Назначение доступа к данным Cost Management
Для пользователей с соглашениями Azure Enterprise (EA) уровень доступа пользователя к данным управления затратами определяется сочетанием разрешений, предоставленных на портале Azure. Для пользователей с другими типами учетных записей Azure определение уровня доступа пользователя к данным управления затратами проще с помощью управления доступом на основе ролей Azure (RBAC). В этой статье описано, как назначить доступ к данным Управления затратами. После назначения требуемого сочетания разрешений пользователь сможет просматривать данные в службе "Управление затратами" в пределах области доступа и области действия, которую он выбирает на портале Azure.
Выбранная пользователем область распространяется на всю среду Управления затратами, чтобы обеспечить консолидацию данных и ограничить доступ к сведениям о затратах. При использовании областей пользователи не выбирают их несколькими. Вместо этого можно выбрать более обширную область, в которую входят дочерние области, а затем отфильтровать просматриваемые данные. Мы рекомендуем хорошо разобраться с концепцией консолидации данных, так как некоторым пользователям не нужно предоставлять доступ к родительской области, в которую входят дочерние области.
Просмотрите видео о контроле доступа в службе "Управление затратами", чтобы получить сведения о назначении доступа для просмотра затрат и расходов с помощью управления доступом на основе ролей в Azure (Azure RBAC). Чтобы просмотреть другие видео, посетите канал YouTube, посвященный службе "Управление затратами". Это видео упоминает портал Azure EA Portal, который более не поддерживается. Однако также рассматриваются эквивалентные функциональные возможности, доступные на портале Azure.
Области Управления затратами
Служба управления затратами поддерживает различные типы учетных записей Azure. Полный список поддерживаемых типов учетных записей см. в статье Understand Cost Management data (Интерпретация данных службы "Управление затратами"). Тип учетной записи определяет доступные области.
Области подписки Azure EA
Чтобы просмотреть данные о расходах для подписок Azure EA, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
| Область применения | Определена по адресу | Требуемый уровень доступа для просмотра данных | Предварительные требования по параметрам EA | Консолидация данных |
|---|---|---|---|---|
| Учетная запись выставления счетов¹ | https://portal.azure.com | • Администратор предприятия • Права на чтение по Соглашению о регистрации (только для чтения администратором Enterprise) |
нет | Все подписки по Соглашению Enterprise |
| Отдел | https://portal.azure.com | Администратор подразделения | Возможность просмотра затрат для администратора отдела включена | Все подписки, принадлежащие к учетной записи регистрации, связанной с подразделением |
| Учетная запись регистрации² | https://portal.azure.com | Владелец учетной записи | Возможность просмотра затрат для владельца учетной записи включена | Все подписки из учетной записи регистрации |
| Группа управления | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все подписки в группе управления |
| Отток подписок | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы и группы ресурсов в подписке |
| Группа ресурсов | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы в группе ресурсов |
¹ Учетную запись выставления счетов также называют Соглашением Enterprise или Соглашением о регистрации.
² Учетную запись регистрации также называют владельцем учетной записи.
Администраторы предприятия могут назначить учетную запись выставления счетов, отдел и область учетной записи по Соглашению о регистрации на портале Azure. Подробнее см. в статье Администрирование портала Azure для прямых соглашений Enterprise.
Другие области учетной записи Azure
Чтобы просмотреть данные о расходах для других подписок Azure, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
- Группа управления
- Подписка
- Группа ресурсов
После присоединения пользователей партнерами к Клиентскому соглашению Майкрософт станут доступными различные области применения. Клиенты поставщиков облачных решений (CSP) могут использовать функции управления затратами, если они включены партнером CSP. Дополнительные сведения см. в статье Начало работы с Управлением затратами для партнеров.
Предоставление доступа к данным о затратах на портале Azure
Если у вас есть Клиентское соглашение Майкрософт (MCA) или соглашение Enterprise, вы можете включить доступ к затратам в портал Azure. Требуемая настройка зависит от области. Используйте следующие сведения, чтобы обеспечить доступ к затратам в портал Azure.
Включение доступа MCA к затратам
Параметр расходов Azure используется для включения доступа к затратам на подписки MCA. Параметр доступен в портал Azure в области учетной записи выставления счетов. Для включения параметра необходимо иметь разрешение "Владельцы профилей выставления счетов". В противном случае параметр не отображается.
Чтобы включить этот параметр, выполните следующие действия.
- Войдите в портал Azure с помощью учетной записи с разрешением "Владельцы профилей выставления счетов".
- Выберите пункт меню Управление затратами + выставление счетов.
- Выберите Области выставления счетов, чтобы просмотреть доступные области выставления счетов и учетные записи выставления счетов.
- Выберите нужную учетную запись выставления счетов из списка доступных.
- В области навигации слева выберите профили выставления счетов.
- Выберите профиль выставления счетов.
- В области навигации слева выберите "Политики".
- Настройте параметр оплаты Azure в значение "Да".
Включение доступа к затратам по соглашению Enterprise
Для области подразделения нужно включить параметр Администраторы отделов могут просматривать расходы (DA view charges). Настройте этот параметр на портале Azure. Для всех остальных областей параметр Владелец учетной записи может просматривать расходы (AO view charges) должна быть установлена на Включено. Чтобы включить этот параметр, необходимо иметь роль администратора предприятия. В противном случае параметр не отображается.
Чтобы включить этот параметр на портале Azure, сделайте следующее:
- Войдите на портал Azure с учетной записью администратора предприятия.
- Выберите пункт меню Управление затратами + выставление счетов.
- Выберите Области выставления счетов, чтобы просмотреть доступные области выставления счетов и учетные записи выставления счетов.
- Выберите нужную учетную запись выставления счетов из списка доступных.
- В разделе Параметры выберите пункт меню Политики и настройте этот параметр.
После включения нужных параметров просмотра затрат для большинства областей нужно настроить конфигурацию управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.
Роль администратора предприятия
По умолчанию администратор предприятия имеет доступ к учетной записи выставления счетов (для Соглашения Enterprise или Соглашения о регистрации) и ко всем другим областям, которые являются для нее дочерними. Администратор предприятия назначает другим пользователям доступ к областям. Для обеспечения непрерывности бизнес-процессов мы рекомендуем всегда иметь двух пользователей с правами администратора предприятия. Далее приведены примеры того, как администратору предприятия назначить другим пользователям доступ к областям.
Назначение доступа к области учетной записи выставления счетов
Для доступа к области учетной записи выставления счетов требуются полномочия администратора предприятия. Администратор предприятия может просматривать данные о затратах в пределах одной или нескольких регистраций EA. Администратор предприятия может назначить доступ к области учетной записи выставления счетов другому пользователю с доступом только для чтения. Дополнительные сведения см. в статье Добавление другого администратора предприятия.
Может пройти до 30 минут, прежде чем пользователь получит доступ к данным в «Управлении затратами».
Назначение доступа к области отдела
Для доступа к области отдела требуются права администратора отдела (просмотр затрат администратором отдела). Администратор отдела может просматривать данные о затратах и потреблении, имеющие отношение к отделу или нескольким отделам. Данные по отделу включают все подписки, принадлежащие к учетной записи регистрации, которая связана с этим отделом.
Администраторы предприятия могут предоставлять доступ администратора отдела. Дополнительные сведения см. в разделе Добавление администратора отдела.
Назначение доступа к области учетной записи регистрации
Для доступа к области учетной записи регистрации требуются права владельца учетной записи (просмотр затрат владельцем учетной записи). Владелец учетной записи может просматривать данные о затратах и использовании, связанные с подписками, которые были созданы с учетной записью регистрации. Администраторы предприятия могут предоставлять доступ владельца учетной записи. Дополнительные сведения см. в разделе Добавление владельца учетной записи на портале Azure.
Назначение доступа к области группы управления
Для доступа к обзору области группы управления требуются по меньшей мере права читателя Управления затратами (или Участника). Разрешения для группы управления можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы управления. Для учетных записей Azure EA необходимо включить параметр Просмотр затрат для владельца учетной записи.
Назначьте роль Читатель Управления затратами (или Участник) пользователю в области группы управления. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступа к области подписки
Для доступа к подписке требуются по меньшей мере права Читателя Управления затратами (или Участника). Разрешения для подписки можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для подписки. Для учетных записей Azure EA необходимо включить параметр Просмотр затрат для владельца учетной записи.
Назначьте роль Читатель Управления затратами (или Участник) пользователю на уровне подписки. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступ к области группы ресурсов
Для доступа к группе ресурсов требуются по меньшей мере права Читателя Управления затратами (или Участника). Разрешения для группы ресурсов можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы ресурсов. Для учетных записей Azure EA необходимо включить параметр Просмотр затрат для владельца учетной записи.
Назначьте роль Читатель Управления затратами (или Участник) пользователю в области группы ресурсов. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Проблемы с проверкой подлинности между клиентами
В настоящее время Управление затратами предоставляет ограниченную поддержку проверки подлинности между клиентами. В некоторых случаях, при попытке выполнения проверки подлинности между клиентами, в анализе затрат может возникнуть сообщение об ошибке Доступ запрещен. Эта проблема может возникнуть, если вы настроили управление доступом на основе ролей в Azure (Azure RBAC) для подписки другого арендатора, а затем пытаетесь просмотреть данные о затратах.
Обход проблемы: после настройки Azure RBAC в нескольких клиентах подождите один час. Затем попробуйте просмотреть затраты в анализе затрат или предоставить доступ к Управлению затратам пользователям в обоих клиентах.
Следующие шаги
- Если вы не прочитали первое краткое руководство по управлению затратами, ознакомьтесь с ним в статье "Начать анализ затрат".