Azure podem bloquear a implantação de recursos que não atendem aos requisitos de conformidade. As políticas do Azure podem ser mais proativas do que os SCPs e podem acionar correções para colocar os recursos em conformidade. As políticas do Azure também podem avaliar recursos existentes e implantações futuras.

Comparação da estrutura e da propriedade das contas da AWS com as assinaturas do Azure

Uma conta do Azure representa uma relação de faturação e as subscrições do Azure ajudam-no a organizar o acesso aos recursos do Azure. Administrador de Conta, Administrador de Serviço e Coadministrador são as três funções clássicas de administrador de assinatura no Azure:

• Administrador de Conta. O proprietário da subscrição e o proprietário da faturação dos recursos utilizados na subscrição. O administrador de conta só pode ser alterado mediante a transferência da propriedade da subscrição. Apenas um administrador de Conta é atribuído por Conta do Azure.

• Administrador de Serviços. Este utilizador tem direitos para criar e gerir recursos na subscrição, mas não é responsável pela faturação. Por predefinição, para uma nova subscrição, o Administrador de Conta também é o Administrador de Serviços. O administrador da conta pode atribuir um usuário separado ao administrador de serviço para gerenciar os aspetos técnicos e operacionais de uma assinatura. Apenas um administrador de serviço é atribuído por assinatura.

• Coadministrador. Pode haver vários coadministradores atribuídos a uma assinatura. Os coadministradores têm os mesmos privilégios de acesso que o Administrador de Serviço, mas não podem alterar o Administrador de Serviço.

Abaixo do nível de assinatura, funções de usuário e permissões individuais também podem ser atribuídas a recursos específicos, da mesma forma que as permissões são concedidas a usuários e grupos do IAM na AWS. No Azure, todas as contas de usuário são associadas a uma conta da Microsoft ou a uma conta organizacional (uma conta gerenciada por meio da ID do Microsoft Entra).

Tal como as contas AWS, as subscrições têm limites e quotas de serviço predefinidas. Para obter uma lista completa destes limites, veja Subscrição do Azure e limites de serviço, quotas e restrições. Estes limites podem ser aumentados até o máximo através da apresentação de um pedido de suporte no portal de gestão.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Srinivasaro Thumala | Engenheiro de Clientes Sênior

Outros contribuidores:

• Adam Cerini | Diretor, Estrategista de Tecnologia de Parceiros

Para ver perfis não públicos do LinkedIn, faça login no LinkedIn.

Próximos passos

• funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura
• Adicionar ou alterar administradores de subscrição do Azure
• Transferir ou ver a sua fatura de faturação do Azure

Recursos relacionados

• Compare as opções de rede da AWS e do Azure
• Comparação da gestão de recursos da AWS e do Azure