Permissões para ver e gerenciar planos de economia do Azure
Este artigo explica como as permissões do plano de economia do Azure funcionam e como os usuários podem vê-los e gerenciá-los no portal do Azure.
Quem pode gerenciar um plano de economia por padrão
Há dois métodos de autorização diferentes que controlam a capacidade de um usuário de exibir, gerenciar e delegar permissões para planos de economia. São funções de administrador de cobrança e RBAC (controle de acesso baseado em função) do plano de economia.
Funções de administrador de cobrança
Você pode exibir, gerenciar e delegar permissões para os planos de economia usando funções de administrador de cobrança internas. Para saber mais sobre as funções de cobrança do Contrato de Cliente da Microsoft e do Contrato Enterprise, consulte Noções básicas sobre as funções administrativas do Contrato de Cliente da Microsoft no Azure e Gerenciamento de funções do Contrato Enterprise do Azure, respectivamente.
Funções de administrador de cobrança necessárias para ações do plano de economia
- Exibir planos de economia:
- Contrato de Cliente da Microsoft: usuários com perfil de cobrança leitor ou superior
- Contrato Enterprise: usuários com administrador corporativo (somente leitura) ou superior
- Contrato de Parceiro da Microsoft: sem suporte
- Gerenciar planos de economia (obtidos delegando permissões para o perfil de cobrança/registro completo)
- Contrato de Cliente da Microsoft: usuários com colaborador do perfil de cobrança ou superior
- Contrato Enterprise: usuários com administrador do Contrato Enterprise (somente leitura) ou superior
- Contrato de Parceiro da Microsoft: sem suporte
- Delegar permissões de plano de economia:
- Contrato de Cliente da Microsoft: usuários com colaborador do perfil de cobrança ou superior
- Contrato Enterprise: usuários com comprador do Contrato Enterprise ou superior
- Contrato de Parceiro da Microsoft: sem suporte
Exibir e gerenciar planos de economia como um administrador de cobrança
Se você for um usuário com função de cobrança, siga estas etapas para exibir e gerenciar todos os planos de economia e transações de planos de economia no portal do Azure.
- Entre no portal do Azure e navegue até Gerenciamento de Custos e Cobrança.
- Se você estiver em uma conta do Contrato Enterprise, no menu à esquerda, selecione Escopos de cobrança. Em seguida, na lista de escopos do orçamento, selecione um deles.
- Se você estiver em uma conta do Contrato de Cliente da Microsoft, no menu à esquerda, selecione Perfis de cobrança. Na lista de perfis de cobrança, selecione um.
- No menu à esquerda, selecione Produtos e serviços>Planos de economia. A lista completa de planos de economia para o registro do Contrato Enterprise ou para o perfil de cobrança do Contrato de Cliente da Microsoft será exibida.
- Os usuários com função de cobrança podem assumir a propriedade de um plano de economia com a Ordem do Plano de Economia: Elevar a API REST para atribuir a si mesmos funções RBAC do Azure.
Adicionar Administradores de cobrança
Adicione um usuário como administrador de cobrança a um Contrato Enterprise ou a um Contrato de Cliente da Microsoft no portal do Azure.
- Contrato Enterprise: adicione usuários com a função de administrador corporativo para exibir e gerenciar todos os pedidos de plano de economia que se aplicam ao Contrato Enterprise. Os administradores corporativos podem ver e gerenciar planos de economia no Gerenciamento de Custos e Cobrança.
- Os usuários com a função administrador corporativo (somente leitura) só poderão exibir o plano de economia de Gerenciamento de Custos e Cobrança.
- Administradores de departamento e proprietários de contas não poderão exibir planos de economia, a menos que sejam explicitamente adicionados a eles usando o Controle de acesso (IAM). Para obter mais informações, confira Como gerenciar funções corporativas do Azure.
- Contrato de Cliente da Microsoft: os usuários com a função de proprietário do perfil de cobrança ou a função de colaborador do perfil de cobrança podem gerenciar todas as compras do plano de economia feitas usando o perfil de cobrança.
- Os leitores do perfil de cobrança e os gerenciadores de faturas podem ver todos os planos de economia pagos com o perfil de cobrança. No entanto, eles não podem fazer alterações nos planos de economia. Para obter mais informações, confira Funções e tarefas do perfil de cobrança.
Funções RBAC do plano de economia
O ciclo de vida do plano de economia é independente de uma assinatura do Azure. Os planos de economia não herdam permissões das assinaturas após a compra. Os planos de economia são um recurso de nível de locatário com suas próprias permissões de RBAC do Azure.
Visão geral
Há quatro funções RBAC específicas do plano de economia:
- Administrador do plano de economia: permite gerenciamento de um ou mais planos de economia em um locatário e delegação de funções RBAC a outros usuários.
- Comprador do plano de economia: permite a compra de planos de economia com uma assinatura especificada.
- Permite a compra de planos de economia ou a troca de reservas por administradores não-cobrança e proprietários não-assinantes.
- A compra do plano de economia por administradores não-cobrança deve estar habilitada. Para obter mais informações, consulte Permissões para comprar um plano de economia do Azure.
- Colaborador do plano de economia: permite o gerenciamento de um ou mais planos de economia em um locatário, mas não a delegação de funções RBAC para outros usuários.
- Leitor de plano de economia: permite o acesso somente leitura a um ou mais planos de economia em um locatário.
O escopo dessas funções pode ser definido para uma entidade de recurso específica (por exemplo, assinatura ou plano de economia) ou para o locatário do Microsoft Entra (diretório). Para saber mais sobre o RBAC do Azure, veja O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?.
Funções RBAC do plano de economia necessárias para ações do plano de economia
- Exibir planos de economia:
- Escopo do locatário: usuários com leitor de plano de economia ou superior.
- Escopo do plano de economia: leitor interno ou superior.
- Gerenciar planos de economia:
- Escopo do locatário: usuários com colaborador de plano de economia ou superior.
- Escopo do plano de economia: colaborador interno ou funções de proprietário ou colaborador do plano de economia ou superior.
- Delegar permissões de plano de economia:
- Escopo do locatário: são necessários direitos de administrador do Acesso do Usuário para conceder funções RBAC a todos os planos de economia no locatário. Para obter esses direitos, siga as etapas em Elevar acesso.
- Escopo do plano de economia: administrador de plano de economia ou administrador de acesso do usuário.
Além disso, os usuários que tinham a função de proprietário da assinatura quando a assinatura foi usada para comprar um plano de economia também podem exibir, gerenciar e delegar permissões para o plano de economia comprado.
Exibir planos de economia com acesso ao RBAC
Se você tiver funções RBAC específicas de planos de economia (administrador, comprador, colaborador ou leitor de planos de economia), comprou planos de economia ou foi adicionado como proprietário de planos de economia, siga estas etapas para exibir e gerenciar planos de economia no portal do Azure.
- Entre no portal do Azure.
- Selecione Página Inicial>Planos de economia para listar os planos de economia aos quais você tem acesso.
Adicionar funções RBAC a usuários e grupos
Para saber mais sobre como delegar funções RBAC do plano de economia, consulte Delegar funções RBAC do plano de economia.
Os administradores corporativos podem assumir a propriedade de uma ordem de plano de economia. Eles podem adicionar outros usuários a um plano de economia usando Controle de acesso (IAM).
Conceder acesso com o PowerShell
Os usuários que têm acesso de proprietário para ordens de planos de economia, usuários com acesso elevado e administradores de acesso de usuário podem delegar o gerenciamento de acesso para todas as ordens de planos de economia às quais têm acesso.
O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment
comando na seção a seguir para exibir as funções atribuídas.
Atribuir a função de proprietário para todos os planos de economia
Para conceder a um usuário do RBAC do Azure acesso a todos os pedidos de plano de economia em seu locatário do Microsoft Entra (diretório), use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Quando você usa o script do PowerShell para atribuir a função de proprietário e ela é executada com sucesso, não será retornada uma mensagem de bem-sucedido.
Parâmetros
ObjectId: ID de objeto do Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: string
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: False
TenantId: identificador exclusivo do locatário
- Tipo: string
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceitar caracteres curinga: False
Adicionar uma função de administrador de plano de economia no nível do locatário usando o script do Azure PowerShell
Para adicionar uma função de administrador de plano de economia no nível do locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Parâmetros
ObjectId: ID de objeto do Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: string
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: False
TenantId: identificador exclusivo do locatário
- Tipo: string
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceitar caracteres curinga: False
Atribuir uma função de colaborador de plano de economia no nível do locatário usando o script do Azure PowerShell
Para atribuir a função de colaborador do plano de economia no nível do locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Parâmetros
ObjectId: ID de objeto do Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: string
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: False
TenantId: identificador exclusivo do locatário
- Tipo: string
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceitar caracteres curinga: False
Atribuir uma função de leitor de plano de economia no nível do locatário usando o script do Azure PowerShell
Para atribuir a função de leitor de plano de economia no nível do locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Parâmetros
ObjectId: ID de objeto do Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: string
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: False
TenantId: identificador exclusivo do locatário
- Tipo: string
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceitar caracteres curinga: False