Uprawnienia do wyświetlania planów oszczędnościowych platformy Azure i zarządzania nimi
W tym artykule wyjaśniono, jak działają uprawnienia planu oszczędnościowego oraz jak użytkownicy mogą wyświetlać plany oszczędności platformy Azure i zarządzać nimi w witrynie Azure Portal.
Kto domyślnie może zarządzać planem oszczędnościowym
Dwie różne metody autoryzacji kontrolują możliwość wyświetlania, zarządzania i delegowania uprawnień do planów oszczędnościowych oraz zarządzania nimi. Są to role administratora rozliczeń i role kontroli dostępu opartej na rolach (RBAC).
Role administratora rozliczeń
Uprawnienia do planów oszczędnościowych można wyświetlać, zarządzać nimi i delegować przy użyciu wbudowanych ról administratora rozliczeń. Aby dowiedzieć się więcej na temat ról rozliczeń Umowa z Klientem Microsoft i Umowa Enterprise, zobacz Omówienie ról administracyjnych Umowa z Klientem Microsoft na platformie Azure i Zarządzanie rolami usługi Azure Umowa Enterprise, odpowiednio.
Role administratora rozliczeń wymagane dla akcji planu oszczędności
- Wyświetlanie planów oszczędnościowych:
- Umowa z Klientem Microsoft: użytkownicy z czytelnikiem profilu rozliczeniowego lub nowszym
- Umowa Enterprise: użytkownicy z administratorem przedsiębiorstwa (tylko do odczytu) lub nowszym
- Umowa partnerska firmy Microsoft: nieobsługiwane
- Zarządzanie planami oszczędnościowymi (osiągane przez delegowanie uprawnień dla pełnego profilu rozliczeniowego/rejestracji):
- Umowa z Klientem Microsoft: użytkownicy z współautorem profilu rozliczeniowego lub nowszym
- Umowa Enterprise: użytkownicy z administratorem Umowa Enterprise lub nowszym
- Umowa partnerska firmy Microsoft: nieobsługiwane
- Delegowanie uprawnień planu oszczędności:
- Umowa z Klientem Microsoft: użytkownicy z współautorem profilu rozliczeniowego lub nowszym
- Umowa Enterprise: Użytkownicy z nabywcą Umowa Enterprise lub nowszym
- Umowa partnerska firmy Microsoft: nieobsługiwane
Wyświetlanie planów oszczędnościowych i zarządzanie nimi jako administrator rozliczeń
Jeśli jesteś użytkownikiem roli rozliczeniowej, wykonaj następujące kroki, aby wyświetlić wszystkie plany oszczędnościowe i transakcje planu oszczędnościowego i zarządzać nimi w witrynie Azure Portal.
- Zaloguj się do witryny Azure Portal i przejdź do obszaru Zarządzanie kosztami i rozliczenia.
- Jeśli korzystasz z konta Umowa Enterprise, w menu po lewej stronie wybierz pozycję Zakresy rozliczeniowe. Następnie na liście zakresów rozliczeniowych wybierz jeden.
- Jeśli korzystasz z konta Umowa z Klientem Microsoft, w menu po lewej stronie wybierz pozycję Profile rozliczeniowe. Na liście profilów rozliczeniowych wybierz jeden z nich.
- W menu po lewej stronie wybierz pozycję Produkty i usługi>Plany oszczędności. Zostanie wyświetlona pełna lista planów oszczędnościowych dotyczących rejestracji Umowa Enterprise lub Umowa z Klientem Microsoft profilu rozliczeniowego.
- Użytkownicy roli rozliczeń mogą przejąć własność planu oszczędnościowego przy użyciu zamówienia planu oszczędnościowego — podnoszenie poziomu interfejsu API REST, aby dać sobie role RBAC platformy Azure.
Dodawanie administratorów rozliczeń
Dodaj użytkownika jako administratora rozliczeń do Umowa Enterprise lub Umowa z Klientem Microsoft w witrynie Azure Portal.
- Umowa Enterprise: Dodaj użytkowników z rolą administratora przedsiębiorstwa, aby wyświetlić wszystkie zamówienia planu oszczędnościowego, które mają zastosowanie do Umowa Enterprise i zarządzać nimi. Administratorzy przedsiębiorstwa mogą wyświetlać plany oszczędnościowe i zarządzać nimi w obszarze Zarządzanie kosztami i rozliczenia (Cost Management + Billing).
- Użytkownicy z rolą administratora przedsiębiorstwa (tylko do odczytu) mogą wyświetlać tylko plan oszczędności z obszaru Zarządzanie kosztami i rozliczenia.
- Administratorzy działu i właściciele kont nie mogą wyświetlać planów oszczędnościowych, chyba że zostaną jawnie dodani do nich przy użyciu kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami przedsiębiorstwa platformy Azure.
- Umowa z Klientem Microsoft: Użytkownicy z rolą właściciela profilu rozliczeniowego lub współautorem profilu rozliczeniowego mogą zarządzać wszystkimi zakupami planu oszczędnościowego dokonanych przy użyciu profilu rozliczeniowego.
- Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie plany oszczędnościowe opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w planach oszczędnościowych. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.
Role kontroli dostępu opartej na rolach planu oszczędności
Cykl życia planu oszczędności jest niezależny od subskrypcji platformy Azure. Plany oszczędnościowe nie dziedziczą uprawnień z subskrypcji po zakupie. Plany oszczędności to zasób na poziomie dzierżawy z własnymi uprawnieniami RBAC platformy Azure.
Omówienie
Istnieją cztery role kontroli RBAC specyficzne dla planu oszczędności:
- Administrator planu oszczędności: umożliwia zarządzanie co najmniej jednym planem oszczędnościowym w dzierżawie i delegowaniu ról RBAC innym użytkownikom.
- Nabywca planu oszczędności: umożliwia zakup planów oszczędnościowych z określoną subskrypcją.
- Umożliwia zakup planów oszczędnościowych lub transakcję rezerwacji przez administratorów niebędących administratorami i niepodsubskrypcyjnymi.
- Należy włączyć plan oszczędności zakupu przez administratorów niebędących administratorami. Aby uzyskać więcej informacji, zobacz Uprawnienia do zakupu planu oszczędności platformy Azure.
- Współautor planu oszczędności: umożliwia zarządzanie co najmniej jednym planem oszczędnościowym w dzierżawie, ale nie delegowaniem ról RBAC innym użytkownikom.
- Czytelnik planu oszczędności: umożliwia dostęp tylko do odczytu do co najmniej jednego planu oszczędnościowego w dzierżawie.
Te role mogą być ograniczone do określonej jednostki zasobów (na przykład subskrypcji lub planu oszczędnościowego) lub dzierżawy firmy Microsoft Entra (katalogu). Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.
Role kontroli dostępu opartej na rolach planu oszczędności wymagane dla akcji planu oszczędności
- Wyświetlanie planów oszczędnościowych:
- Zakres dzierżawy: użytkownicy z czytelnikiem planu oszczędności lub nowszym.
- Zakres planu oszczędności: wbudowany czytnik lub nowszy.
- Zarządzanie planami oszczędnościowymi:
- Zakres dzierżawy: użytkownicy z współautorem planu oszczędnościowego lub wyższym.
- Zakres planu oszczędności: wbudowane role współautora lub właściciela albo współautor planu oszczędności lub nowszy.
- Delegowanie uprawnień planu oszczędności:
- Zakres dzierżawy: uprawnienia administratora dostępu użytkowników są wymagane do udzielania ról RBAC wszystkim planom oszczędnościowym w dzierżawie. Aby uzyskać te prawa, wykonaj kroki podniesienia poziomu dostępu .
- Zakres planu oszczędności: administrator planu oszczędności lub administrator dostępu użytkowników.
Ponadto użytkownicy, którzy pełnili rolę właściciela subskrypcji, gdy subskrypcja została użyta do zakupu planu oszczędnościowego, mogą również wyświetlać, zarządzać i delegować uprawnienia dla zakupionego planu oszczędnościowego.
Wyświetlanie planów oszczędności z dostępem RBAC
Jeśli masz role RBAC specyficzne dla planu oszczędnościowego (administrator planu oszczędności, nabywca, współautor lub czytelnik), zakupione plany oszczędnościowe lub zostały dodane jako właściciel do planów oszczędnościowych, wykonaj następujące kroki, aby wyświetlić plany oszczędnościowe i zarządzać nimi w witrynie Azure Portal.
- Zaloguj się w witrynie Azure Portal.
- Wybierz pozycję Plany oszczędności domu>, aby wyświetlić listę planów oszczędnościowych, do których masz dostęp.
Dodawanie ról RBAC do użytkowników i grup
Aby dowiedzieć się więcej na temat delegowania ról RBAC planu oszczędnościowego, zobacz Delegowanie ról RBAC planu oszczędności.
Administratorzy przedsiębiorstwa mogą przejąć własność zamówienia planu oszczędnościowego. Użytkownicy mogą dodawać innych użytkowników do planu oszczędnościowego przy użyciu poleceniaKontrola dostępu (IAM).
Udzielanie dostępu za pomocą programu PowerShell
Użytkownicy, którzy mają dostęp właściciela do zamówień planu oszczędnościowego, użytkowników z podwyższonym poziomem dostępu, a administratorzy dostępu użytkowników mogą delegować zarządzanie dostępem dla wszystkich zamówień planu oszczędnościowego, do których mają dostęp.
Dostęp udzielony przy użyciu programu PowerShell nie jest wyświetlany w witrynie Azure Portal. Zamiast tego użyjesz get-AzRoleAssignment
polecenia w poniższej sekcji, aby wyświetlić przypisane role.
Przypisywanie roli właściciela dla wszystkich planów oszczędnościowych
Aby przyznać użytkownikowi dostęp RBAC platformy Azure do wszystkich zamówień planu oszczędności w dzierżawie firmy Microsoft Entra (katalog), użyj następującego skryptu programu Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Gdy używasz skryptu programu PowerShell do przypisywania roli własności i jest ona uruchamiana pomyślnie, komunikat o powodzeniu nie zostanie zwrócony.
Parametry
ObjectId: Identyfikator obiektu Entra firmy Microsoft użytkownika, grupy lub jednostki usługi
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
TenantId: unikatowy identyfikator dzierżawy
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz
Dodawanie roli administratora planu oszczędności na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell
Aby dodać rolę administratora planu oszczędności na poziomie dzierżawy za pomocą programu PowerShell, użyj następującego skryptu programu Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Parametry
ObjectId: Identyfikator obiektu Entra firmy Microsoft użytkownika, grupy lub jednostki usługi
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
TenantId: unikatowy identyfikator dzierżawy
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz
Przypisywanie roli współautora planu oszczędności na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell
Aby przypisać rolę współautora planu oszczędności na poziomie dzierżawy za pomocą programu PowerShell, użyj następującego skryptu programu Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Parametry
ObjectId: Identyfikator obiektu Entra firmy Microsoft użytkownika, grupy lub jednostki usługi
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
TenantId: unikatowy identyfikator dzierżawy
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz
Przypisywanie roli czytelnika planu oszczędności na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell
Aby przypisać rolę czytelnika planu oszczędności na poziomie dzierżawy za pomocą programu PowerShell, użyj następującego skryptu programu Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Parametry
ObjectId: Identyfikator obiektu Entra firmy Microsoft użytkownika, grupy lub jednostki usługi
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
TenantId: unikatowy identyfikator dzierżawy
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz