Az Azure megtakarítási tervek megtekintéséhez és kezeléséhez szükséges engedélyek

  • Cikk

Ez a cikk bemutatja, hogyan működnek a megtakarítási csomagok engedélyei, és hogyan tekinthetik meg és kezelhetik a felhasználók az Azure-beli megtakarítási csomagokat az Azure Portalon.

Alapértelmezés szerint ki kezelheti a megtakarítási tervet?

Két különböző engedélyezési módszer szabályozza, hogy a felhasználó megtekintheti, kezelheti és delegálhatja az engedélyeket a megtakarítási csomagokhoz. Ezek számlázási rendszergazdai szerepkörök és megtakarítási terv szerepköralapú hozzáférés-vezérlési (RBAC- ) szerepkörök.

Számlázási rendszergazdai szerepkörök

A megtakarítási csomagokhoz tartozó engedélyeket a beépített számlázási rendszergazdai szerepkörök használatával tekintheti meg, kezelheti és delegálhatja. A Microsoft Ügyfélszerződés és Nagyvállalati Szerződés számlázási szerepkörökről további információt az Azure Microsoft Ügyfélszerződés felügyeleti szerepköreinek ismertetése és az Azure kezelése című témakörben talál. Nagyvállalati Szerződés szerepköröket.

A megtakarítási terv műveleteihez szükséges számlázási rendszergazdai szerepkörök

  • Megtakarítási csomagok megtekintése:
    • Microsoft Ügyfélszerződés: A számlázási profil olvasójával vagy annál magasabb felhasználói
    • Nagyvállalati Szerződés: Vállalati rendszergazdai jogosultsággal rendelkező felhasználók (csak olvashatók) vagy magasabb szintűek
    • Microsoft Partnerszerződés: Nem támogatott
  • Megtakarítási tervek kezelése (a teljes számlázási profil/regisztráció engedélyeinek delegálásával érhető el):
    • Microsoft Ügyfélszerződés: A számlázási profil közreműködője vagy annál magasabb felhasználói
    • Nagyvállalati Szerződés: Nagyvállalati Szerződés rendszergazdával vagy annál magasabb szintű felhasználók
    • Microsoft Partnerszerződés: Nem támogatott
  • Megtakarítási terv engedélyeinek delegálása:
    • Microsoft Ügyfélszerződés: A számlázási profil közreműködője vagy annál magasabb felhasználói
    • Nagyvállalati Szerződés: A Nagyvállalati Szerződés vásárlóval vagy annál nagyobb felhasználóval rendelkező felhasználók
    • Microsoft Partnerszerződés: Nem támogatott

Megtakarítási csomagok megtekintése és kezelése számlázási rendszergazdaként

Ha Ön számlázási szerepkör-felhasználó, kövesse ezeket a lépéseket az összes megtakarítási csomag és megtakarítási csomag tranzakciójának megtekintéséhez és kezeléséhez az Azure Portalon.

  1. Jelentkezzen be az Azure Portalra, és nyissa meg a Cost Management + Számlázás lehetőséget.
    • Ha Nagyvállalati Szerződés fiókja van, a bal oldali menüben válassza a Számlázási hatókörök lehetőséget. Ezután a számlázási hatókörök listájában válasszon egyet.
    • Ha Microsoft Ügyfélszerződés fiókja van, a bal oldali menüben válassza a Számlázási profilok lehetőséget. Válasszon ki egy számlázási profilt a listából.
  2. A bal oldali menüben válassza a Termékek + szolgáltatások>Megtakarítási csomagok lehetőséget. Megjelenik a Nagyvállalati Szerződés regisztrációhoz vagy Microsoft Ügyfélszerződés számlázási profilhoz tartozó megtakarítási csomagok teljes listája.
  3. A számlázási szerepkör felhasználói a megtakarítási csomag megrendelésével birtokba vehetik a megtakarítási csomag tulajdonjogát – A REST API emelése Azure RBAC-szerepkörökhöz.

Számlázási rendszergazdák hozzáadása

Adjon hozzá egy felhasználót számlázási rendszergazdaként egy Nagyvállalati Szerződés vagy egy Microsoft Ügyfélszerződés az Azure Portalon.

  • Nagyvállalati Szerződés: A vállalati rendszergazdai szerepkörrel rendelkező felhasználók hozzáadása a Nagyvállalati Szerződés vonatkozó összes megtakarítási tervrendelés megtekintéséhez és kezeléséhez. A vállalati rendszergazdák a Költségkezelés + Számlázás lapon tekinthetik meg és kezelhetik a megtakarítási terveket.
    • A vállalati rendszergazdai (írásvédett) szerepkörrel rendelkező felhasználók csak a Cost Management + Számlázás szolgáltatásból tekinthetik meg a megtakarítási csomagot.
    • A részleggazdák és a fióktulajdonosok csak akkor tekinthetik meg a megtakarítási csomagokat, ha explicit módon hozzáadják őket a hozzáférés-vezérlés (IAM) használatával. További információ: Azure Enterprise-szerepkörök kezelése.
  • Microsoft Ügyfélszerződés: A számlázási profil tulajdonosi vagy a számlázási profil közreműködői szerepkörrel rendelkező felhasználók a számlázási profil használatával kezelhetik a megtakarítási csomagok vásárlásait.
    • A számlázási profil olvasói és a számlakezelők a számlázási profillal kifizetett összes megtakarítási tervet megtekinthetik. A megtakarítási terveket azonban nem módosíthatják. További információkért lásd a számlázási profil szerepköreit és azok feladatait ismertető cikket.

Megtakarítási terv RBAC-szerepkörei

A megtakarítási terv életciklusa független egy Azure-előfizetésétől. A megtakarítási tervek nem örökölnek engedélyeket a vásárlást követő előfizetésekből. A megtakarítási csomagok bérlőszintű erőforrások, saját Azure RBAC-engedélyekkel.

Áttekintés

Négy megtakarítási terv-specifikus RBAC-szerepkör van:

  • Megtakarítási terv rendszergazdája: Lehetővé teszi egy vagy több megtakarítási csomag kezelését egy bérlőben, és RBAC-szerepkörök delegálását más felhasználókra.
  • Megtakarítási csomag beszerzője: Lehetővé teszi a megtakarítási csomagok vásárlását egy megadott előfizetéssel.
    • Lehetővé teszi a megtakarítási csomagok vásárlását vagy foglalását a nembillingáló rendszergazdák és a nem jogosultsági tulajdonosok számára.
    • A megtakarítási csomagok nembilling-rendszergazdák általi vásárlását engedélyezni kell. További információ: Azure-megtakarítási csomag vásárlásának engedélyei.
  • Megtakarítási csomag közreműködője: Lehetővé teszi egy vagy több megtakarítási csomag kezelését egy bérlőben, de nem delegálja az RBAC-szerepköröket más felhasználókra.
  • Megtakarítási csomag olvasója: Lehetővé teszi egy bérlő egy vagy több megtakarítási csomagja írásvédett elérését.

Ezek a szerepkörök egy adott erőforrás-entitásra (például előfizetésre vagy megtakarítási csomagra) vagy a Microsoft Entra-bérlőre (címtárra) terjedhetnek ki. További információ az Azure RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.

A megtakarítási terv RBAC-szerepkörei a megtakarítási terv műveleteihez szükségesek

  • Megtakarítási csomagok megtekintése:
    • Bérlő hatóköre: A megtakarítási csomag olvasójával vagy annál magasabb szintű felhasználók.
    • Megtakarítási terv hatóköre: Beépített olvasó vagy újabb.
  • Megtakarítási tervek kezelése:
    • Bérlő hatóköre: A megtakarítási csomag közreműködője vagy annál magasabb szintű felhasználók.
    • Megtakarítási terv hatóköre: Beépített közreműködői vagy tulajdonosi szerepkörök, illetve megtakarítási csomag közreműködője vagy annál magasabb.
  • Megtakarítási terv engedélyeinek delegálása:
    • Bérlő hatóköre: A felhasználói hozzáférés rendszergazdai jogosultságai szükségesek ahhoz, hogy RBAC-szerepköröket biztosítson a bérlő összes megtakarítási csomagjához. A jogosultságok megszerzéséhez kövesse a hozzáférési lépések emelési lépéseit.
    • Megtakarítási csomag hatóköre: Megtakarítási csomag rendszergazdája vagy felhasználói hozzáférési rendszergazda.

Emellett azok a felhasználók is megtekinthetik, kezelhetik és delegálhatják a megvásárolt megtakarítási csomaghoz tartozó engedélyeket, akik az előfizetés megvásárlásakor az előfizetés tulajdonosi szerepkörrel rendelkeztek.

Megtakarítási csomagok megtekintése RBAC-hozzáféréssel

Ha megtakarítási csomagspecifikus RBAC-szerepkörök (megtakarítási csomag rendszergazdája, beszerzője, közreműködője vagy olvasója), megvásárolt megtakarítási tervek, vagy tulajdonosként lettek hozzáadva a megtakarítási csomagokhoz, kövesse az alábbi lépéseket a megtakarítási tervek megtekintéséhez és kezeléséhez az Azure Portalon.

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Lakástakarék-csomagok> lehetőséget azoknak a megtakarítási csomagoknak a listájához, amelyekhez hozzáféréssel rendelkezik.

RBAC-szerepkörök hozzáadása felhasználókhoz és csoportokhoz

A megtakarítási terv RBAC-szerepköreinek delegálásáról további információt a megtakarítási terv RBAC-szerepköreinek delegálása című témakörben talál.

A vállalati rendszergazdák átvehetik a megtakarítási csomag megrendelésének tulajdonjogát. Más felhasználókat is felvehetnek a megtakarítási csomagba a Hozzáférés-vezérlés (IAM).

Hozzáférés biztosítása a PowerShell-lel

Azok a felhasználók, akik tulajdonosi hozzáféréssel rendelkeznek a megtakarítási csomag megrendeléséhez, a megemelt hozzáféréssel rendelkező felhasználókhoz és a felhasználói hozzáférés-rendszergazdákhoz , delegálhatják a hozzáférés-kezelést az összes olyan megtakarítási csomagrendeléshez, amelyhez hozzáférésük van.

A PowerShell használatával biztosított hozzáférés nem jelenik meg az Azure Portalon. Ehelyett a get-AzRoleAssignment következő szakaszban található paranccsal tekintheti meg a hozzárendelt szerepköröket.

Tulajdonosi szerepkör hozzárendelése az összes megtakarítási csomaghoz

Ha hozzáférést szeretne adni egy felhasználónak az Azure RBAC-nek a Microsoft Entra-bérlőben (címtárban) található összes megtakarítási csomag megrendeléséhez, használja a következő Azure PowerShell-szkriptet:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Ha a PowerShell-szkripttel rendeli hozzá a tulajdonosi szerepkört, és az sikeresen fut, a rendszer nem ad vissza sikeres üzenetet.

Paraméterek

  • ObjectId: A felhasználó, csoport vagy szolgáltatásnév Microsoft Entra objektumazonosítója

    • Típus: Sztring
    • Aliasok: Id, PrincipalId
    • Pozíció: Névvel elnevezve
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Igaz
    • Helyettesítő karakterek elfogadása: Hamis

  • TenantId: Bérlő egyedi azonosítója

    • Típus: Sztring
    • Pozíció: 5
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Hamis
    • Helyettesítő karakterek elfogadása: Hamis

Megtakarítási csomag rendszergazdai szerepkörének hozzáadása bérlői szinten az Azure PowerShell-szkript használatával

Ha bérlői szinten szeretne megtakarítási csomag-rendszergazdai szerepkört hozzáadni a PowerShell-lel, használja a következő Azure PowerShell-szkriptet:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Paraméterek

  • ObjectId: A felhasználó, csoport vagy szolgáltatásnév Microsoft Entra objektumazonosítója

    • Típus: Sztring
    • Aliasok: Id, PrincipalId
    • Pozíció: Névvel elnevezve
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Igaz
    • Helyettesítő karakterek elfogadása: Hamis

  • TenantId: Bérlő egyedi azonosítója

    • Típus: Sztring
    • Pozíció: 5
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Hamis
    • Helyettesítő karakterek elfogadása: Hamis

Megtakarítási csomag közreműködői szerepkör hozzárendelése bérlői szinten az Azure PowerShell-szkript használatával

Ha bérlői szinten szeretné hozzárendelni a megtakarítási csomag közreműködői szerepkörét a PowerShell-lel, használja a következő Azure PowerShell-szkriptet:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Paraméterek

  • ObjectId: A felhasználó, csoport vagy szolgáltatásnév Microsoft Entra objektumazonosítója

    • Típus: Sztring
    • Aliasok: Id, PrincipalId
    • Pozíció: Névvel elnevezve
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Igaz
    • Helyettesítő karakterek elfogadása: Hamis

  • TenantId: Bérlő egyedi azonosítója

    • Típus: Sztring
    • Pozíció: 5
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Hamis
    • Helyettesítő karakterek elfogadása: Hamis

Megtakarítási csomag olvasói szerepkör hozzárendelése bérlői szinten az Azure PowerShell-szkript használatával

Ha bérlői szinten szeretné hozzárendelni a megtakarítási csomag olvasói szerepkörét a PowerShell-lel, használja a következő Azure PowerShell-szkriptet:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Paraméterek

  • ObjectId: A felhasználó, csoport vagy szolgáltatásnév Microsoft Entra objektumazonosítója

    • Típus: Sztring
    • Aliasok: Id, PrincipalId
    • Pozíció: Névvel elnevezve
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Igaz
    • Helyettesítő karakterek elfogadása: Hamis

  • TenantId: Bérlő egyedi azonosítója

    • Típus: Sztring
    • Pozíció: 5
    • Alapértelmezett érték: Nincs
    • Folyamatbemenet elfogadása: Hamis
    • Helyettesítő karakterek elfogadása: Hamis

Következő lépések