AZ-305

Deep Dive

D1 · Identidad, Gobernanza y Monitoreo

Gobernanza y Landing Zones

La gobernanza es la columna vertebral del AZ-305: cómo organizar management groups, cuántas suscripciones crear, dónde aplicar políticas y RBAC, y cómo el Cloud Adoption Framework estructura todo en Azure Landing Zones. Las preguntas suelen darte una estructura organizacional y pedirte el diseño de jerarquía correcto.

Icon-general-11

Jerarquía: management groups y suscripciones

La jerarquía de Azure: Tenant → Management Groups (hasta 6 niveles) → Suscripciones → Resource Groups → Recursos. RBAC y Azure Policy asignados en un nivel se heredan hacia abajo. El diseño correcto minimiza asignaciones duplicadas.

Reglas clave de management groups

  • • Root management group: existe siempre; evitar asignar workload policies ahí — solo guardrails universales
  • • Una suscripción pertenece a exactamente UN management group
  • • Hasta 6 niveles de profundidad (sin contar root ni suscripción)
  • • Las políticas se evalúan acumulativamente: heredas todas las de tus ancestros
  • • Deny en un nivel superior NO puede ser anulado por un nivel inferior

Principio de diseño

Agrupar suscripciones por requisitos de gobernanza comunes, no por estructura organizacional ni geografía. Si Prod y Dev necesitan políticas distintas → management groups separados. Si dos departamentos necesitan exactamente las mismas políticas → pueden compartir management group.

Icon-general-2

Diseño de suscripciones — ¿cuántas y por qué?

La suscripción es la unidad de facturación, límites de servicio (quotas), y aislamiento administrativo. Razones legítimas para separar suscripciones:

DriverPor qué separa suscripciones
Límites de plataforma (quotas)Quotas (vCPUs, VNets, storage accounts) son por suscripción — un workload masivo puede agotar la quota de otros.
Aislamiento de ambientesProd vs Dev/Test: políticas distintas, RBAC distinto, ofertas de precio Dev/Test.
Separación de facturaciónChargeback por unidad de negocio o cliente — la suscripción es la línea natural de la factura.
Límite de seguridad/blast radiusCompromiso o error en una suscripción no afecta los recursos de otra.
Requisitos regulatoriosWorkloads PCI/HIPAA aislados con sus propias políticas y auditoría.

Anti-patrón

Una suscripción por aplicación pequeña → explosión administrativa. Una sola suscripción para toda la empresa → choque de quotas y RBAC sin granularidad. El examen premia el equilibrio: suscripciones por ambiente + workload significativo, gobernadas por management groups.

Azure Landing Zones (Cloud Adoption Framework)

Una landing zone es un entorno pre-configurado (identidad, red, gobernanza, monitoreo) donde aterrizan los workloads. La arquitectura conceptual del CAF define una jerarquía de management groups estándar que el examen espera que reconozcas.

Jerarquía CAF de referencia

Root (Tenant)guardrails universales mínimos
├─ Platformrecursos compartidos operados por el equipo central
│ ├─ IdentityDCs, Entra DS, sincronización
│ ├─ ManagementLog Analytics, automation, monitoreo central
│ └─ Connectivityhub VNet, firewall, VPN/ER gateways, DNS
├─ Landing Zonesworkloads de las áreas de negocio
│ ├─ Corpworkloads internos (sin exposición a internet)
│ └─ Onlineworkloads expuestos a internet
├─ Sandboxexperimentación, políticas relajadas, sin conectividad a corp
└─ Decommissionedsuscripciones en retiro

Principios de diseño de landing zones

  • Policy-driven governance: los guardrails se aplican con Azure Policy, no con procesos manuales
  • Subscription democratization: los equipos reciben suscripciones como unidad de gestión y escala
  • Single control plane: ARM como plano de control unificado
  • • Application-centric: migrar/diseñar alrededor de aplicaciones, no de servidores

Implementación

  • Aceleradores: Azure Landing Zone Accelerator (portal), Bicep/Terraform modules
  • • Azure Verified Modules para IaC consistente
  • • Azure Blueprints está deprecado — usar Template Specs + Deployment Stacks o IaC
Icon-general-7

Naming, tags y resource groups

Resource groups — reglas de diseño

  • • Agrupar recursos con el mismo ciclo de vida (se despliegan y eliminan juntos)
  • • La región del RG solo determina dónde viven los metadatos — los recursos pueden estar en otras regiones
  • • RBAC y locks aplicados al RG se heredan a sus recursos
  • • Un recurso pertenece a un solo RG; puede moverse (con limitaciones por tipo)

Tags — diseño

  • • Casos: cost center / chargeback, ambiente, owner, criticidad, compliance
  • • Los tags NO se heredan por defecto — usar Azure Policy con efecto modify para heredarlos del RG/suscripción
  • • Policy deny puede exigir tags obligatorios en la creación
  • • Cost Management agrupa y filtra costos por tag

Resource locks

CanNotDelete: se puede modificar pero no eliminar. ReadOnly: ni modificar ni eliminar (ojo: bloquea operaciones inesperadas, como listar claves de storage). Los locks aplican a todos los usuarios incluyendo Owners — proteger recursos críticos de producción contra borrado accidental.

Tabla de decisión

RequisitoDiseño
Aplicar una política a 40 suscripciones sin repetir asignacionesAsignarla en un management group ancestro
Prod y Dev con guardrails distintosManagement groups separados (Prod / Non-Prod)
Workload masivo amenaza quotas de otros equiposSuscripción dedicada para ese workload
Chargeback de costos por unidad de negocioSuscripciones por BU + tags de cost center
Evitar borrado accidental de recursos críticosResource lock CanNotDelete
Heredar tag de cost center del resource groupAzure Policy con efecto modify
Entorno estándar repetible para nuevos equiposLanding zone con Bicep/Terraform (acelerador CAF)
Experimentos sin riesgo para corpManagement group Sandbox sin conectividad y políticas relajadas

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una multinacional tiene 60 suscripciones: 25 de producción, 20 de desarrollo, 10 de plataforma compartida (red, identidad) y 5 de sandbox. Necesitan: políticas estrictas en producción, políticas relajadas en sandbox, y que el equipo central administre solo las de plataforma. ¿Cuál es el diseño de jerarquía correcto?

Inicia sesión para llevar tu progreso.