Permisos para ver y administrar reservas de Azure

En este artículo se explica cómo funcionan los permisos de reserva y cómo los usuarios pueden ver y administrar las reservas de Azure en Azure Portal y con Azure PowerShell.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Quiénes pueden administrar una reservas de manera predeterminada

De forma predeterminada, estos son los usuarios que pueden ver y administrar reservas:

• Tanto la persona que compra una reserva como el administrador de cuenta de la suscripción de facturación que se ha usado para comprar la reserva se agregan al pedido de reserva.
• Administradores de facturación del Contrato Enterprise y del Contrato de cliente de Microsoft.
• Usuarios con privilegios de acceso elevados para administrar todas las suscripciones y los grupos de administración de Azure.
• Un administrador de reservas para las reservas de su inquilino (directorio) de Microsoft Entra
• Un lector de reservas tiene acceso de solo lectura a las reservas de su inquilino (directorio) de Microsoft Entra

El ciclo de vida de la reserva no depende de una suscripción de Azure, por lo que la reserva no es un recurso de la suscripción de Azure. En su lugar, es un recurso de nivel de inquilino con su propio permiso de RBAC de Azure independiente de las suscripciones. Las reservas no heredan los permisos de las suscripciones después de la compra.

Vista y administración de reservas

Si es un administrador de facturación, siga estos pasos para ver y administrar todas las reservas y las transacciones de reserva en Azure Portal:

1. Iniciar sesión en Azure Portal e ir a Cost Management + Billing.
   • Los administradores de EA pueden seleccionar Ámbitos de facturación en el menú de la izquierda y, después, seleccionar uno de los ámbitos de la lista.
   • Los propietarios de un perfil de facturación de Contrato de cliente de Microsoft, deben seleccionar Perfiles de facturación en el menú de la izquierda. En la lista de perfiles de facturación, seleccione uno.
2. En el menú de la izquierda, seleccione Productos y servicios>Reservas.
3. Se muestra la lista completa de reservas de su perfil de facturación o inscripción de EA.
4. Los administradores de facturación pueden tomar la propiedad de una reserva mediante la selección de una o varias reservas, seleccionando Conceder acceso y de nuevo Conceder acceso en la ventana que aparece. Para un Contrato de cliente de Microsoft, el usuario debe estar en el mismo inquilino de Microsoft Entra (directorio) que la reserva.

Incorporación de administradores de facturación

Agregue un usuario como administrador de facturación a un Contrato Enterprise o un Contrato de cliente de Microsoft en Azure Portal.

• En el caso de un Contrato Enterprise, agregue usuarios con el rol de Administrador de empresa para ver y administrar todos los pedidos de reserva que se aplican al Contrato Enterprise. Los administradores de empresa pueden ver y administrar las reservas en Administración de costos + facturación.
  • Los usuarios con el rol de Administrador de empresa (solo lectura) solo pueden ver la reserva en Administración de costos + facturación.
  • Ni los administradores de departamento ni los propietarios de cuentas no pueden ver reservas, salvo que se les agreguen mediante el Control de acceso (IAM). Para más información, consulte Administración de roles de Azure Enterprise.
• En el caso de un Contrato de cliente de Microsoft, los usuarios con el rol Propietario de perfil de facturación o el rol Colaborador de perfil de facturación pueden administrar todas las compras de reserva realizadas mediante el perfil de facturación. Los lectores del perfil de facturación y los administradores de facturas pueden ver todas las reservas que se pagan con el perfil de facturación. Sin embargo, no pueden realizar cambios en las reservas. Para más información, consulte Tareas y roles del perfil de facturación.

Visualización de reservas con acceso de RBAC de Azure

Si ha adquirido la reserva o se le ha agregado a una, siga estos pasos para ver y administrar las reservas en Azure Portal:

1. Inicie sesión en Azure Portal.
2. Seleccione Todos los servicios>Reservas para obtener una lista de las reservas a las que tiene acceso.

Administración de suscripciones y grupos de administración con acceso elevado

Puede elevar el privilegio de acceso para administrar todas las suscripciones y los grupos de administración de Azure.

Con acceso con privilegios elevados:

1. Vaya a Todos los servicios>Reserva para ver todas las reservas del inquilino.
2. Para realizar modificaciones en la reserva, agréguese como propietario del pedido de reserva mediante el control de acceso (IAM).

Concesión de acceso a reservas individuales

Los usuarios con acceso de propietario en las reservas y los administradores de facturación pueden delegar la administración de acceso con relación a un pedido de reserva individual en Azure Portal.

Para que otras personas puedan administrar las reservas, tiene dos opciones:

• Delegue la administración del acceso para un pedido de reserva individual mediante la asignación del rol Propietario a un usuario en el ámbito de recursos del pedido de reserva. Si desea otorgar un acceso limitado, seleccione otro rol.
  Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

• Agregue un usuario como administrador de facturación a un Contrato Enterprise o un Contrato de cliente de Microsoft:

  • En el caso de un Contrato Enterprise, agregue usuarios con el rol de Administrador de empresa para ver y administrar todos los pedidos de reserva que se aplican al Contrato Enterprise. Los usuarios con el rol de Administrador de empresa (solo lectura) solo pueden ver la reserva. Ni los administradores de departamento ni los propietarios de cuentas no pueden ver reservas, salvo que se les agreguen mediante el Control de acceso (IAM). Para más información, consulte Administración de roles de Azure Enterprise.

    Los administradores de empresa pueden tomar posesión de un pedido de reserva y pueden agregar otros usuarios a una reserva mediante el Control de acceso (IAM).

  • En el caso de un Contrato de cliente de Microsoft, los usuarios con el rol Propietario de perfil de facturación o el rol Colaborador de perfil de facturación pueden administrar todas las compras de reserva realizadas mediante el perfil de facturación. Los lectores del perfil de facturación y los administradores de facturas pueden ver todas las reservas que se pagan con el perfil de facturación. Sin embargo, no pueden realizar cambios en las reservas. Para más información, consulte Tareas y roles del perfil de facturación.

Concesión de acceso con PowerShell

Los usuarios con acceso de propietario para los pedidos de reservas, los usuarios con acceso elevado y los administradores de acceso de usuario pueden delegar la administración de acceso con relación a todos los pedidos de reserva a los que tienen acceso.

El acceso concedido mediante PowerShell no se muestra en Azure Portal. En su lugar, use el comando get-AzRoleAssignment de la sección siguiente para ver los roles asignados.

Asignación del rol "Propietario" para todas las reservas

Use el siguiente script de Azure PowerShell para proporcionar a un usuario acceso de Azure RBAC a todos los pedidos de reservas en su inquilino (directorio) de Microsoft Entra.

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Cuando se usa el script de PowerShell para asignar el rol de propiedad y se ejecuta correctamente, no se devuelve un mensaje de operación correcta.

Parámetros

-ObjectId: Id. de objeto de Microsoft Entra del usuario, del grupo o de la entidad de servicio.

• Escriba: String
• Alias: Id o PrincipalId
• Posición: con nombre
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: true
• Aceptar caracteres comodín: false

-TenantId: identificador único de inquilino.

• Escriba: String
• Posición: 5
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: false
• Aceptar caracteres comodín: false

Acceso de nivel de inquilino

Los derechos de administrador de acceso de usuario son necesarios para poder conceder a los usuarios o grupos los roles Administrador de reservas y Lector de reservas en el nivel de inquilino. Para obtener derechos de administrador de acceso de usuario en el nivel de inquilino, siga los pasos Elevar el acceso.

Incorporación de un rol Administrador de reservas en el nivel de inquilino o Lector de reservas en el nivel de inquilino

Puede asignar estos roles desde el Azure portal.

1. Inicie sesión en Azure Portal y vaya a Reservas.
2. Seleccione una reserva a la que tenga acceso.
3. En la parte superior de la página, seleccione Asignación de roles.
4. Seleccione la pestaña Roles.
5. Para realizar modificaciones, agregue un usuario como Administrador de reservas o Lector de reservas mediante el control de acceso.

Use el script de Azure PowerShell para agregar un rol "Administrador de reservas" en el nivel de inquilino

Use el siguiente script de Azure PowerShell para agregar un rol "Administrador de reservas" en el nivel de inquilino con PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parámetros

-ObjectId: Id. de objeto de Microsoft Entra del usuario, del grupo o de la entidad de servicio.

• Escriba: String
• Alias: Id o PrincipalId
• Posición: con nombre
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: true
• Aceptar caracteres comodín: false

-TenantId: identificador único de inquilino.

• Escriba: String
• Posición: 5
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: false
• Aceptar caracteres comodín: false

Asignar un rol de lector de reservas en el nivel de inquilino con el script de Azure PowerShell

Use el siguiente script de Azure PowerShell para asignar un rol "Lector de reservas" en el nivel de inquilino con PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parámetros

-ObjectId: Id. de objeto de Microsoft Entra del usuario, del grupo o de la entidad de servicio.

• Escriba: String
• Alias: Id o PrincipalId
• Posición: con nombre
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: true
• Aceptar caracteres comodín: false

-TenantId: identificador único de inquilino.

• Escriba: String
• Posición: 5
• Valor predeterminado: ninguno
• Aceptar la entrada de la canalización: false
• Aceptar caracteres comodín: false

Pasos siguientes

• Administración de reservas de Azure