Oprávnění k zobrazení a správě úsporných plánů Azure

Tento článek vysvětluje, jak fungují oprávnění plánu úspor a jak můžou uživatelé zobrazovat a spravovat plány úspor Azure na webu Azure Portal.

Kdo může ve výchozím nastavení spravovat úsporné plány

Dvě různé metody autorizace řídí schopnost uživatele zobrazovat, spravovat a delegovat oprávnění k plánům úspor. Jedná se o role správce fakturace a role řízení přístupu na základě role (RBAC) plánu úspor.

Role správce fakturace

Oprávnění k plánům úspor můžete zobrazit, spravovat a delegovat pomocí předdefinovaných rolí správce fakturace. Další informace o fakturačních rolích Smlouva se zákazníkem Microsoftu a smlouva Enterprise najdete v tématu Vysvětlení Smlouva se zákazníkem Microsoftu rolí pro správu v Azure a správě Azure. smlouva Enterprise rolí.

Role správce fakturace vyžadované pro akce plánu úspor

• Zobrazit plány úspor:
  • Smlouva se zákazníkem Microsoftu: Uživatelé se čtečkou fakturačního profilu nebo vyšší
  • smlouva Enterprise: Uživatelé s podnikovým správcem (jen pro čtení) nebo vyšší
  • Smlouva s partnerem Microsoftu: Nepodporuje se
• Správa plánů úspor (dosažené delegováním oprávnění pro úplný fakturační profil nebo registraci):
  • Smlouva se zákazníkem Microsoftu: Uživatelé s přispěvatelem fakturačního profilu nebo vyšší
  • smlouva Enterprise: Uživatelé s smlouva Enterprise správcem nebo vyšším
  • Smlouva s partnerem Microsoftu: Nepodporuje se
• Delegujte oprávnění k plánu úspor:
  • Smlouva se zákazníkem Microsoftu: Uživatelé s přispěvatelem fakturačního profilu nebo vyšší
  • smlouva Enterprise: Uživatelé s nákupčím smlouva Enterprise nebo vyššími
  • Smlouva s partnerem Microsoftu: Nepodporuje se

Zobrazení a správa plánů úspor jako správce fakturace

Pokud jste uživatel fakturační role, můžete na webu Azure Portal zobrazit a spravovat všechny plány úspor a transakce plánů úspor.

1. Přihlaste se k webu Azure Portal a přejděte do služby Cost Management a fakturace.
   • Pokud jste pod účtem smlouva Enterprise, v nabídce vlevo vyberte Rozsahy fakturace. Pak v seznamu rozsahů fakturace vyberte jeden.
   • Pokud jste pod účtem Smlouva se zákazníkem Microsoftu, vyberte v nabídce vlevo fakturační profily. V seznamu profilů fakturace vyberte profil.
2. V nabídce vlevo vyberte Produkty a služby>Plány úspor. Zobrazí se úplný seznam plánů úspor pro vaši registraci smlouva Enterprise nebo Smlouva se zákazníkem Microsoftu fakturačního profilu.
3. Uživatelé fakturační role můžou převzít vlastnictví úsporného plánu pomocí objednávky plánu úspor – zvýšit úroveň rozhraní REST API , aby si mohli role Azure RBAC udělit.

Přidání správců fakturace

Přidejte uživatele jako správce fakturace do smlouva Enterprise nebo Smlouva se zákazníkem Microsoftu na webu Azure Portal.

• smlouva Enterprise: Přidání uživatelů s rolí Podnikového správce pro zobrazení a správu všech objednávek plánů úspor, které platí pro smlouva Enterprise. Podnikoví správci můžou zobrazit a spravovat úsporné plány v části Správa nákladů a fakturace.
  • Uživatelé s rolí Podnikový správce (jen pro čtení) můžou plán úspor zobrazit jenom ze služby Cost Management a fakturace.
  • Správci oddělení a vlastníci účtů nemůžou zobrazit plány úspor, pokud k nim nejsou explicitně přidáni pomocí řízení přístupu (IAM). Další informace najdete v tématu Správa rolí Azure Enterprise.
• Smlouva se zákazníkem Microsoftu: Uživatelé s rolí vlastníka fakturačního profilu nebo rolí přispěvatele fakturačního profilu můžou spravovat všechny nákupy plánů úspor provedené pomocí fakturačního profilu.
  • Čtenáři fakturačního profilu a správci faktur můžou zobrazit všechny úsporné plány, které se pro daný fakturační profil platí. Nemůžou však provádět změny úsporných plánů. Podrobnosti najdete v části Role a úlohy související s fakturačním profilem.

Role RBAC plánu úspor

Životní cyklus plánu úspory je nezávislý na předplatném Azure. Úsporné plány po zakoupení nedědí oprávnění z předplatných. Plány úspor jsou prostředek na úrovni tenanta s vlastními oprávněními Azure RBAC.

Přehled

Existují čtyři role RBAC specifické pro plán úspor:

• Správce plánu úspor: Umožňuje správu jednoho nebo více plánů úspor v tenantovi a delegování rolí RBAC jiným uživatelům.
• Nákupčí plánů úspor: Umožňuje nákup plánů úspor se zadaným předplatným.
  • Umožňuje nákup plánů úspor nebo obchod s rezervacemi nefakturujícími správci a vlastníky bez předplatného.
  • Plánování úspor při nákupu nefakturujícími správci musí být povolené. Další informace najdete v tématu Oprávnění k nákupu plánu úspory v Azure.
• Přispěvatel plánů úspor: Umožňuje správu jednoho nebo více plánů úspor v tenantovi, ale ne delegování rolí RBAC jiným uživatelům.
• Čtenář plánu úspor: Umožňuje přístup jen pro čtení k jednomu nebo více plánům úspor v tenantovi.

Tyto role můžou být vymezeny na konkrétní entitu prostředku (například předplatné nebo plán úspor) nebo tenanta Microsoft Entra (adresář). Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

Role RBAC plánu úspor vyžadované pro akce plánů úspor

• Zobrazit plány úspor:
  • Rozsah tenanta: Uživatelé, kteří mají čtenář plánu úspor nebo vyšší.
  • Rozsah plánu úspor: Integrovaná čtečka nebo vyšší
• Správa plánů úspor:
  • Rozsah tenanta: Uživatelé s přispěvatelem plánu úspor nebo vyšší.
  • Rozsah plánu úspor: Předdefinovaný přispěvatel nebo role vlastníka, přispěvatel plánu úspor nebo vyšší.
• Delegujte oprávnění k plánu úspor:
  • Obor tenanta: K udělení rolí RBAC všem plánům úspor v tenantovi se vyžadují práva správce uživatelských přístupů. Pokud chcete tato práva získat, postupujte podle pokynů pro zvýšení úrovně přístupu .
  • Rozsah plánu úspor: Správce plánu úspory nebo správce uživatelských přístupů.

Kromě toho můžou uživatelé, kteří při nákupu plánu úspor použili roli vlastníka předplatného, zobrazit, spravovat a delegovat oprávnění k zakoupenému plánu úspor.

Zobrazení plánů úspor s využitím přístupu RBAC

Pokud máte role RBAC specifické pro plán úspor (správce plánu úspor, nákupčí, přispěvatel nebo čtenář), zakoupené plány úspor nebo byly přidány jako vlastník plánů úspor, postupujte podle těchto kroků k zobrazení a správě plánů úspor na webu Azure Portal.

1. Přihlaste se k portálu Azure.
2. >Pokud chcete zobrazit seznam plánů úspor, ke kterým máte přístup, vyberte Plány úspor domů.

Přidání rolí RBAC uživatelům a skupinám

Další informace o delegování rolí RBAC plánu úspor najdete v tématu Delegování rolí RBAC plánu úspor.

Podnikoví správci můžou převzít vlastnictví objednávky plánu úspor. Můžou do plánu úspor přidat další uživatele pomocíŘízení přístupu (IAM)

Udělení přístupu pomocí PowerShellu

Uživatelé, kteří mají přístup vlastníka k objednávkám plánů úspor, uživatelé se zvýšeným přístupem a správci uživatelských přístupů můžou delegovat správu přístupu pro všechny objednávky plánů úspor, ke kterým mají přístup.

Přístup udělený pomocí PowerShellu se na webu Azure Portal nezobrazuje. Místo toho pomocí get-AzRoleAssignment příkazu v následující části zobrazíte přiřazené role.

Přiřazení role vlastníka pro všechny plány úspor

Pokud chcete uživateli udělit přístup Azure RBAC ke všem objednávkám plánů úspor ve svém tenantovi Microsoft Entra (adresáři), použijte následující skript Azure PowerShellu:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Pokud pomocí skriptu PowerShellu přiřadíte roli vlastnictví a úspěšně se spustí, nezobrazí se zpráva o úspěchu.

Parametry

• ObjectId: ID objektu Microsoft Entra uživatele, skupiny nebo instančního objektu

  • Typ: Řetězec
  • Aliasy: ID, PrincipalId
  • Pozice: Pojmenovaná
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

• TenantId: Jedinečný identifikátor tenanta

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Přidání role správce plánu úspor na úrovni tenanta pomocí skriptu Azure PowerShellu

Pokud chcete přidat roli správce plánu úspor na úrovni tenanta pomocí PowerShellu, použijte následující skript Azure PowerShellu:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parametry

• ObjectId: ID objektu Microsoft Entra uživatele, skupiny nebo instančního objektu

  • Typ: Řetězec
  • Aliasy: ID, PrincipalId
  • Pozice: Pojmenovaná
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

• TenantId: Jedinečný identifikátor tenanta

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Přiřazení role přispěvatele plánu úspor na úrovni tenanta pomocí skriptu Azure PowerShellu

Pokud chcete roli přispěvatele plánu úspor přiřadit na úrovni tenanta pomocí PowerShellu, použijte následující skript Azure PowerShellu:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parametry

• ObjectId: ID objektu Microsoft Entra uživatele, skupiny nebo instančního objektu

  • Typ: Řetězec
  • Aliasy: ID, PrincipalId
  • Pozice: Pojmenovaná
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

• TenantId: Jedinečný identifikátor tenanta

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Přiřazení role čtenáře plánu úspor na úrovni tenanta pomocí skriptu Azure PowerShellu

Pokud chcete přiřadit roli čtenáře plánu úspor na úrovni tenanta pomocí PowerShellu, použijte následující skript Azure PowerShellu:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parametry

• ObjectId: ID objektu Microsoft Entra uživatele, skupiny nebo instančního objektu

  • Typ: Řetězec
  • Aliasy: ID, PrincipalId
  • Pozice: Pojmenovaná
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: True
  • Přijmout zástupné znaky: False

• TenantId: Jedinečný identifikátor tenanta

  • Typ: Řetězec
  • Pozice: 5
  • Výchozí hodnota: None
  • Přijmout vstup kanálu: False
  • Přijmout zástupné znaky: False

Další kroky

• Správa plánů úspor v Azure