Hozzáférés biztosítása Azure Enterprise-előfizetések létrehozásához (örökölt)
Egy Nagyvállalati Szerződés (EA) rendelkező Azure-ügyfélként engedélyt adhat egy másik felhasználónak vagy szolgáltatásnévnek a fiókjához számlázott előfizetések létrehozásához. Ez a cikk bemutatja, hogyan oszthatja meg az előfizetések létrehozásának képességét az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével, illetve hogyan naplózhatja az előfizetések létrehozását. Fiók megosztásához tulajdonosi szerepkörrel kell rendelkeznie az adott fiókra vonatkozóan.
Feljegyzés
- Ez az API csak az előfizetés létrehozásához használt régi API-kkal működik.
- Hacsak nincs konkrét szüksége az örökölt API-k használatára, használja a legújabb GA-verzióra vonatkozó információkat a legújabb API-verzióról. Lásd: Regisztrációs fiók szerepkör-hozzárendelései – Az EA-előfizetések a legújabb API-val való létrehozásához szükséges engedély megadására.
- Ha az újabb API-k használatára kíván átállni, akkor a 2019-10-01-preview verzió használatával újra meg kell adnia a tulajdonosi engedélyeket. A következő API-kat használó korábbi konfiguráció nem lesz automatikusan konvertálva az újabb API-kkal való használatra.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Hozzáférés biztosítása
Ha előfizetéseket szeretnének létrehozni egy regisztrációs fiókhoz, a felhasználóknak Azure RBAC-alapú Tulajdonos szerepkörrel kell rendelkezniük az adott fiók esetében. A következő lépésekkel biztosíthatja az Azure RBAC-alapú Tulajdonos szerepkört egy regisztrációs fiók esetében, egy felhasználó vagy felhasználócsoport számára:
Kérje le annak a regisztrációs fióknak az objektumazonosítóját, amelyhez hozzáférést szeretne adni.
Ha Azure RBAC-alapú Tulajdonos szerepkört szeretne biztosítani mások számára egy regisztrációs fiók esetében, akkor a fiók tulajdonosának vagy Azure RBAC-tulajdonosának kell lennie.
Kérelem azon fiókok felsorolására, amelyekhez hozzáféréssel rendelkezik:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
Az Azure megadja az összes olyan regisztrációs fiók listáját, amelyhez hozzáféréssel rendelkezik:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }
Használja a
principalName
tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiókname
elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia:747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mintenrollmentAccountObjectId
.Használja a
principalName
tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiókname
elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia:747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mintenrollmentAccountObjectId
.Kérje le annak a felhasználónak vagy csoportnak az objektumazonosítóját, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni
- Az Azure Portalon keressen a Microsoft Entra-azonosítóra.
- Ha felhasználói hozzáférést szeretne biztosítani, a bal oldali menüben válassza a Felhasználók lehetőséget. Ha egy csoportnak kíván hozzáférést biztosítani, válassza a Csoportok lehetőséget.
- Válassza ki azt a felhasználót vagy csoportot, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni.
- Ha egy felhasználót választott, az objektumazonosító a Profil oldalon található. Ha egy csoportot választott, az objektumazonosító az Áttekintés oldalon található. Másolja az Objektumazonosítót a szövegmező jobb oldalán található ikon kiválasztásával. Illessze be valahova, hogy a következő lépésben használni tudja mint
userObjectId
.
Azure RBAC-alapú Tulajdonos szerepkör biztosítása egy felhasználó vagy csoport számára a regisztrációs fiók esetében
Az első két lépésben összegyűjtött értékek használatával adja meg a felhasználó vagy csoport számára az Azure RBAC-alapú Tulajdonos szerepkört a regisztrációs fiókra vonatkozóan.
Futtassa a következő parancsot, amelyben cserélje le az
<enrollmentAccountObjectId>
értéket aname
első lépésben kimásolt értékére (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
). Cserélje le a<userObjectId>
értéket a második lépésben kimásolt objektumazonosítóra.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }
Ha a tulajdonosi szerepkör sikeresen hozzá lett rendelve a regisztrációs fiók hatókörében, az Azure megadja a szerepkör-hozzárendelés információit:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Az előfizetések létrehozóinak naplózása tevékenységnaplókkal
Ha ezzel az API-val szeretné nyomon követni a létrehozott előfizetéseket, használja a Tenant Activity Log API-t. Az előfizetések létrehozásának nyomon követéséhez jelenleg nem használható a PowerShell, a parancssori felület vagy az Azure Portal.
A Microsoft Entra-bérlő bérlői rendszergazdájaként emelje ki a hozzáférést, majd rendeljen hozzá olvasói szerepkört a naplózási felhasználóhoz a hatókörön
/providers/microsoft.insights/eventtypes/management
keresztül. Ez a hozzáférés a Olvasó szerepkör, a figyelési közreműködő szerepkör vagy egy egyéni szerepkör számára érhető el.Naplózási felhasználóként meghívhatja a Tenant Activity Log API-t az előfizetés-létrehozási tevékenységek megtekintésére. Példa:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Az API-t kényelmesen meghívhatja a parancssorból az ARMClient segítségével.
Kapcsolódó tartalom
- Most, hogy a felhasználó vagy a szolgáltatásnév jogosult előfizetést létrehozni, ezt az identitást Azure Enterprise-előfizetések programozott létrehozására is használhatja.
- Előfizetések .NET használatával történő létrehozását bemutató példáért tekintse meg a GitHubon elérhető mintakódot.
- További információt az Azure Resource Managerről és az API-jairól az Azure Resource Manager áttekintésében talál.
- Több előfizetés felügyeleti csoportok használatával történő kezeléséről az erőforrások Azure-beli felügyeleti csoportokkal való rendszerezését ismertető részben talál további információt.
- A nagy szervezeteknek szóló, az előfizetés-irányításra vonatkozó ajánlott eljárásokra vonatkozó átfogó útmutatóért lásd: (Azure nagyvállalati struktúra – előíró előfizetés-irányítás).
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: