Oprávnění k zobrazení a správě rezervací Azure
Tento článek vysvětluje, jak fungují oprávnění k rezervacím a jak můžou uživatelé zobrazovat a spravovat rezervace Azure na webu Azure Portal a pomocí Azure PowerShellu.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Kdo může ve výchozím nastavení spravovat rezervaci
Ve výchozím nastavení mohou rezervace zobrazovat a spravovat následující uživatelé:
- Do objednávky rezervace se přidá osoba, která rezervaci koupí, a správce účtu pro fakturační předplatné použité k nákupu rezervace.
- Správci fakturace pro smlouvy Enterprise a Smlouvy se zákazníkem Microsoftu
- Uživatelé se zvýšenou úrovní přístupu pro správu všech předplatných Azure a skupin pro správu
- Správce rezervací pro rezervace ve svém tenantovi Microsoft Entra (adresáři)
- Čtenář rezervace má přístup jen pro čtení k rezervacím v tenantovi Microsoft Entra (adresáři).
Životní cyklus rezervace je nezávislý na předplatném Azure, takže rezervace není prostředkem v rámci předplatného Azure. Místo toho se jedná o prostředek na úrovni tenanta s vlastním oprávněním Azure RBAC odděleným od předplatných. Rezervace nedědí oprávnění z předplatných po nákupu.
Zobrazení a správa rezervací
Pokud jste správcem fakturace, můžete pomocí následujících kroků zobrazit a spravovat všechny rezervace a transakce rezervací na webu Azure Portal.
- Přihlaste se k webu Azure Portal a přejděte do části Cost Management + Billing.
- Pokud jste správcem EA, v nabídce vlevo vyberte Rozsahy fakturace a pak v seznamu rozsahů fakturace vyberte jeden.
- Pokud jste vlastníkem fakturačního profilu pro Smlouvu se zákazníkem Microsoftu, v nabídce vlevo vyberte Fakturační profily. V seznamu profilů fakturace vyberte profil.
- V nabídce vlevo vyberte Produkty a služby>Rezervace.
- Zobrazí se úplný seznam rezervací pro vaši registraci EA nebo fakturační profil.
- Správci fakturace můžou převzít vlastnictví rezervace výběrem jedné nebo více rezervací, výběrem možnosti Udělit přístup a výběrem možnosti Udělit přístup v zobrazeném okně. V případě Smlouva se zákazníkem Microsoftu by měl být uživatel ve stejném tenantovi Microsoft Entra (adresáři) jako rezervace.
Přidání správců fakturace
Přidat uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu můžete na webu Azure Portal.
- V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Podnikoví správci můžou zobrazit a spravovat rezervace ve službě Cost Management a fakturace.
- Uživatelé s rolí Enterprise Správa istrator (jen pro čtení) můžou rezervaci zobrazit jenom ze služby Cost Management + Billing.
- Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.
- V případě Smlouvy se zákazníkem Microsoftu mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.
Zobrazení rezervací s přístupem Azure RBAC
Pokud jste si rezervaci koupili nebo jste ji přidali k rezervaci, můžete pomocí následujícího postupu zobrazit a spravovat rezervace na webu Azure Portal.
- Přihlaste se k portálu Azure.
- Výběrem možnosti Všechny rezervace služeb>zobrazíte seznam rezervací, ke kterým máte přístup.
Správa předplatných a skupin pro správu s přístupem se zvýšenými oprávněními
Můžete zvýšit úroveň přístupu uživatele, aby mohl spravovat všechna předplatná Azure a skupiny pro správu.
Po zvýšení úrovně přístupu:
- Přejděte na Rezervace všech služeb>a zobrazte všechny rezervace, které jsou v tenantovi.
- Pokud chcete provést změny rezervace, přidejte sami sebe jako vlastníka objednávky rezervace pomocí řízení přístupu (IAM).
Udělení přístupu k jednotlivým rezervacím
Uživatelé, kteří mají přístup vlastníka k rezervacím a správcům fakturace, můžou delegovat správu přístupu na individuální objednávku rezervace na webu Azure Portal.
Pokud chcete správu rezervací umožnit ostatním, máte dvě možnosti:
Delegujte správu přístupu pro jednotlivou objednávku rezervace přiřazením role Vlastník uživateli v rozsahu prostředku objednávky rezervace. Pokud chcete udělit omezený přístup, vyberte jinou roli.
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.Přidání uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu:
V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Uživatelé s rolí Podnikový správce (jen pro čtení) mohou rezervaci jenom zobrazit. Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.
Podnikoví správci můžou převzít vlastnictví objednávky rezervace a mohou k rezervaci přidávat další uživatele pomocí řízení přístupu (IAM).
V případě Smlouvy se zákazníkem Microsoftu mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.
Udělení přístupu pomocí PowerShellu
Uživatelé, kteří mají přístup vlastníka k objednávkám rezervací, uživatelům se zvýšeným přístupem a Správa istrátoři můžou delegovat správu přístupu pro všechny objednávky rezervací, ke kterým mají přístup.
Přístup udělený pomocí PowerShellu se na webu Azure Portal nezobrazuje. Místo toho pomocí get-AzRoleAssignment příkazu v následující části zobrazíte přiřazené role.
Přiřazení role vlastníka pro všechny rezervace
Pomocí následujícího skriptu Azure PowerShellu můžete uživateli udělit přístup Azure RBAC ke všem objednávkám rezervací v tenantovi Microsoft Entra (adresáři).
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Pokud pomocí skriptu PowerShellu přiřadíte roli vlastnictví a úspěšně se spustí, nezobrazí se zpráva o úspěchu.
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False
Přístup na úrovni tenanta
Aby bylo možné uživatelům nebo skupinám udělit role Rezervace Správa istrator a Čtenář rezervací na úrovni tenanta, jsou vyžadována práva uživatelských přístupů Správa istrator. Pokud chcete získat přístupová práva user Accessu Správa istrator na úrovni tenanta, postupujte podle kroků pro zvýšení úrovně přístupu.
Přidání role Rezervace Správa istrator nebo role Čtenář rezervací na úrovni tenanta
Tyto role můžete přiřadit z webu Azure Portal.
- Přihlaste se k webu Azure Portal a přejděte k položce Rezervace.
- Vyberte rezervaci, ke které máte přístup.
- V horní části stránky vyberte Přiřazení role.
- Vyberte kartu Role.
- Pokud chcete provést změny, přidejte uživatele jako rezervace Správa istrator nebo Čtenář rezervací pomocí řízení přístupu.
Přidání role Správa istratoru rezervace na úrovni tenanta pomocí skriptu Azure PowerShellu
Pomocí následujícího skriptu Azure PowerShellu přidejte roli Reservation Správa istrator na úrovni tenanta pomocí PowerShellu.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False
Přiřazení role Čtenář rezervace na úrovni tenanta pomocí skriptu Azure PowerShellu
Pomocí následujícího skriptu Azure PowerShellu přiřaďte roli Čtenář rezervace na úrovni tenanta pomocí PowerShellu.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parametry
-ObjectId Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
- Typ: Řetězec
- Aliasy: ID, PrincipalId
- Pozice: Pojmenovaná
- Výchozí hodnota: None
- Přijmout vstup kanálu: True
- Přijmout zástupné znaky: False
-TenantId Jedinečný identifikátor tenanta.
- Typ: Řetězec
- Pozice: 5
- Výchozí hodnota: None
- Přijmout vstup kanálu: False
- Přijmout zástupné znaky: False