Permisos para ver y administrar reservas de Azure

En este artículo se explica cómo funcionan los permisos de reserva en Azure y cómo los usuarios autorizados pueden ver y administrar reservas de Azure en Azure Portal y con Azure PowerShell.

Nota:

Se recomienda usar el módulo de PowerShell de Azure Az para interactuar con Azure. Para comenzar, consulte Instalar Azure PowerShell. Para obtener más información sobre cómo migrar al módulo Az de PowerShell, consulte Migrar Azure PowerShell de AzureRM a Az.

Usuarios que pueden administrar una reserva de forma predeterminada

De forma predeterminada, estos son los usuarios que pueden ver y administrar reservas:

• El usuario que compra una reserva
• El administrador de la cuenta de la suscripción de facturación utilizada para comprar la reserva
• Administradores de facturación del Contrato Empresarial y Contrato de Cliente de Microsoft
• Usuarios con acceso elevado para administrar todas las suscripciones y grupos de administración de Azure
• Usuarios que tienen el rol de Administrador de reservas o Colaborador de reservas, para reservas en su inquilino de Microsoft Entra (directorio)

Los usuarios con el rol de Lector de reservas tienen acceso de solo lectura a las reservas en el inquilino (directorio) de Microsoft Entra.

El ciclo de vida de la reserva es independiente de una suscripción de Azure. Una reserva no es un recurso en la suscripción de Azure. Es un recurso a nivel de inquilino con su propio permiso de control de acceso basado en roles, independiente de las suscripciones. Las reservas no heredan los permisos de las suscripciones después de la compra.

Vista y administración de reservas

La capacidad de un usuario de ver, administrar y delegar permisos para reservas depende de dos métodos de autorización:

• Roles de administrador de facturación
• Roles de control de acceso basado en rol (RBAC) de reserva

Roles de administrador de facturación

Puede ver, administrar y delegar permisos para reservas mediante roles de administrador de facturación integrados. Para obtener más información sobre los roles de facturación de Contrato de cliente de Microsoft y Contrato Enterprise, consulte la Descripción de los roles administrativos del Contrato de cliente de Microsoft en Azure y la Administración de roles de Contrato Enterprise de Azure, respectivamente.

Roles de administrador de facturación necesarios para las acciones de reserva

Ver reservas

• Contrato de cliente de Microsoft: usuarios con el rol de Lector de perfil de facturación o superior
• Acuerdo empresarial: usuarios con el rol de administrador empresarial (solo lectura) o superior
• Contrato de partner de Microsoft: no compatible

Administrar reservas (delegar permisos para el perfil de facturación o la inscripción completos)

• Contrato de cliente de Microsoft: Usuarios con el rol de Colaborador o superior en el perfil de facturación
• Contrato Empresarial: usuarios con el rol de administrador del contrato empresarial o superior
• Contrato de partner de Microsoft: no compatible

Delegar permisos de reserva

• Contrato de Cliente de Microsoft: usuarios que tienen el rol de Colaborador o superior en el perfil de facturación
• Contrato Enterprise: usuarios con el rol Comprador del Contrato Enterprise o superior
• Contrato de partner de Microsoft: no compatible

Para comprar una reserva, los administradores del Contrato Enterprise o los propietarios de perfiles de facturación deben tener acceso propietario o comprador de reservas en al menos un contrato Enterprise o una suscripción al Contrato de cliente de Microsoft. Esta opción es útil para las empresas que desean que un equipo centralizado compre reservas. Para más información, consulte Compra de una reserva de Azure.

Ver y administrar reservas como administrador de facturación

Si es un usuario de rol de facturación, siga estos pasos para ver y administrar todas las reservas y transacciones de reserva en Azure Portal.

1. Inicie sesión en Azure Portal e ir a Cost Management + Facturación.
   • Si tiene una cuenta de Contrato Enterprise, seleccione Ámbitos de facturación en el menú de servicio. A continuación, seleccione uno de los ámbitos de facturación.
   • Si tiene una cuenta de Contrato de cliente de Microsoft, seleccione Perfiles de facturación en el menú de servicio. A continuación, seleccione uno de los perfiles de facturación.
2. En el menú servicio, seleccione Productos y servicios>Reservas + Ventaja híbrida. Aparece la lista completa de reservas para la inscripción del Contrato Enterprise o el perfil de facturación del Contrato de cliente de Microsoft.

Los usuarios con el rol Facturación pueden tomar posesión de una reserva seleccionando una o varias reservas y, a continuación, seleccionando Conceder acceso en la ventana que aparece. Si tiene una cuenta de Contrato de cliente de Microsoft, el usuario debe estar en el mismo inquilino de Microsoft Entra (directorio) que la reserva.

Adición de administradores de facturación

Agregue un usuario como administrador de facturación a un Contrato Enterprise o un Contrato de cliente de Microsoft en Azure Portal.

• Contrato Enterprise: los usuarios con el rol De administrador de empresa pueden ver y administrar todos los pedidos de reserva que se aplican al Contrato Enterprise. Los usuarios con el rol Administrador de empresa pueden ver y administrar reservas en Cost Management + Billing.
  • Los usuarios con el rol Administrador de empresa (solo lectura) solo pueden ver la reserva desde Cost Management + Billing.
  • Los administradores de departamento y los propietarios de cuentas no pueden ver las reservas a menos que los agregue explícitamente a la reserva mediante la opción Control de acceso (IAM). Para obtener más información, consulte Administración de roles de Azure Enterprise.
• Contrato de cliente de Microsoft: los usuarios con el rol propietario del perfil de facturación o el rol colaborador del perfil de facturación pueden administrar todas las compras de reserva realizadas mediante el perfil de facturación.
  • Los lectores del perfil de facturación y los administradores de facturas pueden ver todas las reservas que se pagan con el perfil de facturación. Sin embargo, no pueden realizar cambios en las reservas. Para más información, consulte Tareas y roles del perfil de facturación.

Roles de RBAC para la reserva de Azure

Azure proporciona cuatro roles RBAC específicos de la reserva con distintos niveles de permisos:

• Administrador de reservas: los usuarios con este rol pueden administrar una o varias reservas en su inquilino de Microsoft Entra (directorio). También pueden delegar roles de RBAC a otros usuarios.
• Comprador de reservas: los usuarios con este rol pueden comprar reservas con una suscripción especificada, incluso si no son propietarios de la suscripción.
• Colaborador de reservas: los usuarios con este rol pueden administrar una o varias reservas en su inquilino (directorio) de Microsoft Entra, pero no pueden delegar roles de RBAC a otros usuarios.
• Lector de reservas: los usuarios con este rol tienen acceso de solo lectura a una o varias reservas en su inquilino (directorio) de Microsoft Entra.

Estos roles se pueden limitar a una entidad de recursos específica (por ejemplo, suscripción o reserva) o al inquilino de Microsoft Entra. Para obtener más información sobre RBAC, consulte ¿Qué es el control de acceso basado en rol (RBAC)?.

Roles de RBAC para reservaciones de Azure que necesitas para realizar acciones de reservación

Ver reservas

• Ámbito de inquilino: usuarios con el rol de Lector de reservas o superior
• Ámbito de reserva: roles de lector o superiores integrados

Administración de reservas

• Ámbito de inquilino: usuarios con el rol de Colaborador de reservas o superior
• Ámbito de reserva: roles integrados de colaborador o propietario, o de Colaborador de reservas o superior

Delegar permisos de reserva

• Ámbito de inquilino: necesita derechos de Administrador de acceso de usuarios para conceder roles de RBAC a todas las reservas del inquilino. Para obtener estos derechos, siga los pasos para elevar el acceso.
• Ámbito de reserva: usuarios con el rol Administrador de reservas o Administrador de acceso de usuario.

Además, los usuarios que eran propietarios de suscripciones cuando se usaba la suscripción para comprar una reserva también pueden ver, administrar y delegar permisos para la reserva comprada.

Visualización y administración de reservas con acceso RBAC

Si tiene roles de RBAC específicos de la reserva (Administrador de reservas, Comprador, Colaborador o Lector), si compró reservas o si se agregó como propietario a las reservas, siga estos pasos para ver y administrar las reservas en Azure Portal:

1. Inicie sesión en Azure Portal.
2. Seleccione Reservas principales>para enumerar las reservas a las que tiene acceso.

Sugerencia

Si no puede ver las reservas, asegúrese de que ha iniciado sesión con la cuenta que tiene los permisos adecuados. Para escenarios entre inquilinos, asegúrese de que se encuentra en el contexto de inquilino correcto.

Delegar roles de RBAC de reserva

En esta sección, aprenderá a:

• Delegue el rol Comprador de reservas a una suscripción específica.
• Asigne los roles de Administrador de Reservas, Contribuyente o Lector a una reserva específica.
• Delegue los roles de Administrador, Colaborador o Lector a todas las reservas.

Los usuarios y grupos que obtienen la capacidad de comprar, administrar o ver reservas a través de roles de RBAC deben acceder a las reservas desde Inicio>Reservas.

Nota:

Los administradores de empresa pueden tomar posesión de un pedido de reserva. Pueden agregar otros usuarios a una reserva mediante la opción Control de acceso (IAM).

Delegación del rol Comprador de reserva a una suscripción específica

Para delegar el rol de Comprador de Reservas a una suscripción específica, primero asegúrese de tener acceso elevado. A continuación, siga estos pasos:

1. Vaya a Inicio>Reservas para ver todas las reservas del inquilino.
2. Para realizar modificaciones en la reserva, agréguese como propietario del pedido de reserva mediante la opción Control de acceso (IAM).

Delegar roles de administrador, colaborador o lector de reservas a una reserva específica

Para delegar los roles de administrador, colaborador o lector a una reserva específica:

1. Vaya a Inicio>Reservas.
2. Seleccione la reserva.
3. Seleccione Control de acceso (IAM) en el menú servicio.
4. Seleccione Agregar y, a continuación, Agregar asignación de roles en la barra de navegación superior.

Delegar roles de administrador, colaborador o lector de reservas en todas las reservas

Necesita derechos de administrador de accesos de usuario para conceder roles de RBAC en el nivel de inquilino. Para obtener derechos de administrador de acceso de usuario, siga los pasos para elevar el acceso.

Para delegar el rol de Administrador, Colaborador o Lector en todas las reservas de un inquilino:

1. Vaya a Inicio>Reservas.
2. Seleccione Asignación de roles en la barra de navegación superior y elija el rol que desee.

Concesión de acceso a reservas individuales

Los usuarios con acceso de propietario en las reservas y los administradores de facturación pueden delegar la administración de acceso con relación a un pedido de reserva individual en Azure Portal.

Para que otras personas puedan administrar las reservas, tiene dos opciones:

• Delegar la administración de acceso para un pedido de reserva individual asignando el rol Propietario a un usuario en el ámbito de recurso del pedido de reserva. Si desea otorgar un acceso limitado, seleccione otro rol. Para ver los pasos detallados, consulte Asignación de roles de Azure mediante Azure Portal.

• Agregue un usuario como administrador de facturación a un Contrato Enterprise o un Contrato de cliente de Microsoft:

  • Contrato Enterprise: los usuarios con el rol De administrador de empresa pueden ver y administrar todos los pedidos de reserva que se aplican al Contrato Enterprise. Los usuarios con el rol Administrador de empresa (solo lectura) solo pueden ver la reserva. Los administradores de departamento y los propietarios de cuentas no pueden ver las reservas a menos que los agregue explícitamente a la reserva mediante la opción Control de acceso (IAM). Para más información, consulte Administración de roles de Azure Enterprise.
  • Contrato de cliente de Microsoft: los usuarios con el rol propietario del perfil de facturación o el rol colaborador del perfil de facturación pueden administrar todas las compras de reserva realizadas mediante el perfil de facturación. Los lectores del perfil de facturación y los administradores de facturas pueden ver todas las reservas que se pagan con el perfil de facturación. Sin embargo, no pueden realizar cambios en las reservas. Para más información, consulte Tareas y roles del perfil de facturación.

Nota:

Los administradores de empresa pueden tomar posesión de un pedido de reserva. Pueden agregar otros usuarios a una reserva mediante la opción Control de acceso (IAM).

Concesión de acceso mediante PowerShell

Los usuarios que tienen acceso de propietario para los pedidos de reservas, los usuarios que tienen acceso elevado y los usuarios que tienen el rol Administrador de acceso de usuario pueden delegar la administración de acceso para todos los pedidos de reserva a los que tienen acceso.

El acceso que concede mediante PowerShell no se muestra en Azure Portal. En su lugar, use el get-AzRoleAssignment comando para ver los roles asignados.

Para más información sobre cómo conceder acceso mediante PowerShell, consulte Concesión de acceso RBAC a las reservas mediante PowerShell.

Contenido relacionado

• Administración de reservas de Azure
• Comprender cómo se aplican los descuentos de reserva