Az Azure-foglalások megtekintésére és kezelésére vonatkozó engedélyek
Ez a cikk bemutatja, hogyan működnek a foglalási engedélyek, és hogyan tekinthetik meg és kezelhetik a felhasználók az Azure-foglalásokat az Azure Portalon és az Azure PowerShell-lel.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Alapértelmezés szerint kik kezelhetik a foglalásokat?
Alapértelmezés szerint a következő felhasználók tekinthetik meg és kezelhetik a foglalásokat:
- A foglalást vásárló személyt és a foglalás vásárlásához használt számlázási előfizetés fiókadminisztrátorát a rendszer hozzáadja a foglalási rendeléshez.
- Nagyvállalati Szerződéssel és Microsoft Ügyfélszerződéssel rendelkező számlázási rendszergazdák.
- Az összes Azure-előfizetés és felügyeleti csoport kezeléséhez emelt szintű hozzáféréssel rendelkező felhasználók
- A foglalási rendszergazda a Microsoft Entra bérlőjében (könyvtárában) lévő foglalásokhoz
- A foglalások olvasója csak olvasási hozzáféréssel rendelkezik a Microsoft Entra bérlőjében (könyvtárában) lévő foglalásokhoz
A foglalás életciklusa független az Azure-előfizetésétől, így a foglalás nem erőforrás az Azure-előfizetésben. A megtakarítási csomag egy bérlői szintű erőforrás, amely az előfizetésektől eltérő, saját Azure RBAC-engedéllyel rendelkezik. A foglalások nem örökölnek engedélyeket a vásárlást követő előfizetésekből.
Foglalások megtekintése és kezelése
Ha Ön számlázási rendszergazda, az alábbi lépésekkel megtekintheti és kezelheti az összes foglalást és foglalási tranzakciót az Azure Portalon.
- Jelentkezzen be az Azure Portalra, és lépjen a Költségkezelés + Számlázás területre.
- Ha Ön EA-rendszergazda, a bal oldali menüben válassza a Számlázási hatókörök lehetőséget, majd a számlázási hatókörök listájában válasszon egyet.
- Ha Ön a Microsoft Ügyfélszerződéshez tartozó számlázási profil tulajdonosa, a bal oldali menüben válassza a Számlázási profilok lehetőséget. Válasszon ki egy számlázási profilt a listából.
- A bal oldali menüben válassza a Termékek + szolgáltatások, majd a >Foglalások elemet.
- Megjelenik az EA-regisztrációja vagy számlázási profilja foglalásainak teljes listája.
- A számlázási adminisztrátor a foglalás saját tulajdonba vételéhez válasszon ki egy vagy több foglalást, majd válassza a Hozzáférés megadása lehetőséget, végül a Hozzáférés megadása elemet a megjelenő ablakban. Egy Microsoft Ügyfélszerződés esetén a felhasználónak ugyanabban a Microsoft Entra-bérlőben (könyvtárban) kell lennie, mint a foglalás.
Számlázási rendszergazdák hozzáadása
Adjon hozzá egy felhasználót számlázási adminisztrátorként egy Nagyvállalati Szerződéshez vagy egy Microsoft Ügyfélszerződéshez az Azure Portalon.
- Nagyvállalati Szerződés esetén vegye fel a felhasználókat vállalati rendszergazda szerepkörbe az összes foglalási rendelés megtekintéséhez és kezeléséhez, amelyekre a Nagyvállalati Szerződés vonatkozik. A vállalati rendszergazdák megtekinthetik és kezelhetik a foglalásokat a Cost Management + Billing szolgáltatásban.
- A vállalati rendszergazdai (csak olvasási) szerepkörrel rendelkező felhasználók csak a Cost Management + Billing szolgáltatásból tekinthetik meg a foglalást.
- A részleg rendszergazdái és a fióktulajdonosai nem tekinthetik meg a foglalásokat kivéve, ha kifejezetten a hozzáférés-vezérlés (IAM) használatával lettek hozzáadva. További információért lásd: Az Azure Enterprise szerepköreinek kezelése.
- Microsoft Ügyfélszerződés esetén a számlázási profil tulajdonosi szerepkörével vagy a számlázási profil közreműködői szerepkörrel rendelkező felhasználók a számlázási profillal végzett összes foglalásvásárlást kezelhetik. A számlázási profil olvasói és a számlakezelők a számlázási profillal kifizetett összes foglalást megtekinthetik. A foglalásokat azonban nem módosíthatják. További információkért lásd a számlázási profil szerepköreit és azok feladatait ismertető cikket.
Foglalások megtekintése Azure RBAC-hozzáféréssel
Ha megvásárolta a foglalást, vagy hozzá van adva egy foglaláshoz, az alábbi lépésekkel tekintheti meg és kezelheti a foglalásokat az Azure Portalon.
- Jelentkezzen be az Azure Portalra.
- Az Összes szolgáltatásfoglalás> lehetőséget választva listázhatja azokat a foglalásokat, amelyekhez hozzáféréssel rendelkezik.
Előfizetések és felügyeleti csoportok kezelése emelt jogosultságú hozzáféréssel
Emelheti egy felhasználó hozzáférési jogosultságszintjét az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.
A hozzáférés emelése után:
- A Minden szolgáltatás>foglalása elemre lépve megtekintheti a bérlőben lévő összes foglalást.
- Ha módosítani szeretné a foglalást, vegye fel magát a foglalási rendelés tulajdonosaként a Hozzáférés-vezérlés (IAM) használatával.
Hozzáférés biztosítása az egyes foglalásokhoz
Azok a felhasználók, akik tulajdonosi hozzáféréssel rendelkeznek a foglalásokhoz és a számlázási rendszergazdákhoz, az Azure Portalon delegálhatják az egyéni foglalási rendelések hozzáférés-kezelését.
Két lehetősége van, ha más személyeknek is engedélyezni szeretné a foglalások kezelését:
Az egyes foglalási rendelések hozzáférés-kezelésének delegálásához rendelje hozzá a tulajdonosi szerepkört egy felhasználóhoz a foglalási rendelés erőforrás-hatókörében. Ha korlátozott hozzáférést szeretne biztosítani, válasszon egy másik szerepkört.
A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.Adjon hozzá egy felhasználót számlázási rendszergazdaként egy Nagyvállalati Szerződéshez vagy egy Microsoft Ügyfélszerződéshez:
Nagyvállalati Szerződés esetén vegye fel a felhasználókat vállalati rendszergazda szerepkörbe az összes foglalási rendelés megtekintéséhez és kezeléséhez, amelyekre a Nagyvállalati Szerződés vonatkozik. A Vállalati rendszergazda (csak olvasási) szerepkörrel rendelkező felhasználók csak megtekinthetik a foglalásokat. A részleg rendszergazdái és a fióktulajdonosai nem tekinthetik meg a foglalásokat kivéve, ha kifejezetten a hozzáférés-vezérlés (IAM) használatával lettek hozzáadva. További információért lásd: Az Azure Enterprise szerepköreinek kezelése.
A vállalati rendszergazdák tulajdonukba vehetik a foglalási rendeléseket, és a hozzáférés-vezérlés (IAM) használatával más felhasználókat is hozzáadhatnak a foglalásokhoz.
Microsoft Ügyfélszerződés esetén a számlázási profil tulajdonosi szerepkörével vagy a számlázási profil közreműködői szerepkörrel rendelkező felhasználók a számlázási profillal végzett összes foglalásvásárlást kezelhetik. A számlázási profil olvasói és a számlakezelők a számlázási profillal kifizetett összes foglalást megtekinthetik. A foglalásokat azonban nem módosíthatják. További információkért lásd a számlázási profil szerepköreit és azok feladatait ismertető cikket.
Hozzáférés biztosítása a PowerShell-lel
Azok a felhasználók, akik tulajdonosi hozzáféréssel rendelkeznek a foglalási rendelésekhez, a rendszergazdai hozzáféréssel rendelkező felhasználók és a felhasználói hozzáférés-rendszergazdák minden olyan foglalási rendeléshez delegálhatnak hozzáférés-kezelést, amelyhez hozzáféréssel rendelkeznek.
A PowerShell használatával biztosított hozzáférés nem jelenik meg az Azure Portalon. Ehelyett a get-AzRoleAssignment
következő szakaszban található paranccsal tekintheti meg a hozzárendelt szerepköröket.
A tulajdonosi szerepkör hozzárendelése mindegyik foglaláshoz
Az alábbi Azure PowerShell-szkripttel hozzáférést adhat a felhasználónak az Azure RBAC-nek a Microsoft Entra-bérlőben (címtárban) található összes foglalási rendeléshez.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Ha a PowerShell-szkripttel rendeli hozzá a tulajdonosi szerepkört, és az sikeresen fut, a rendszer nem ad vissza sikeres üzenetet.
Paraméterek
-ObjectId Microsoft Entra ObjectId a felhasználó, csoport vagy szolgáltatásnév.
- Típus: Sztring
- Aliasok: Id, PrincipalId
- Pozíció: Névvel elnevezve
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Igaz
- Helyettesítő karakterek elfogadása: Hamis
-TenantId Tenant unique identifier.
- Típus: Sztring
- Pozíció: 5
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Hamis
- Helyettesítő karakterek elfogadása: Hamis
Bérlőszintű hozzáférés
A felhasználói hozzáférést kezelő rendszergazdai jogosultságok szükségesek ahhoz, hogy bérlői szinten biztosítson felhasználók vagy csoportok számára Reservations-rendszergazda és Reservations-olvasó szerepköröket. A felhasználói hozzáférést kezelő rendszergazdai jogosultságok bérlői szinten történő igényléséhez kövesse a Hozzáférés szintjének emelése oldal lépéseit.
Foglalási rendszergazdai vagy foglalásolvasói szerepkör hozzáadása bérlői szinten
Ezeket a szerepköröket csak globális rendszergazdák rendelhetik hozzá az Azure Portalról.
- Jelentkezzen be az Azure Portalra, és lépjen a Foglalások területre.
- Válasszon ki egy foglalást, amelyhez van hozzáférése.
- Válassza a lap tetején található Szerepkör-hozzárendelések elemet.
- Válassza a Szerepkörök lapot.
- A módosítások elvégzéséhez adjon hozzá egy felhasználót Reservations-rendszergazdaként vagy Reservations-olvasóként a hozzáférés-vezérlés használatával.
Foglalási rendszergazdai szerepkör hozzáadása bérlői szinten az Azure PowerShell-szkripttel
A következő Azure PowerShell-szkripttel adjon hozzá bérlői szintű foglalási rendszergazdai szerepkört a PowerShell-lel.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Paraméterek
-ObjectId Microsoft Entra ObjectId a felhasználó, csoport vagy szolgáltatásnév.
- Típus: Sztring
- Aliasok: Id, PrincipalId
- Pozíció: Névvel elnevezve
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Igaz
- Helyettesítő karakterek elfogadása: Hamis
-TenantId Tenant unique identifier.
- Típus: Sztring
- Pozíció: 5
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Hamis
- Helyettesítő karakterek elfogadása: Hamis
Foglalásolvasó szerepkör hozzárendelése bérlői szinten az Azure PowerShell-szkripttel
A következő Azure PowerShell-szkripttel rendelje hozzá a Bérlői szintű Foglalásolvasó szerepkört a PowerShellhez.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Paraméterek
-ObjectId Microsoft Entra ObjectId a felhasználó, csoport vagy szolgáltatásnév.
- Típus: Sztring
- Aliasok: Id, PrincipalId
- Pozíció: Névvel elnevezve
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Igaz
- Helyettesítő karakterek elfogadása: Hamis
-TenantId Tenant unique identifier.
- Típus: Sztring
- Pozíció: 5
- Alapértelmezett érték: Nincs
- Folyamatbemenet elfogadása: Hamis
- Helyettesítő karakterek elfogadása: Hamis