Freigeben über

Exportieren von Kostendaten mit einem SAS-Schlüssel für das Azure Storage-Konto

  • Artikel

Die folgenden Informationen gelten nur für Microsoft-Partner.

Häufig verfügen Partner nicht über eigene Azure-Abonnements im Mandanten, die ihren eigenen Microsoft Partner-Vereinbarung zugeordnet sind. Partner mit einer Microsoft Partner-Vereinbarung, die globale Administratoren ihres Abrechnungskontos sind, können mit einem SAS-Schlüssel (Shared Access Signature) Kostendaten in ein Speicherkonto in einem anderen Mandanten exportieren und kopieren. Anders ausgedrückt: Ein Speicherkonto mit einem SAS-Schlüssel ermöglicht es dem Partner, über ein Speicherkonto, das nicht in der Microsoft Partner-Vereinbarung enthalten ist, exportierte Informationen zu erhalten. Dieser Artikel hilft Partnern, einen SAS-Schlüssel zu erstellen und Cost Management-Exporte zu konfigurieren.

Anforderungen

  • Sie müssen ein Partner mit einem Microsoft Partner-Vereinbarung sein. Ihre Kunden im Azure-Plan müssen über einen signierten Microsoft-Kundenvereinbarung verfügen.
    • SAS-schlüsselbasierter Export wird für indirekte Unternehmensvereinbarungen nicht unterstützt.
  • SAS-schlüsselbasierter Export ist für Partner verfügbar, die sich von einem Partnermandanten bei der Azure-Portal anmelden. Die SAS-Schlüsseloption wird jedoch nicht unterstützt, wenn Sie Azure Lighthouse für die Kundenverwaltung verwenden.
  • Sie müssen globaler Administrator für das Abrechnungskonto der Partnerorganisation sein.
  • Sie müssen über Zugriffsberechtigungen zum Konfigurieren eines Speicherkontos verfügen, das sich in einem anderen Mandanten Ihrer Partnerorganisation befindet. Sie sind für die Verwaltung der Berechtigungen und des Datenzugriffs verantwortlich, wenn Sie Daten in Ihr Speicherkonto exportieren.
  • Für das Speicherkonto darf keine Firewall konfiguriert sein.
  • Für die Speicherkontokonfiguration muss die Option Zulässiger Bereich für Kopiervorgänge (Vorschau) auf Aus einem beliebigen Speicherkonto festgelegt sein.

Konfigurieren von Azure Storage mit einem SAS-Schlüssel

Rufen Sie ein Speicherkonto-SAS-Token ab, oder erstellen Sie eines im Azure-Portal. Führen Sie zum Erstellen eines SAS-Tokens im Azure-Portal die folgenden Schritte aus. Weitere Informationen über SAS-Schlüssel finden Sie unter Gewähren von eingeschränktem Zugriff auf Daten mithilfe von SAS (Shared Access Signature).

  1. Navigieren Sie im Azure-Portal zu dem Speicherkonto.
    • Wenn Ihr Konto Zugriff auf mehrere Mandanten hat, wechseln Sie für den Zugriff auf das Speicherkonto das Verzeichnis. Wählen Sie in der oberen rechten Ecke des Azure-Portals Ihr Konto aus, und klicken Sie dann auf Verzeichnis wechseln.
    • Möglicherweise müssen Sie sich mit dem entsprechenden Mandantenkonto beim Azure-Portal anmelden, um auf das Speicherkonto zugreifen zu können.
  2. Wählen Sie im linken Bereich Shared Access Signature (SAS) aus.
    Screenshot showing a configured Azure storage shared access signature.
  3. Konfigurieren Sie das Token mit den Einstellungen, die in der vorherigen Abbildung angegeben sind.
    1. Wählen Sie für Zulässige Dienste die Option Blob aus.
    2. Aktivieren Sie für Zugelassene Ressourcentypen die Optionen Dienst, Container und Objekt.
    3. Aktivieren Sie unter Zugelassene Berechtigungen die Optionen Lesen, Schreiben, Löschen, Auflisten, Hinzufügen und Erstellen.
    4. Wählen Sie das Ablaufdatum aus. Stellen Sie sicher, dass Sie das SAS-Exporttoken aktualisieren, bevor es abläuft. Je länger der von Ihnen konfigurierte Zeitraum bis zum Ablauf ist, desto länger wird der Export ausgeführt, bevor ein neues SAS-Token benötigt wird.
  4. Wählen Sie für Zugelassene Protokolle die Option Nur HTTPS aus.
  5. Wählen Sie für Bevorzugte Routingebene die Option Basic aus.
  6. Wählen Sie für Signaturschlüssel die Option key1 aus. Wenn Sie den zum Signieren des SAS-Tokens verwendeten Schlüssel drehen oder aktualisieren, müssen Sie ein neues SAS-Token neu generieren.
  7. Klicken Sie auf SAS und Verbindungszeichenfolge generieren. Der angezeigte Wert für SAS-Token ist das Token, das Sie beim Konfigurieren von Exporten benötigen.

Erstellen eines neuen Exports mit einem SAS-Token

Navigieren Sie im Abrechnungskontobereich zu Exporte, und erstellen Sie mit den folgenden Schritten einen neuen Export.

  1. Klicken Sie auf Erstellen.
  2. Konfigurieren Sie die Exportdetails wie bei einem normalen Export. Sie können den Export so konfigurieren, dass es ein vorhandenes Verzeichnis oder einen vorhandenen Container verwendet, oder Sie können ein neues Verzeichnis oder einen neuen Container angeben. Der Exportvorgang erstellt sie für Sie.
  3. Wenn Sie Speicher konfigurieren, wählen Sie Use a SAS Token (SAS-Token verwenden) aus.
    Screenshot showing the New export where you select SAS token.
  4. Geben Sie den Namen des Speicherkontos ein, und fügen Sie das SAS-Token ein.
  5. Geben Sie einen vorhandenen Container oder ein vorhandenes Verzeichnis an, oder geben Sie einen neuen Container oder ein neues Verzeichnis an, der bzw. das erstellt werden soll.
  6. Klicken Sie auf Erstellen.

Exporte auf Grundlage eines SAS-Tokens werden nur ausgeführt, solange das Token gültig ist. Setzen Sie das Token zurück, bevor das aktuelle abläuft, oder Ihr Export funktioniert nicht mehr. Da das Token Zugriff auf Ihr Speicherkonto bietet, schützen Sie das Token so sorgfältig wie alle anderen vertraulichen Informationen. Sie sind für die Verwaltung der Berechtigungen und des Datenzugriffs verantwortlich, wenn Sie Daten in Ihr Speicherkonto exportieren.

Problembehandlung bei Exporten mithilfe von SAS-Token

Im Folgenden werden häufige Probleme beschrieben, die bei der Konfiguration oder Verwendung von Exporten auf Grundlage von SAS-Token auftreten können.

  • Im Azure-Portal wird keine Option für SAS-Schlüssel angezeigt.

    • Stellen Sie sicher, dass Sie ein Partner mit einer Microsoft Partner-Vereinbarung sind und über globale Administratorberechtigungen für das Abrechnungskonto verfügen. Dies sind die einzigen Personen, die den Export mit einem SAS-Schlüssel durchführen können.

  • Wenn Sie versuchen, den Export zu konfigurieren, erhalten Sie die folgende Fehlermeldung:

    Please ensure the SAS token is valid for blob service, is valid for container and object resource types, and has permissions: add create read write delete. (Storage service error code: AuthorizationResourceTypeMismatch) (Stellen Sie sicher, dass das SAS-Token für den Blob-Dienst sowie für Container- und Objektressourcentypen gültig ist und über Erstellungs-, Lese-, Schreib- und Löschberechtigungen verfügt. (Speicherdienst-Fehlercode: AuthorizationResourceTypeMismatch))

    • Stellen Sie sicher, dass Sie den SAS-Schlüssel in Azure Storage ordnungsgemäß konfigurieren und erstellen.

  • Nachdem Sie einen Export erstellt haben, wird nicht der vollständige SAS-Schlüssel angezeigt.

    • Dass der Schlüssel nicht angezeigt wird, entspricht dem erwarteten Verhalten. Nachdem der SAS-Export konfiguriert wurde, wird der Schlüssel aus Sicherheitsgründen ausgeblendet.

  • Sie können über den Mandanten, in dem der Export konfiguriert wurde, nicht auf das Speicherkonto zugreifen.

    • Dies ist das erwartete Verhalten. Wenn sich das Speicherkonto in einem anderen Mandanten befindet, müssen Sie zunächst im Azure-Portal zu diesem Mandanten navigieren, um das Speicherkonto zu suchen.

  • Der Export schlägt aufgrund eines Fehlers beim SAS-Token fehl.

    • Der Export kann nur ausgeführt werden, solange das SAS-Token gültig ist. Erstellen Sie einen neuen Schlüssel, und führen Sie den Export aus.

Nächste Schritte