AZ-104
Deep Dive
La jerarquÃa de Azure (Management Groups → Suscripciones → Resource Groups → Recursos) es la base de toda la gobernanza. El AZ-104 evalúa locks, tags, herencia de polÃticas y la diferencia entre los niveles de scope.
Contenido
Azure organiza los recursos en 4 niveles. Las polÃticas y el RBAC asignados en niveles superiores se heredan hacia abajo. Un hijo no puede anular lo que el padre impone.
1. Management Group
Agrupa suscripciones. Hasta 6 niveles de profundidad + root MG. Max 10.000 MGs por tenant.
2. Subscription
Unidad de facturación y lÃmite de algunos servicios. Una suscripción pertenece a 1 solo tenant.
3. Resource Group
Contenedor lógico de recursos relacionados. Un recurso pertenece a 1 solo RG. El RG tiene región pero los recursos pueden estar en otras regiones.
4. Resource
Instancia individual de un servicio: VM, VNet, Storage Account, etc.
Los Management Groups permiten organizar suscripciones y aplicar gobernanza a escala. El Root Management Group existe automáticamente en cada tenant y contiene todas las suscripciones.
CaracterÃsticas
Ejemplo de estructura tÃpica
Elevación al Root MG
Por defecto, ni el Global Admin tiene acceso al Root MG. Para gestionar polÃticas a nivel tenant, el Global Admin debe ir a Entra ID → Properties → Access management for Azure resources → Yes. Esto le asigna temporalmente User Access Administrator en el root MG.
La suscripción es la unidad principal de facturación y el lÃmite de algunos cuotas de servicio. Cada suscripción pertenece a exactamente 1 tenant de Entra ID.
| Tipo de suscripción | Descripción |
|---|---|
| Free | 200 USD de crédito por 30 dÃas + 12 meses de servicios gratuitos. Solo 1 por cuenta. |
| Pay-As-You-Go | Pago por uso. Sin compromiso mÃnimo. La más común en producción. |
| Enterprise Agreement (EA) | Contrato de 3 años con descuento por volumen. Para grandes empresas. |
| CSP (Cloud Solution Provider) | Gestionada por un partner de Microsoft. Facturación a través del partner. |
| Azure for Students | 100 USD de crédito sin tarjeta de crédito. Limitaciones en ciertos servicios. |
| Dev/Test | Precios reducidos para entornos de desarrollo. Requiere Visual Studio subscription. |
LÃmites importantes de suscripción
VNets por región
1.000
VMs por región
25.000 (soft)
Resource Groups por sub
980
Recursos por RG
Sin lÃmite oficial
Tags por recurso
50
RBAC role assignments
4.000 por scope
Un Resource Group es un contenedor lógico que agrupa recursos relacionados. Es la unidad de gestión del ciclo de vida: eliminar el RG elimina todos sus recursos.
Reglas de Resource Groups
Estrategias de organización de RGs
Por ciclo de vida
Todos los recursos del mismo proyecto en 1 RG. Al terminar el proyecto se elimina todo junto.
Por entorno
rg-prod, rg-staging, rg-dev. Facilita permisos distintos por entorno.
Por tipo de recurso
rg-networking, rg-compute. Útil para equipos especializados.
Por región
rg-westeurope, rg-eastus. Ayuda a agrupar recursos colocalizados.
Los locks previenen que usuarios (incluso Owners y admins) eliminen o modifiquen recursos crÃticos por error. Se aplican a suscripciones, RGs o recursos individuales.
CanNotDelete
Los usuarios pueden leer y modificar el recurso, pero NO pueden eliminarlo.
✅ Permite:
🚫 Bloquea:
ReadOnly
Los usuarios solo pueden leer. Ninguna operación de escritura está permitida, aunque tengan rol Owner.
✅ Permite:
🚫 Bloquea:
Comportamiento de herencia de locks
• Lock en Subscription → aplica a todos los RGs y recursos dentro
• Lock en Resource Group → aplica a todos los recursos del RG
• Lock en recurso → solo ese recurso
• Para eliminar un lock, se necesita el rol Owner o rol con acción Microsoft.Authorization/locks/delete
• ReadOnly en un RG con Storage Account bloquea incluso listar las keys (porque es una acción POST)
Azure Cost Management permite analizar, monitorear y controlar el gasto en Azure. Los Budgets permiten configurar alertas cuando el gasto alcanza umbrales definidos.
Cost Analysis
Vista de gasto por servicio, recurso, tag, región. Permite drill-down y comparación histórica. Exportable a Excel/CSV.
Budgets
Umbrales de alerta de gasto. No bloquea el gasto — solo notifica. Puede configurar Action Groups para ejecutar acciones automáticas.
Advisor Recommendations
Recomendaciones de optimización de costos: VMs infrautilizadas, reserved instances, etc. Integrado con Azure Advisor.
Ãmbito de Cost Management
Puede verse a nivel: Tenant, Management Group, Suscripción, Resource Group, o por tag. Para ver costos cruzados entre suscripciones necesitas permisos a nivel MG o acceso de facturación.
Tags no se heredan automáticamente al RG
Un tag en Resource Group NO se copia a los recursos dentro. Necesitas Azure Policy con modify o append para forzarlo. Muchas preguntas asumen herencia automática.
ReadOnly lock bloquea listar storage keys
Con un ReadOnly lock en una Storage Account (o su RG), la operación "List Keys" falla porque es una acción POST — Azure la trata como escritura aunque solo lee. Esto corta el acceso a las claves sin eliminar el lock.
Owner no puede anular un Lock
Un Owner puede gestionar todos los recursos, PERO para eliminar un lock necesita el rol Owner ESPECÃFICAMENTE o la acción Microsoft.Authorization/locks/delete. Un Contributor no puede borrar locks.
El RG tiene región pero los recursos no tienen que estar en esa región
La región del Resource Group solo determina dónde se almacenan los metadatos del RG. Los recursos dentro pueden estar en cualquier región de Azure.
Budget NO bloquea el gasto
Un Budget solo envÃa alertas o puede ejecutar Logic Apps/Runbooks. No detiene automáticamente la creación de recursos al superarse el umbral. Para bloquear habrÃa que combinar Budget + Action Group + Automation.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un administrador con rol Owner en una suscripción intenta eliminar un Resource Group crÃtico de producción. La operación falla con error 'Conflict'. ¿Cuál es la causa más probable y la solución?