Oprávnění k zobrazení a správě rezervací Azure
Tento článek vysvětluje, jak fungují oprávnění k rezervacím a jak můžou uživatelé zobrazovat a spravovat rezervace Azure na webu Azure Portal a pomocí Azure PowerShellu.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Kdo může ve výchozím nastavení spravovat rezervaci
Ve výchozím nastavení mohou rezervace zobrazovat a spravovat následující uživatelé:
- Do objednávky rezervace se přidá osoba, která rezervaci koupí, a správce účtu pro fakturační předplatné použité k nákupu rezervace.
- Správci fakturace pro smlouvy Enterprise a Smlouvy se zákazníkem Microsoftu
- Uživatelé se zvýšenou úrovní přístupu pro správu všech předplatných Azure a skupin pro správu
- Správce rezervací pro rezervace ve svém tenantovi Microsoft Entra (adresáři)
- Čtenář rezervací má k rezervacím ve svém tenantovi (adresáři) Microsoft Entra přístup jen pro čtení
Životní cyklus úsporného plánu je nezávislý na předplatném Azure, takže rezervace není prostředkem v rámci předplatného Azure. Místo toho se jedná o prostředek na úrovni tenanta s vlastním oprávněním Azure RBAC odděleným od předplatných. Rezervace po zakoupení nedědí oprávnění z předplatných.
Zobrazení a správa rezervací
Pokud jste správcem fakturace, můžete pomocí následujících kroků zobrazit a spravovat všechny rezervace a transakce rezervací na webu Azure Portal.
- Přihlaste se k webu Azure Portal a přejděte do části Cost Management + Billing.
- Pokud jste správce EA, v nabídce vlevo vyberte Rozsahy fakturace a pak v seznamu vyberte rozsah fakturace.
- Pokud jste vlastníkem fakturačního profilu pro Smlouvu se zákazníkem Microsoftu, v nabídce vlevo vyberte Fakturační profily. V seznamu profilů fakturace vyberte profil.
- V nabídce vlevo vyberte Produkty a služby>Rezervace.
- Zobrazí se úplný seznam rezervací pro vaši prováděcí smlouvu EA nebo fakturační profil.
- Správci rezervace mohou převzít vlastnictví rezervace tak, že vyberete jednu nebo několik rezervací, vyberete Udělit přístup a potom v okně, které se zobrazí, vyberete Udělit přístup. V případě Smlouvy se zákazníkem Microsoft by měl být uživatel ve stejném tenantovi Microsoft Entra (adresáři) jako rezervace.
Přidat správce fakturace
Přidat uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu můžete na webu Azure Portal.
- V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Podnikoví správci můžou zobrazit a spravovat rezervace v části Správa nákladů a fakturace.
- Uživatelé s rolí Podnikový správce (jen pro čtení) mohou rezervace ze služby Cost Management + Billing jenom zobrazovat a nemohou udělit přístup.
- Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.
- V případě Smlouvy se zákazníkem Microsoft mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.
Zobrazení rezervací s přístupem Azure RBAC
Pokud jste si rezervaci koupili nebo jste ji přidali k rezervaci, můžete pomocí následujícího postupu zobrazit a spravovat rezervace na webu Azure Portal.
- Přihlaste se k portálu Azure.
- Výběrem Všechny služby>Rezervace zobrazte seznam rezervací, ke kterým máte přístup.
Správa předplatných a skupin pro správu s přístupem se zvýšenými oprávněními
Můžete zvýšit úroveň přístupu uživatele, aby mohl spravovat všechna předplatná Azure a skupiny pro správu.
Po zvýšení úrovně přístupu:
- Přejděte na Všechny služby>Rezervace a zobrazte všechny rezervace, které jsou v tenantovi.
- Pokud chcete provádět úpravy rezervací pomocí řízení přístupu (IAM) přidejte sami sebe jako vlastníka rezervace.
Udělení přístupu k jednotlivým rezervacím
Uživatelé, kteří mají k rezervacím přístup vlastníka, a správci fakturace můžou delegovat řízení přístupu pro jednotlivé objednávky rezervací na webu Azure Portal.
Pokud chcete správu rezervací umožnit ostatním, máte dvě možnosti:
Řízení přístupu pro jednotlivé objednávky rezervací můžete delegovat tak, že uživateli přiřadíte roli vlastníka v oboru prostředku objednávky rezervace. Pokud chcete udělit omezený přístup, vyberte jinou roli.
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.Přidání uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu:
V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Uživatelé s rolí Podnikový správce (jen pro čtení) mohou rezervaci jenom zobrazit. Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.
Podnikoví správci můžou převzít vlastnictví objednávky rezervace a mohou k rezervaci přidávat další uživatele pomocí řízení přístupu (IAM).
V případě Smlouvy se zákazníkem Microsoft mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.
Udělení přístupu pomocí PowerShell
Uživatelé, kteří mají přístup vlastníka pro objednávky rezervací, uživatelé se zvýšeným přístupem a správci uživatelských přístupů můžou delegovat správu přístupu pro všechny objednávky rezervací, ke kterým mají přístup.
Přístup udělený pomocí PowerShellu se na webu Azure Portal nezobrazuje. Místo toho pomocí get-AzRoleAssignment příkazu v následující části zobrazíte přiřazené role.
Přiřazení role vlastníka pro všechny rezervace
Pomocí následujícího skriptu Azure PowerShellu můžete uživateli poskytnout přístup Azure RBAC ke všem objednávkám rezervací v jeho tenantovi (adresáři) Microsoft Entra.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Pokud pomocí skriptu PowerShellu přiřadíte roli vlastnictví a úspěšně se spustí, nezobrazí se zpráva o úspěchu.
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False
Přístup na úrovni tenanta
Aby bylo možné uživatelům nebo skupinám udělit role Správce rezervací a Čtenář rezervací na úrovni tenanta, jsou vyžadována práva správce uživatelských přístupů. Pokud chcete získat oprávnění správce uživatelských přístupů na úrovni tenanta, postupujte podle kroků pro zvýšení úrovně přístupu .
Přidání role správce rezervací nebo role Čtenář rezervací na úrovni tenanta
Tyto role můžou přiřadit jenom globální správci z webu Azure Portal.
- Přihlaste se k webu Azure Portal a přejděte k položce Rezervace.
- Vyberte rezervaci, ke které máte přístup.
- V horní části stránky vyberte Přiřazení role.
- Vyberte kartu Role.
- Pokud chcete provádět změny, přidejte uživatele jako správce rezervací nebo čtenář rezervací pomocí řízení přístupu.
Přidání role Správce rezervací na úrovni tenanta pomocí skriptu Azure PowerShellu
Pomocí následujícího skriptu Azure PowerShellu přidejte roli Správce rezervací na úrovni tenanta pomocí PowerShellu.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False
Přiřazení role Čtenář rezervace na úrovni tenanta pomocí skriptu Azure PowerShellu
Pomocí následujícího skriptu Azure PowerShellu přiřaďte roli Čtenář rezervace na úrovni tenanta pomocí PowerShellu.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False