다음을 통해 공유

Azure 절약 플랜을 보고 관리할 수 있는 권한

  • 아티클

이 문서에서는 절약 플랜 권한이 작동하는 방식과 사용자가 Azure Portal에서 Azure 절약 플랜을 보고 관리하는 방법을 설명합니다.

기본적으로 절약 플랜을 관리할 수 있는 사람

두 가지 권한 부여 방법으로 절약 플랜에 대한 권한을 보고, 관리하고, 위임하는 사용자의 기능을 제어합니다. 청구 관리자 역할 및 절약 플랜 RBAC(역할 기반 액세스 제어) 역할입니다.

청구 관리자 역할

기본 제공된 청구 관리자 역할을 사용하여 절약 플랜에 대한 권한을 보고, 관리하고, 위임할 수 있습니다. Microsoft 고객 계약 및 기업계약 청구 역할에 대해 자세히 알아보려면 각각 Azure의 Microsoft 고객 계약 관리 역할 이해Azure 기업계약 역할 관리를 참조하세요.

절약 플랜 작업에 필요한 청구 관리자 역할

  • 절약 플랜 보기:
    • Microsoft 고객 계약: 청구 프로필 읽기 권한자 이상의 사용자
    • 기업계약: 엔터프라이즈 관리자(읽기 전용) 이상의 사용자
    • Microsoft 파트너 계약: 지원되지 않음
  • 절약 플랜 관리(전체 청구 프로필/등록에 대한 권한 위임을 통해 달성):
    • Microsoft 고객 계약: 청구 프로필 기여자 이상의 사용자
    • 기업계약: 기업계약 관리자 이상의 사용자
    • Microsoft 파트너 계약: 지원되지 않음
  • 절약 플랜 권한 위임:
    • Microsoft 고객 계약: 청구 프로필 기여자 이상의 사용자
    • 기업계약: 기업계약 구매자 이상의 사용자
    • Microsoft 파트너 계약: 지원되지 않음

청구 관리자로서 절약 플랜을 보기 및 관리

청구 역할 사용자인 경우 다음 단계를 따라 Azure Portal에서 모든 절약 플랜 및 절약 플랜 트랜잭션을 보고 관리합니다.

  1. Azure Portal에 로그인하고 Cost Management + Billing으로 이동합니다.
    • 기업계약 계정인 경우 왼쪽 메뉴에서 청구 범위를 선택합니다. 그런 다음, 청구 범위 목록에서 하나를 선택합니다.
    • Microsoft 고객 계약 계정인 경우 왼쪽 메뉴에서 청구 프로필을 선택합니다. 청구 프로필 목록에서 하나를 선택합니다.
  2. 왼쪽 메뉴에서 제품 + 서비스>절약 플랜을 선택합니다. 기업계약 등록 또는 Microsoft 고객 계약 청구 프로필에 대한 절약 플랜 전체 목록이 나타납니다.
  3. 청구 역할 사용자는 절약 플랜 주문 - 상승 REST API를 통해 절약 플랜의 소유권을 가져와 자신에게 Azure RBAC 역할을 부여할 수 있습니다.

청구 관리자 추가

Azure Portal에서 기업계약 또는 Microsoft 고객 계약에 사용자를 청구 관리자로 추가합니다.

  • 기업계약: 기업 관리자 역할이 있는 사용자를 추가하여 기업계약에 적용되는 모든 절약 플랜 주문을 보고 관리합니다. 기업 관리자는 Cost Management + Billing에서 절약 플랜을 보고 관리할 수 있습니다.
    • 엔터프라이즈 관리자(읽기 전용) 역할이 있는 사용자는 Cost Management + Billing에서만 절약 플랜을 볼 수 있습니다.
    • 부서 관리자 및 계정 소유자는 액세스 제어(IAM)를 사용하여 명시적으로 추가되지 않는 한 절약 플랜을 볼 수 없습니다. 자세한 내용은 Azure Enterprise 역할 관리를 참조하세요.
  • Microsoft 고객 계약: 청구 프로필 소유자 역할 또는 청구 프로필 기여자 역할을 가진 사용자는 청구 프로필을 사용하여 이루어진 모든 절약 플랜 구매를 관리할 수 있습니다.
    • 청구 프로필 읽기 권한자와 청구서 관리자는 청구 프로필로 지불된 모든 절약 플랜을 볼 수 있습니다. 그러나 절약 플랜을 변경할 수는 없습니다. 자세한 내용은 청구 프로필 역할 및 작업을 참조하세요.

절약 플랜 RBAC 역할

절약 플랜 수명 주기는 Azure 구독과 별개입니다. 절약 플랜은 구매 후 구독 권한을 상속하지 않습니다. 절약 플랜은 자체 Azure RBAC 권한이 있는 테넌트 수준 리소스입니다.

개요

네 가지 절약 플랜별 RBAC 역할이 있습니다.

  • 절약 플랜 관리자: 테넌트에서 하나 이상의 절약 플랜을 관리하고 다른 사용자에게 RBAC 역할을 위임할 수 있습니다.
  • 절약 플랜 구매자: 지정된 구독으로 절약 플랜을 구매할 수 있습니다.
    • 비청구 관리자 및 비구독 소유자가 절약 플랜을 구매하거나 예약 보상 판매를 허용합니다.
    • 비청구 관리자의 절약 플랜 구매가 사용하도록 설정되어야 합니다. 자세한 내용은 Azure 절약 플랜 구매 권한을 참조하세요.
  • 절약 플랜 기여자: 테넌트에서 하나 이상의 절약 플랜을 관리할 수 있지만 RBAC 역할을 다른 사용자에게 위임할 수는 없습니다.
  • 절약 플랜 읽기 권한자: 테넌트에서 하나 이상의 절약 플랜에 대한 읽기 전용 액세스를 허용합니다.

이러한 역할은 특정 리소스 엔터티(예: 구독 또는 절약 플랜) 또는 Microsoft Entra 테넌트(디렉터리)로 범위가 지정될 수 있습니다. Azure RBAC에 대해 자세히 알아보려면 Azure RBAC(Azure 역할 기반 액세스 제어)란?을 참조하세요.

절약 플랜 작업에 필요한 절약 플랜 RBAC 역할

  • 절약 플랜 보기:
    • 테넌트 범위: 절약 플랜 읽기 권한자 이상의 사용자.
    • 절약 플랜 범위: 기본 제공 읽기 권한자 이상.
  • 절약 플랜 관리:
    • 테넌트 범위: 절약 플랜 기여자 이상의 사용자.
    • 절약 플랜 범위: 기본 제공 기여자 또는 소유자 역할 또는 절약 플랜 기여자 이상.
  • 절약 플랜 권한 위임:
    • 테넌트 범위: 테넌트의 모든 절약 플랜에 RBAC 역할을 부여하려면 사용자 액세스 관리자 권한이 필요합니다. 이러한 권한을 얻으려면 액세스 권한 상승 단계를 따릅니다.
    • 절약 플랜 범위: 절약 플랜 관리자 또는 사용자 액세스 관리자.

또한 구독을 사용하여 절약 플랜 상품을 구매할 당시 구독 소유자 역할을 담당했던 사용자는 구매한 절약 플랜 상품에 대한 권한을 확인, 관리 및 위임할 수도 있습니다.

RBAC 액세스로 절약 플랜 보기

절약 플랜 관련 RBAC 역할(절약 플랜 관리자, 구매자, 기여자 또는 읽기 권한자)이 있거나 절약 플랜을 구매했거나 절약 플랜에 소유자로 추가된 경우 다음 단계를 따라 Azure Portal에서 절약 플랜을 보고 관리합니다.

  1. Azure Portal에 로그인합니다.
  2. >절약 플랜을 선택하여 액세스할 수 있는 절약 플랜을 나열합니다.

사용자 및 그룹에 RBAC 역할 추가

절약 플랜 RBAC 역할 위임에 대해 자세히 알아보려면 절약 플랜 RBAC 역할 위임을 참조하세요.

엔터프라이즈 관리자는 절약 플랜 주문의 소유권을 가져올 수 있습니다. 다른 사용자를 절약 플랜에액세스 제어(IAM).

PowerShell로 액세스 권한 부여

절약 플랜 주문에 대한 소유자 액세스 권한이 있는 사용자, 높은 액세스 권한이 있는 사용자 및 사용자 액세스 관리자는 액세스 권한이 있는 모든 절약 플랜 주문에 대해 액세스 관리를 위임할 수 있습니다.

PowerShell을 사용하여 부여된 액세스는 Azure Portal에 표시되지 않습니다. 대신 다음 섹션의 get-AzRoleAssignment 명령을 사용하여 할당된 역할을 봅니다.

모든 절약 플랜에 대한 소유자 역할 할당

사용자에게 Microsoft Entra 테넌트(디렉터리)의 모든 절약 플랜 주문에 대한 Azure RBAC 액세스 권한을 부여하려면 다음 Azure PowerShell 스크립트를 사용합니다.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

PowerShell 스크립트를 사용하여 소유권 역할을 할당하고 성공적으로 실행되면 성공 메시지가 반환되지 않습니다.

매개 변수

  • ObjectId: 사용자, 그룹 또는 서비스 주체의 Microsoft Entra 개체 ID입니다.

    • 형식: 문자열
    • 별칭: Id, PrincipalId
    • 위치: 명명됨
    • 기본값: 없음
    • 파이프라인 입력 허용: True
    • 와일드카드 문자 허용: False

  • TenantId 테넌트 고유 식별자

    • 형식: 문자열
    • 위치: 5
    • 기본값: 없음
    • 파이프라인 입력 허용: False
    • 와일드카드 문자 허용: False

Azure PowerShell 스크립트를 사용하여 테넌트 수준에서 절약 플랜 관리자 역할을 추가합니다.

PowerShell을 통해 테넌트 수준에서 절약 플랜 관리자 역할을 추가하려면 다음 Azure PowerShell 스크립트를 사용합니다.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

매개 변수

  • ObjectId: 사용자, 그룹 또는 서비스 주체의 Microsoft Entra 개체 ID입니다.

    • 형식: 문자열
    • 별칭: Id, PrincipalId
    • 위치: 명명됨
    • 기본값: 없음
    • 파이프라인 입력 허용: True
    • 와일드카드 문자 허용: False

  • TenantId 테넌트 고유 식별자

    • 형식: 문자열
    • 위치: 5
    • 기본값: 없음
    • 파이프라인 입력 허용: False
    • 와일드카드 문자 허용: False

Azure PowerShell 스크립트를 사용하여 테넌트 수준에서 절약 플랜 기여자 역할 할당

PowerShell을 통해 테넌트 수준에서 절약 플랜 기여자 역할을 할당하려면 다음 Azure PowerShell 스크립트를 사용합니다.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

매개 변수

  • ObjectId: 사용자, 그룹 또는 서비스 주체의 Microsoft Entra 개체 ID입니다.

    • 형식: 문자열
    • 별칭: Id, PrincipalId
    • 위치: 명명됨
    • 기본값: 없음
    • 파이프라인 입력 허용: True
    • 와일드카드 문자 허용: False

  • TenantId 테넌트 고유 식별자

    • 형식: 문자열
    • 위치: 5
    • 기본값: 없음
    • 파이프라인 입력 허용: False
    • 와일드카드 문자 허용: False

Azure PowerShell 스크립트를 사용하여 테넌트 수준에서 절약 플랜 읽기 권한자 역할을 할당합니다.

PowerShell을 통해 테넌트 수준에서 절약 플랜 읽기 권한자 역할을 할당하려면 다음 Azure PowerShell 스크립트를 사용합니다.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

매개 변수

  • ObjectId: 사용자, 그룹 또는 서비스 주체의 Microsoft Entra 개체 ID입니다.

    • 형식: 문자열
    • 별칭: Id, PrincipalId
    • 위치: 명명됨
    • 기본값: 없음
    • 파이프라인 입력 허용: True
    • 와일드카드 문자 허용: False

  • TenantId 테넌트 고유 식별자

    • 형식: 문자열
    • 위치: 5
    • 기본값: 없음
    • 파이프라인 입력 허용: False
    • 와일드카드 문자 허용: False

다음 단계