Permisos para ver y administrar planes de ahorro de Azure
En este artículo, se explica cómo funcionan los permisos de un plan de ahorro y cómo los usuarios pueden ver y administrar los planes de ahorro de Azure en Azure Portal.
Quién puede administrar un plan de ahorro de manera predeterminada
Dos métodos de autorización diferentes controlan la capacidad de un usuario de ver, administrar y delegar permisos para ahorrar planes. Son roles de administrador de facturación y ahorran roles de control de acceso basado en rol (RBAC).
Roles de administrador de facturación
Puede ver, administrar y delegar permisos para ahorrar planes mediante roles de administrador de facturación integrados. Para obtener más información sobre los roles de facturación de Contrato de cliente de Microsoft y Contrato Enterprise, consulte la Descripción de los roles administrativos del Contrato de cliente de Microsoft en Azure y la Administración de roles de Contrato Enterprise de Azure, respectivamente.
Roles de administrador de facturación necesarios para ahorrar acciones del plan
- Ver planes de ahorro:
- Contrato de cliente de Microsoft: usuarios con lector de perfiles de facturación o superior
- Contrato Enterprise: usuarios con administrador de empresa (solo lectura) o superior
- Contrato de partner de Microsoft: no compatible
- Administrar planes de ahorro (logrados mediante la delegación de permisos para el perfil de facturación o la inscripción completos):
- Contrato de cliente de Microsoft: usuarios con colaborador de perfil de facturación o superior
- Contrato Enterprise: usuarios con el administrador del Contrato Enterprise o superior
- Contrato de partner de Microsoft: no compatible
- Delegar permisos del plan de ahorro:
- Contrato de cliente de Microsoft: usuarios con colaborador de perfil de facturación o superior
- Contrato Enterprise: usuarios con el comprador del Contrato Enterprise o superior
- Contrato de partner de Microsoft: no compatible
Visualización y administración de planes de ahorro como administrador de facturación
Si es un usuario de rol de facturación, siga estos pasos para ver y administrar todos los planes de ahorro y las transacciones del plan de ahorro en Azure Portal.
- Inicie sesión en Azure Portal e ir a Cost Management + Facturación.
- Si está en una cuenta de Contrato Enterprise, en el menú de la izquierda, seleccione Ámbitos de facturación. A continuación, en la lista de ámbitos de facturación, seleccione uno.
- Si está en una cuenta de Contrato de cliente de Microsoft, en el menú de la izquierda, seleccione Perfiles de facturación. En la lista de perfiles de facturación, seleccione uno.
- En el menú de la izquierda, seleccione Productos y servicios>Planes de ahorro. Aparece la lista completa de planes de ahorro para la inscripción del Contrato Enterprise o el perfil de facturación del Contrato de cliente de Microsoft.
- Los usuarios de rol de facturación pueden tomar posesión de un plan de ahorro con el Orden del plan de ahorro: elevar la API de REST para asignarse roles de RBAC de Azure.
Incorporación de administradores de facturación
Agregue un usuario como administrador de facturación a un Contrato Enterprise o un Contrato de cliente de Microsoft en Azure Portal.
- Contrato Enterprise: agregue usuarios con el rol de administrador de empresa para ver y administrar todos los pedidos de planes de ahorro que se aplican al Contrato Enterprise. Los administradores de empresa pueden ver y administrar los planes de ahorro en Administración de costos y facturación.
- Los usuarios con el rol Administrador de empresa (solo lectura) solo pueden ver el plan de ahorro de Cost Management + Facturación.
- Los administradores del departamento y los propietarios de cuentas no pueden ver los planes de ahorro a menos que se les agreguen explícitamente mediante el Control de acceso (IAM). Para obtener más información, consulte Administración de roles de Azure Enterprise.
- Contrato de cliente de Microsoft: los usuarios con el rol de propietario del perfil de facturación o el rol de colaborador del perfil de facturación pueden administrar todas las compras del plan de ahorro realizadas mediante el perfil de facturación.
- Los lectores del perfil de facturación y los administradores de facturación pueden ver todos los planes de ahorro que se pagan con el perfil de facturación. Sin embargo, no se pueden hacer cambios en los planes de ahorro. Para más información, consulte Tareas y roles del perfil de facturación.
Ahorro de roles RBAC del plan de ahorro
El ciclo de vida del plan de ahorro es independiente de una suscripción de Azure. Los planes de ahorro no heredan los permisos de las suscripciones después de la compra. Los planes de ahorro son un recurso de nivel de inquilino con sus propios permisos de RBAC de Azure.
Información general
Hay cuatro roles RBAC específicos del plan de ahorro:
- Administrador de planes de ahorro: permite la administración de uno o más planes de ahorro en un inquilino y la delegación de roles RBAC a otros usuarios.
- Comprador del plan de ahorro: permite la compra de planes de ahorro con una suscripción especificada.
- Permite comprar planes de ahorro o intercambio de reservas por parte de administradores que no son de facturación y propietarios que no son de suscripción.
- Los administradores que no facturan el plan de ahorro deben estar habilitados. Para más información, consulte los Permisos para comprar un plan de ahorro de Azure.
- Colaborador del plan de ahorro: permite la administración de uno o varios planes de ahorro en un inquilino, pero no la delegación de roles de RBAC a otros usuarios.
- Lector de planes de ahorro: permite el acceso de solo lectura a uno o varios planes de ahorro en un inquilino.
Estos roles se pueden limitar a una entidad de recursos específica (por ejemplo, suscripción o plan de ahorro) o al inquilino de Microsoft Entra (directorio). Para más información sobre Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
Roles RBAC del plan de ahorro necesarios para las acciones del plan de ahorro
- Ver planes de ahorro:
- Ámbito de inquilino: usuarios con lector de planes de ahorro o superior.
- Ámbito del plan de ahorro: lector integrado o superior.
- Administración de los planes de ahorro
- Ámbito del inquilino: usuarios con colaborador del plan de ahorro o superior.
- Ámbito del plan de ahorro: colaborador integrado o roles de propietario, o colaborador del plan de ahorro o superior.
- Delegar permisos del plan de ahorro:
- Ámbito de inquilino: los derechos de administrador de acceso de usuario deben conceder roles RBAC a todos los planes de ahorro del inquilino. Para obtener estos derechos, siga los pasos Elevar el acceso.
- Ámbito del plan de ahorro: administrador del plan de ahorro o administrador de acceso de usuario.
Además, los usuarios que tenían el rol de propietario de la suscripción cuando se usaba la suscripción para comprar un plan de ahorro también pueden ver, administrar y delegar permisos para el plan de ahorro adquirido.
Visualización de planes de ahorro con acceso RBAC
Si tiene roles de RBAC específicos del plan de ahorro (administrador de planes de ahorro, comprador, colaborador o lector), planes de ahorro comprados o se agregaron como propietario a planes de ahorro, siga estos pasos para ver y administrar planes de ahorro en Azure Portal.
- Inicie sesión en Azure Portal.
- Seleccione Inicio>Planes de ahorro para enumerar los planes de ahorro a los que tiene acceso.
Agregar roles RBAC a usuarios y grupos
Para obtener información sobre cómo delegar roles de RBAC del plan de ahorro, consulte Delegar roles de RBAC del plan de ahorro.
Los administradores de empresa pueden tomar posesión de un pedido de plan de ahorro. Pueden agregar otros usuarios a un plan de ahorro mediante Control de acceso (IAM).
Concesión de acceso con PowerShell
Los usuarios que tienen acceso de propietario para los pedidos del plan de ahorro, los usuarios con acceso elevado y administradores de acceso de usuario pueden delegar la administración de acceso para todos los pedidos del plan de ahorro a los que tienen acceso.
El acceso concedido mediante PowerShell no se muestra en Azure Portal. En su lugar, use el comando get-AzRoleAssignment
de la sección siguiente para ver los roles asignados.
Asignar el rol de propietario para todos los planes de ahorro
Para conceder a un usuario acceso RBAC de Azure a todos los pedidos del plan de ahorro en su inquilino (directorio) de Microsoft Entra, use el siguiente script de Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Cuando se usa el script de PowerShell para asignar el rol de propiedad y se ejecuta correctamente, no se devuelve un mensaje correcto.
Parámetros
ObjectId: identificador de objeto de Microsoft Entra del usuario, grupo o entidad de servicio
- Tipo: Cadena
- Alias: Id, PrincipalId
- Posición: con nombre
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: True
- Aceptar caracteres comodín: False
TenantId: identificador único de inquilino
- Tipo: Cadena
- Posición: 5
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: False
- Aceptar caracteres comodín: False
Agregar un rol de administrador de planes de ahorro en el nivel de inquilino mediante el script de Azure PowerShell
Para agregar un rol de administrador de planes de ahorro en el nivel de inquilino con PowerShell, use el siguiente script de Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Parámetros
ObjectId: identificador de objeto de Microsoft Entra del usuario, grupo o entidad de servicio
- Tipo: Cadena
- Alias: Id, PrincipalId
- Posición: con nombre
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: True
- Aceptar caracteres comodín: False
TenantId: identificador único de inquilino
- Tipo: Cadena
- Posición: 5
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: False
- Aceptar caracteres comodín: False
Asignar un rol de colaborador del plan de ahorro en el nivel de inquilino mediante el script de Azure PowerShell
Para asignar el rol de colaborador del plan de ahorro en el nivel de inquilino con PowerShell, use el siguiente script de Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Parámetros
ObjectId: identificador de objeto de Microsoft Entra del usuario, grupo o entidad de servicio
- Tipo: Cadena
- Alias: Id, PrincipalId
- Posición: con nombre
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: True
- Aceptar caracteres comodín: False
TenantId: identificador único de inquilino
- Tipo: Cadena
- Posición: 5
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: False
- Aceptar caracteres comodín: False
Asignar un rol de lector de planes de ahorro en el nivel de inquilino mediante el script de Azure PowerShell
Para asignar el rol de lector del plan de ahorro en el nivel de inquilino con PowerShell, use el siguiente script de Azure PowerShell:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Parámetros
ObjectId: identificador de objeto de Microsoft Entra del usuario, grupo o entidad de servicio
- Tipo: Cadena
- Alias: Id, PrincipalId
- Posición: con nombre
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: True
- Aceptar caracteres comodín: False
TenantId: identificador único de inquilino
- Tipo: Cadena
- Posición: 5
- Valor predeterminado: ninguno
- Aceptar entrada de canalización: False
- Aceptar caracteres comodín: False