Oprávnění k zobrazení a správě rezervací Azure

Tento článek vysvětluje, jak fungují oprávnění k rezervacím a jak můžou uživatelé zobrazit a spravovat rezervace Azure v Azure Portal a pomocí Azure PowerShell.

Poznámka

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projděte téma Instalace Azure PowerShell. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Kdo může ve výchozím nastavení spravovat rezervaci

Ve výchozím nastavení mohou rezervace zobrazovat a spravovat následující uživatelé:

  • Do objednávky rezervace se přidá osoba, která rezervaci koupí, a správce účtu pro fakturační předplatné použité k nákupu rezervace.
  • Správci fakturace pro smlouvy Enterprise a Smlouvy se zákazníkem Microsoftu
  • Uživatelé se zvýšenou úrovní přístupu pro správu všech předplatných Azure a skupin pro správu
  • Správce rezervací pro rezervace v jeho tenantovi (adresáři) Azure Active Directory (Azure AD)
  • Čtenář rezervací má k rezervacím ve svém tenantovi Azure Active Directory (adresáři) přístup jen pro čtení.

Životní cyklus rezervace je nezávislý na předplatném Azure, takže rezervace není prostředkem v rámci předplatného Azure. Místo toho se jedná o prostředek na úrovni tenanta s vlastním oprávněním Azure RBAC odděleným od předplatných. Rezervace nedědí oprávnění z předplatných po nákupu.

Zobrazení a správa rezervací

Pokud jste správce fakturace, pomocí následujícího postupu můžete zobrazit a spravovat všechny rezervace a transakce rezervací v Azure Portal.

  1. Přihlaste se k webu Azure Portal a přejděte do části Cost Management + Billing.
    • Pokud jste správcem EA, vyberte v nabídce vlevo rozsahy fakturace a pak v seznamu rozsahů fakturace vyberte rozsah.
    • Pokud jste vlastníkem fakturačního profilu pro Smlouvu se zákazníkem Microsoftu, v nabídce vlevo vyberte Fakturační profily. V seznamu profilů fakturace vyberte profil.
  2. V nabídce vlevo vyberte Produkty a služby>Rezervace.
  3. Zobrazí se úplný seznam rezervací pro vaši registraci EA nebo fakturační profil.
  4. Správci fakturace můžou převzít vlastnictví rezervace tak, že vyberou jednu nebo více rezervací, vyberou Udělit přístup a v okně, které se zobrazí, vybere Udělit přístup .

Přidání správců fakturace

Přidat uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu můžete na webu Azure Portal.

  • V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Podnikoví správci můžou zobrazit a spravovat rezervace ve službě Cost Management + Billing.
    • Uživatelé s rolí Podnikový správce (jen pro čtení) můžou rezervaci zobrazit jenom ve službě Cost Management + Billing.
    • Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.
  • V případě Smlouvy se zákazníkem Microsoftu mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.

Zobrazení rezervací s využitím přístupu Azure RBAC

Pokud jste rezervaci zakoupili nebo jste k rezervaci přidáni, pomocí následujícího postupu zobrazte a spravujte rezervace v Azure Portal.

  1. Přihlaste se k webu Azure Portal.
  2. Vyberte Všechny rezervace služeb> a zobrazte seznam rezervací, ke kterým máte přístup.

Správa předplatných a skupin pro správu s přístupem se zvýšenými oprávněními

Můžete zvýšit úroveň přístupu uživatele, aby mohl spravovat všechna předplatná Azure a skupiny pro správu.

Po zvýšení úrovně přístupu:

  1. Přejděte dočásti Rezervacevšech služeb> a zobrazte všechny rezervace, které jsou v tenantovi.
  2. Pokud chcete rezervaci upravit, přidejte sami sebe jako vlastníka objednávky rezervace pomocí řízení přístupu (IAM).

Udělení přístupu k jednotlivým rezervacím

Uživatelé, kteří mají přístup vlastníka rezervací a správce fakturace, můžou delegovat správu přístupu na jednotlivé objednávky rezervací v Azure Portal.

Pokud chcete správu rezervací umožnit ostatním, máte dvě možnosti:

  • Delegujte správu přístupu pro jednotlivé objednávky rezervace tím, že uživateli přiřadíte roli Vlastník v rozsahu prostředků objednávky rezervace. Pokud chcete udělit omezený přístup, vyberte jinou roli.
    Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

  • Přidání uživatele jako správce fakturace pro smlouvu Enterprise nebo Smlouvu se zákazníkem Microsoftu:

    • V případě smlouvy Enterprise přidejte uživatele s rolí Podnikový správce, kteří mohou zobrazovat a spravovat všechny objednávky rezervací související se smlouvou Enterprise. Uživatelé s rolí Podnikový správce (jen pro čtení) mohou rezervaci jenom zobrazit. Správci oddělení a vlastníci účtů mohou rezervace zobrazovat jenom v případě, že je k nim explicitně přidáte pomocí řízení přístupu (IAM). Další informace najdete v článku Správa rolí Azure Enterprise.

      Podnikoví správci můžou převzít vlastnictví objednávky rezervace a mohou k rezervaci přidávat další uživatele pomocí řízení přístupu (IAM).

    • V případě Smlouvy se zákazníkem Microsoftu mohou všechny nákupy rezervací realizované prostřednictvím konkrétního fakturačního profilu spravovat uživatelé s rolí vlastníka nebo přispěvatele tohoto fakturačního profilu. Čtenáři fakturačního profilu a správci faktur mohou zobrazovat všechny rezervace, které se pro daný fakturační profil platí. Nemohou ale v rezervacích dělat změny. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.

Udělení přístupu pomocí PowerShellu

Uživatelé s přístupem vlastníka k objednávkám rezervací, uživatelé se zvýšeným přístupem a správci uživatelských přístupů můžou delegovat správu přístupu pro všechny objednávky rezervací, ke kterým mají přístup.

Přístup udělený pomocí PowerShellu se v Azure Portal nezobrazuje. Místo toho k zobrazení přiřazených rolí použijete get-AzRoleAssignment příkaz v následující části.

Přiřazení role vlastníka pro všechny rezervace

Pomocí následujícího skriptu Azure PowerShellu můžete uživateli poskytnout přístup Azure RBAC ke všem objednávkám rezervací v jeho tenantovi (adresáři) Azure AD.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Pokud pomocí skriptu PowerShellu přiřadíte roli vlastnictví a úspěšně se spustí, zpráva o úspěchu se nevrátí.

Parametry

-ObjectId Azure AD ObjectId uživatele, skupiny nebo instančního objektu.

  • Typ: Řetězec
  • Aliasy: Id, PrincipalId
  • Pozice: Pojmenované
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

-Id tenanta Jedinečný identifikátor tenanta.

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Přístup na úrovni tenanta

Abyste uživatelům nebo skupinám mohli udělit role Správce rezervací a Čtenář rezervací na úrovni tenanta, musíte mít oprávnění správce uživatelských přístupů. Pokud chcete získat oprávnění správce uživatelských přístupů na úrovni tenanta, postupujte podle kroků zvýšení úrovně přístupu .

Přidání role Správce rezervací nebo Čtenář rezervací na úrovni tenanta

Tyto role můžete přiřadit z Azure Portal.

  1. Přihlaste se k webu Azure Portal a přejděte k položce Rezervace.
  2. V horní části stránky vyberte Přiřazení role.
  3. Pokud chcete provést změny, přidejte uživatele jako správce rezervací nebo čtenáře rezervací pomocí řízení přístupu.

Přidání role správce rezervací na úrovni tenanta pomocí skriptu Azure PowerShell

Pomocí následujícího skriptu Azure PowerShell přidejte pomocí PowerShellu roli správce rezervací na úrovni tenanta.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametry

-ObjectId Azure AD ObjectId uživatele, skupiny nebo instančního objektu.

  • Typ: Řetězec
  • Aliasy: Id, PrincipalId
  • Pozice: Pojmenované
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

-Id tenanta Jedinečný identifikátor tenanta.

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Přiřazení role Čtenář rezervací na úrovni tenanta pomocí skriptu Azure PowerShell

Pomocí následujícího skriptu Azure PowerShell přiřaďte pomocí PowerShellu roli Čtenář rezervací na úrovni tenanta.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametry

-ObjectId Azure AD ObjectId uživatele, skupiny nebo instančního objektu.

  • Typ: Řetězec
  • Aliasy: Id, PrincipalId
  • Pozice: Pojmenované
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

-Id tenanta Jedinečný identifikátor tenanta.

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: Žádná
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Další kroky