Azure

Multi-Tenant-Sicht auf Azure Subscriptions, Resource Groups, Service Principals und Policies. Provisioning läuft ausschließlich über AccessHub.

Subscriptions

7

5 Prod · 2 Non-Prod

Ressourcen

1224

über alle Tenants

Monatskosten

€ 18.109

-0.6% (€ 105)

Policy-Verstöße

33

7 Policies aktiv

Landing-Zone-Architektur

Azure Management Group · Subscriptions · AccessHubManagement Group: HERMOSAzure Policies · Cost Mgmt · DefenderFISfis.hermos.comdev · stage · prodSubscription GroupTNTtnt.hermos.comdev · stage · prodSubscription GroupFISEfise.hermos.comdev · stage · prodSubscription GroupDSOdso.hermos.comdev · stage · prodSubscription GroupAccessHub Control PlaneService Principals · RBAC · JITConnector · Audit · Policy Evaluation

Governance-Prinzipien

  • • Strikte Subscription-Trennung je Tenant und Environment
  • • Produktions-Ressourcen nur über AccessHub-Role-Bundles
  • • EU-only Geo-Restriktion als Deny-Policy
  • • Verpflichtende Tags: owner, tenant, env, dataClass
  • • JIT-Privilegierung via PIM für alle Admin-Rollen

Rollenmodell (RBAC)

  • • Reader · Contributor · Owner je Subscription
  • • User Access Administrator nur AccessHub-Connector
  • • Custom Roles für KeyVault-Secret-Reader, SQL-Operator
  • • Break-Glass-Konten getrennt per PIM
  • • Alle Zuweisungen laufen über Entitlement-Katalog

Monitoring & Defender

  • • Defender for Cloud über alle Subscriptions
  • • Log Analytics Workspace pro Tenant
  • • Activity Logs in zentralen Event Hub
  • • Azure Monitor Alerts an AccessHub-Notifications
  • • Sentinel-Korrelation für Security-Evidence