Разрешения на просмотр экономичных планов Azure и управление ими
В этой статье объясняется, как работают разрешения плана экономии и как пользователи могут просматривать планы экономии Azure и управлять ими в портал Azure.
Кто может управлять экономичным планом по умолчанию
Два разных метода авторизации управляют возможностью пользователя просматривать, управлять и делегировать разрешения на экономию планов. Они — роли администратора выставления счетов и роли управления доступом на основе ролей (RBAC).
Роли администратора выставления счетов
Вы можете просматривать, управлять и делегировать разрешения на экономию с помощью встроенных ролей администратора выставления счетов. Дополнительные сведения о ролях выставления счетов Клиентское соглашение Майкрософт и Соглашение Enterprise см. в статье "Общие сведения о административных ролях Клиентское соглашение Майкрософт Azure" и управлении Соглашение Enterprise роли соответственно.
Роли администратора выставления счетов, необходимые для действий плана экономии
- Просмотр планов экономии:
- Клиентское соглашение Майкрософт. Пользователи с средством чтения профилей выставления счетов или выше
- Соглашение Enterprise: пользователи с корпоративным администратором (только для чтения) или выше
- Соглашение с партнером Майкрософт: не поддерживается
- Управление планами экономии (достигнуто путем делегирования разрешений для полного профиля выставления счетов или регистрации):
- Клиентское соглашение Майкрософт: пользователи с участником профиля выставления счетов или выше
- Соглашение Enterprise. Пользователи с администратором Соглашение Enterprise или выше
- Соглашение с партнером Майкрософт: не поддерживается
- Делегирование разрешений плана экономии:
- Клиентское соглашение Майкрософт: пользователи с участником профиля выставления счетов или выше
- Соглашение Enterprise: пользователи с Соглашение Enterprise покупателем или выше
- Соглашение с партнером Майкрософт: не поддерживается
Просмотр планов экономии и управление ими в качестве администратора выставления счетов
Если вы являетесь пользователем роли выставления счетов, выполните следующие действия, чтобы просмотреть все планы экономии и транзакции с планами экономии в портал Azure.
- Войдите в портал Azure и перейдите в раздел "Управление затратами и выставление счетов".
- Если вы находитесь под учетной записью Соглашение Enterprise, в меню слева выберите области выставления счетов. Затем в списке областей выставления счетов выберите один.
- Если вы находитесь под учетной записью Клиентское соглашение Майкрософт, в меню слева выберите профили выставления счетов. Выберите один профиль в соответствующем списке.
- В меню слева выберите "Продукты и услуги>" сберегательные планы. Появится полный список планов экономии для регистрации Соглашение Enterprise или Клиентское соглашение Майкрософт профиля выставления счетов.
- Пользователи роли выставления счетов могут взять на себя ответственность за план экономии с помощью заказа на экономию . Повышение уровня REST API для предоставления ролей Azure RBAC.
Добавление администраторов выставления счетов
Добавьте пользователя в качестве администратора выставления счетов в Соглашение Enterprise или Клиентское соглашение Майкрософт в портал Azure.
- Соглашение Enterprise. Добавьте пользователей с ролью администратора Предприятия для просмотра всех заказов плана экономии, применяемых к Соглашение Enterprise. Администраторы предприятия могут просматривать экономичные планы и управлять ими в разделе Управление затратами + выставление счетов.
- Пользователи с ролью администратора предприятия (только для чтения) могут просматривать только план экономии от управления затратами и выставления счетов.
- Администраторы отдела и владельцы учетных записей не могут просматривать планы экономии, если они явно не добавляются в них с помощью управления доступом (IAM). Дополнительные сведения см. в статье "Управление ролями Azure Enterprise".
- Клиентское соглашение Майкрософт. Пользователи с ролью владельца профиля выставления счетов или роль участника профиля выставления счетов могут управлять всеми покупками плана экономии, сделанными с помощью профиля выставления счетов.
- Читатели профиля выставления счетов и менеджеры счетов могут просматривать все экономичные планы, оплаченные с помощью профиля выставления счетов. Однако эти пользователи не могут вносить изменения в экономичные планы. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.
Роли RBAC плана экономии
Жизненный цикл плана экономии не зависит от подписки Azure. После покупки экономичные планы не наследуют разрешения от подписок. Планы экономии — это ресурс уровня клиента с собственными разрешениями Azure RBAC.
Обзор
Существует четыре роли RBAC для конкретного плана экономии:
- Администратор плана экономии. Позволяет управлять одним или несколькими планами экономии в клиенте и делегировании ролей RBAC другим пользователям.
- Покупатель плана экономии: позволяет приобрести планы экономии с указанной подпиской.
- Позволяет сберегательные планы покупки или покупки резервирования от небильных администраторов и владельцев, не являющихся владельцами.
- Необходимо включить покупку плана экономии от администраторов, не являющихся небильными. Дополнительные сведения см. в статье "Разрешения на покупку плана экономии Azure".
- Участник плана экономии. Позволяет управлять одним или несколькими планами экономии в клиенте, но не делегированием ролей RBAC другим пользователям.
- Средство чтения планов экономии: разрешает доступ только для чтения к одному или нескольким планам экономии в клиенте.
Эти роли могут быть ограничены определенной сущностью ресурса (например, подпиской или планом экономии) или клиентом Microsoft Entra (каталогом). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей Azure (Azure RBAC)?
Роли плана экономии RBAC, необходимые для действий плана экономии
- Просмотр планов экономии:
- Область клиента: пользователи с средством чтения планов экономии или более поздней версии.
- Область плана экономии: встроенное средство чтения или более поздней версии.
- Управление планами экономии:
- Область клиента: пользователи с участником плана экономии или выше.
- Область плана экономии: встроенные роли участника или владельца, или участник плана экономии или более поздней версии.
- Делегирование разрешений плана экономии:
- Область клиента: права администратора доступа пользователей необходимы для предоставления ролей RBAC всем планам экономии в клиенте. Чтобы получить эти права, выполните действия по повышению доступа .
- Область плана экономии: администратор плана экономии или администратор доступа пользователей.
Кроме того, пользователи, которые провели роль владельца подписки, когда подписка использовалась для приобретения плана экономии, могут также просматривать, управлять и делегировать разрешения для приобретенного плана экономии.
Просмотр планов экономии с доступом RBAC
Если у вас есть роли RBAC для конкретного плана экономии (администратор сберегательных планов, покупатель, участник или читатель), приобретенные планы экономии или добавлены в качестве владельца в планы экономии, выполните следующие действия, чтобы просмотреть и управлять планами экономии в портал Azure.
- Войдите на портал Azure.
- Выберите планы экономии дома>, чтобы вывести список планов экономии, к которым у вас есть доступ.
Добавление ролей RBAC для пользователей и групп
Дополнительные сведения о делегировании ролей RBAC плана экономии см. в статье "Роли RBAC" плана экономии делегатов.
Администраторы предприятия могут взять на себя ответственность за заказ на сберегательный план. Они могут добавлять других пользователей в план экономии с помощьюУправление доступом (IAM).
Предоставление доступа с помощью PowerShell
Пользователи, имеющие доступ владельца к заказам на сберегательный план, пользователи с повышенными правами доступа и администраторы доступа пользователей могут делегировать управление доступом ко всем заказам плана экономии, к которым у них есть доступ.
Доступ, предоставленный с помощью PowerShell, не отображается в портал Azure. Вместо этого для просмотра назначенных ролей используйте команду get-AzRoleAssignment в следующем разделе.
Назначение роли владельца для всех планов экономии
Чтобы предоставить пользователю RBAC доступ ко всем заказам плана экономии в клиенте Microsoft Entra (каталог), используйте следующий сценарий Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
При использовании скрипта PowerShell для назначения роли владения и успешного выполнения сообщение об успешном выполнении не возвращается.
Параметры
ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы
- Тип: строка
- Псевдонимы: Id, PrincipalId
- Положение: именованное
- Значение по умолчанию: None
- Прием входных данных конвейера: True
- Примите подстановочные знаки: False
TenantId: уникальный идентификатор клиента
- Тип: строка
- Позиция: 5
- Значение по умолчанию: None
- Прием входных данных конвейера: False
- Примите подстановочные знаки: False
Добавление роли администратора плана экономии на уровне клиента с помощью скрипта Azure PowerShell
Чтобы добавить роль администратора плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Параметры
ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы
- Тип: строка
- Псевдонимы: Id, PrincipalId
- Положение: именованное
- Значение по умолчанию: None
- Прием входных данных конвейера: True
- Примите подстановочные знаки: False
TenantId: уникальный идентификатор клиента
- Тип: строка
- Позиция: 5
- Значение по умолчанию: None
- Прием входных данных конвейера: False
- Примите подстановочные знаки: False
Назначение роли участника плана экономии на уровне клиента с помощью скрипта Azure PowerShell
Чтобы назначить роль участника плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Параметры
ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы
- Тип: строка
- Псевдонимы: Id, PrincipalId
- Положение: именованное
- Значение по умолчанию: None
- Прием входных данных конвейера: True
- Примите подстановочные знаки: False
TenantId: уникальный идентификатор клиента
- Тип: строка
- Позиция: 5
- Значение по умолчанию: None
- Прием входных данных конвейера: False
- Примите подстановочные знаки: False
Назначение роли читателя планов экономии на уровне клиента с помощью скрипта Azure PowerShell
Чтобы назначить роль читателя плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Параметры
ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы
- Тип: строка
- Псевдонимы: Id, PrincipalId
- Положение: именованное
- Значение по умолчанию: None
- Прием входных данных конвейера: True
- Примите подстановочные знаки: False
TenantId: уникальный идентификатор клиента
- Тип: строка
- Позиция: 5
- Значение по умолчанию: None
- Прием входных данных конвейера: False
- Примите подстановочные знаки: False