Permissões para ver e gerir os planos de poupança do Azure
Este artigo explica como funcionam as permissões do plano de poupança e como os utilizadores podem ver e gerir os planos de poupança do Azure no portal do Azure.
Quem pode gerir um plano de poupança por predefinição
Dois métodos de autorização diferentes controlam a capacidade de um usuário de exibir, gerenciar e delegar permissões a planos de economia. Eles são funções de administrador de cobrança e funções de controle de acesso baseado em função (RBAC) do plano de economia.
Funções de administrador de cobrança
Você pode exibir, gerenciar e delegar permissões a planos de economia usando funções internas de administrador de cobrança. Para saber mais sobre as funções de faturação do Contrato de Cliente Microsoft e do Enterprise Agreement, consulte Compreender as funções administrativas do Contrato de Cliente Microsoft no Azure e Gerir as funções do Azure Enterprise Agreement, respetivamente.
Funções de administrador de cobrança necessárias para ações do plano de economia
- Ver planos de poupança:
- Contrato de Cliente Microsoft: Utilizadores com leitor de perfil de faturação ou superior
- Enterprise Agreement: Usuários com administrador corporativo (somente leitura) ou superior
- Contrato de Parceiro da Microsoft: Não suportado
- Gerenciar planos de economia (obtidos delegando permissões para o perfil/inscrição de faturamento completo):
- Contrato de Cliente Microsoft: Utilizadores com perfil de faturação de contribuidor ou superior
- Enterprise Agreement: Usuários com administrador do Enterprise Agreement ou superior
- Contrato de Parceiro da Microsoft: Não suportado
- Delegar permissões do plano de poupança:
- Contrato de Cliente Microsoft: Utilizadores com perfil de faturação de contribuidor ou superior
- Enterprise Agreement: Utilizadores com comprador do Enterprise Agreement ou superior
- Contrato de Parceiro da Microsoft: Não suportado
Ver e gerir planos de poupança como administrador de faturação
Se for um utilizador da função de faturação, siga estes passos para ver e gerir todos os planos de poupança e transações do plano de poupança no portal do Azure.
- Entre no portal do Azure e vá para Gerenciamento de custos + Cobrança.
- Se você estiver em uma conta do Enterprise Agreement, no menu à esquerda, selecione Escopos de faturamento. Em seguida, na lista de escopos de faturamento, selecione um.
- Se você tiver uma conta do Contrato de Cliente Microsoft, no menu à esquerda, selecione Perfis de cobrança. Na lista de perfis de faturação, selecione um.
- No menu à esquerda, selecione Produtos + serviços>Planos de poupança. É apresentada a lista completa de planos de poupança para a inscrição no Enterprise Agreement ou no perfil de faturação do Contrato de Cliente Microsoft.
- Os utilizadores da função de faturação podem apropriar-se de um plano de poupança com a Ordem do Plano de Poupança - Elevar a API REST para atribuir a si próprios funções do Azure RBAC.
Adicionar administradores de faturação
Adicione um utilizador como administrador de faturação a um Enterprise Agreement ou a um Contrato de Cliente Microsoft no portal do Azure.
- Enterprise Agreement: adicione usuários com a função de administrador Enterprise para exibir e gerenciar todos os pedidos de planos de economia que se aplicam ao Enterprise Agreement. Os administradores do Enterprise podem ver e gerir planos de poupança em Gestão de Custos + Faturação.
- Os usuários com a função de administrador corporativo (somente leitura) só podem exibir o plano de economia em Gerenciamento de custos + Faturamento.
- Os administradores de departamento e os proprietários de contas não podem visualizar os planos de poupança, a menos que sejam explicitamente adicionados a eles usando o controle de acesso (IAM). Para obter mais informações, consulte Gerenciar funções do Azure Enterprise.
- Contrato de Cliente Microsoft: os utilizadores com a função de proprietário do perfil de faturação ou a função de contribuidor do perfil de faturação podem gerir todas as compras de planos de poupança efetuadas utilizando o perfil de faturação.
- Os leitores de perfis de faturação e os gestores de faturas podem ver todos os planos de poupança pagos com o perfil de faturação. No entanto, não podem fazer alterações aos planos de poupança. Para obter mais informações, veja Funções e tarefas do perfil de faturação.
Funções RBAC do plano de poupança
O ciclo de vida do plano de poupança é independente de uma subscrição do Azure. Os planos de poupança não herdam permissões de subscrições após a compra. Os planos de poupança são um recurso de nível de locatário com suas próprias permissões do Azure RBAC.
Descrição geral
Existem quatro funções RBAC específicas do plano de poupança:
- Administrador do plano de poupança: Permite a gestão de um ou mais planos de poupança num inquilino e a delegação de funções RBAC a outros utilizadores.
- Comprador de plano de poupança: Permite a compra de planos de poupança com uma assinatura especificada.
- Permite a compra ou troca de reservas de planos de poupança por administradores que não faturam e proprietários que não subscrevem.
- A compra de planos de poupança por administradores que não sejam de faturação tem de estar ativada. Para obter mais informações, consulte Permissões para comprar um plano de poupança do Azure.
- Contribuidor do plano de poupança: Permite a gestão de um ou mais planos de poupança num inquilino, mas não a delegação de funções RBAC a outros utilizadores.
- Leitor de planos de poupança: Permite acesso somente leitura a um ou mais planos de poupança em um inquilino.
Essas funções podem ter como escopo uma entidade de recurso específica (por exemplo, assinatura ou plano de economia) ou o locatário do Microsoft Entra (diretório). Para saber mais sobre o Azure RBAC, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.
Funções RBAC do plano de poupança necessárias para ações do plano de poupança
- Ver planos de poupança:
- Escopo do locatário: usuários com leitor de plano de poupança ou superior.
- Âmbito do plano de poupança: Leitor incorporado ou superior.
- Gerir planos de poupança:
- Âmbito do inquilino: Utilizadores com contribuinte do plano de poupança ou superior.
- Escopo do plano de poupança: funções internas de contribuidor ou proprietário, ou contribuidor do plano de poupança ou superior.
- Delegar permissões do plano de poupança:
- Escopo do locatário: os direitos de administrador de Acesso do Usuário são necessários para conceder funções RBAC a todos os planos de economia no locatário. Para obter esses direitos, siga as etapas de acesso Elevate.
- Escopo do plano de poupança: administrador do plano de poupança ou administrador de acesso do usuário.
Além disso, os usuários que ocupavam a função de proprietário da assinatura quando a assinatura foi usada para comprar um plano de poupança também podem exibir, gerenciar e delegar permissões para o plano de poupança comprado.
Veja planos de poupança com acesso RBAC
Se tiver funções RBAC específicas do plano de poupança (administrador, comprador, contribuidor ou leitor do plano de poupança), tiver comprado planos de poupança ou tiver sido adicionado como proprietário a planos de poupança, siga estes passos para ver e gerir planos de poupança no portal do Azure.
- Inicie sessão no portal do Azure.
- Selecione Planos de poupança doméstica>para listar os planos de poupança aos quais tem acesso.
Adicionar funções RBAC a usuários e grupos
Para saber mais sobre como delegar funções RBAC do plano de poupança, consulte Delegar funções RBAC do plano de poupança.
Os administradores empresariais podem apropriar-se de uma ordem de plano de poupança. Eles podem adicionar outros usuários a um plano de poupança usandoControlo de acessos (IAM).
Conceder acesso com o PowerShell
Os usuários que têm acesso de proprietário para pedidos de plano de economia, usuários com acesso elevado e administradores de acesso de usuário podem delegar o gerenciamento de acesso para todos os pedidos de plano de economia aos quais eles têm acesso.
O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment
comando na seção a seguir para exibir as funções atribuídas.
Atribuir a função de proprietário para todos os planos de poupança
Para conceder a um usuário do Azure RBAC acesso a todos os pedidos de planos de economia em seu locatário do Microsoft Entra (diretório), use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Quando você usa o script do PowerShell para atribuir a função de propriedade e ele é executado com êxito, uma mensagem de êxito não é retornada.
Parâmetros
ObjectId: ID do objeto Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: cadeia
- Pseudónimos: Id, PrincipalId
- Cargo: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: Falso
TenantId: identificador exclusivo do locatário
- Tipo: cadeia
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: Falso
- Aceitar caracteres curinga: Falso
Adicionar uma função de administrador de plano de economia no nível do locatário usando o script do Azure PowerShell
Para adicionar uma função de administrador de plano de economia no nível de locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Parâmetros
ObjectId: ID do objeto Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: cadeia
- Pseudónimos: Id, PrincipalId
- Cargo: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: Falso
TenantId: identificador exclusivo do locatário
- Tipo: cadeia
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: Falso
- Aceitar caracteres curinga: Falso
Atribuir uma função de colaborador do plano de poupança ao nível do inquilino utilizando o script do Azure PowerShell
Para atribuir a função de colaborador do plano de economia no nível do locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Parâmetros
ObjectId: ID do objeto Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: cadeia
- Pseudónimos: Id, PrincipalId
- Cargo: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: Falso
TenantId: identificador exclusivo do locatário
- Tipo: cadeia
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: Falso
- Aceitar caracteres curinga: Falso
Atribuir uma função de leitor de plano de poupança ao nível do inquilino utilizando o script do Azure PowerShell
Para atribuir a função de leitor do plano de economia no nível do locatário com o PowerShell, use o seguinte script do Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Parâmetros
ObjectId: ID do objeto Microsoft Entra do usuário, grupo ou entidade de serviço
- Tipo: cadeia
- Pseudónimos: Id, PrincipalId
- Cargo: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceitar caracteres curinga: Falso
TenantId: identificador exclusivo do locatário
- Tipo: cadeia
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: Falso
- Aceitar caracteres curinga: Falso