Az Azure-csomagban foglalt előfizetések és erőforrások kezelése
Megfelelő szerepkörök: Rendszergazdai ügynök
Ez a cikk azt ismerteti, hogy Felhőszolgáltató (CSP) partnerek hogyan használhatják a különböző szerepköralapú hozzáférés-vezérlési (RBAC) lehetőségeket az ügyfél Azure-erőforrásainak működési vezérléséhez és felügyeletéhez.
Amikor áttér egy ügyfélre az Azure-csomagra, az Azure-ban jogosultsággal rendelkező rendszergazdai jogosultságokkal rendelkezik – alapértelmezés szerint az előfizetés tulajdonosi jogosultságai az AOBO (Admin on Behalf of) (AOBO) szolgáltatáson keresztül.
Feljegyzés
Az Ügyfél eltávolíthatja az Azure-előfizetés rendszergazdai jogosultságát az előfizetés, az erőforráscsoport vagy a számítási feladat szintjén.
A partnerek a szerepköralapú hozzáférés-vezérlési funkcióval (RBAC) elérhető különböző lehetőségek használatával folyamatos üzemeltetési ellenőrzést és felügyeletet kaphatnak az ügyfél Azure-erőforrásainak CSP-ben való kezeléséről.
Rendszergazda a nevében – Az AOBO-val minden olyan felhasználó, aki rendszergazdai ügynöki szerepkörrel rendelkezik a partnerbérlében, RBAC-tulajdonosi hozzáféréssel rendelkezik a CSP programon keresztül létrehozott Azure-előfizetésekhez.
Azure Lighthouse: Az AOBO nem rendelkezik rugalmasan különböző csoportokkal, amelyek különböző ügyfelekkel dolgoznak, vagy különböző szerepköröket engedélyeznek csoportok vagy felhasználók számára. Az Azure Lighthouse használatával azonban különböző csoportokat rendelhet különböző ügyfelekhez vagy szerepkörökhöz. Mivel a felhasználók megfelelő szintű hozzáféréssel rendelkeznek az Azure delegált erőforrás-kezelésével, csökkentheti a rendszergazdai ügynöki szerepkörrel rendelkező felhasználók számát (és így teljes AOBO-hozzáféréssel rendelkezik). Ez segít a biztonság javításában azáltal, hogy korlátozza az ügyfelek erőforrásaihoz való szükségtelen hozzáférést. Emellett rugalmasabban kezelhet nagy számú ügyfelet is. További információ: Azure Lighthouse és a Felhőszolgáltató program.
Címtár- vagy vendégfelhasználók vagy szolgáltatásnevek: Részletes hozzáférést delegálhat a CSP-előfizetésekhez úgy, hogy felhasználókat ad hozzá az ügyfélkönyvtárban, vagy vendégfelhasználókat ad hozzá, és meghatározott RBAC-szerepköröket rendel hozzá.
Biztonsági gyakorlatként a Microsoft azt javasolja a felhasználóknak, hogy rendeljék hozzá a munkájukhoz szükséges minimális engedélyeket. További információ: Microsoft Entra Privileged Identity Management-erőforrások.
A partnerazonosító csatolása a hitelesítő adatokhoz az ügyfél Azure-erőforrásainak kezeléséhez
Az alábbi táblázat a PartnerID (korábbi nevén MPN-azonosító) különböző RBAC-hozzáférési lehetőségekhez való társításához használt módszereket mutatja be.
| Kategória | Forgatókönyv | PartnerID társítás |
|---|---|---|
| AOBO | A közvetlen CSP-partner vagy közvetett szolgáltató létrehozza az előfizetést az ügyfél számára, így a közvetlen CSP-partner vagy a közvetett szolgáltató lesz az előfizetés alapértelmezett tulajdonosa az AOBO használatával. A közvetlen CSP-partner vagy közvetett szolgáltató közvetett viszonteladói hozzáférést biztosít az előfizetéshez az AOBO használatával. | Automatikus (nincs szükség partnermunkára) |
| Azure Lighthouse | A partner létrehoz egy új felügyeltszolgáltatás-ajánlatot a Marketplace-en. Az ajánlatot a CSP-előfizetés fogadja el, és a partner hozzáfér a CSP-előfizetéshez. | Automatikus (nincs szükség partnermunkára) |
| Azure Lighthouse | A partner üzembe helyez egy Azure Resource Manager-sablont (ARM) az Azure-előfizetésben | A partnernek társítania kell a partnerazonosítót a partnerbérlében lévő felhasználóval vagy szolgáltatásnévvel. További információ: A partnerazonosító összekapcsolása a delegált erőforrásokra gyakorolt hatás nyomon követéséhez. |
| Címtár vagy vendégfelhasználó | A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban, és hozzáférést biztosít a felhasználónak a CSP-előfizetéshez. A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban. A partner hozzáadja a felhasználót egy csoporthoz, és hozzáférést biztosít a csoporthoz tartozó CSP-előfizetéshez. | A partnernek társítania kell a partnerazonosítót az ügyfélbérlében lévő felhasználóval vagy szolgáltatásnévvel. További információ: PartnerID csatolása az ügyfelek kezeléséhez használt fiókjához. |
Ellenőrizze, hogy rendelkezik-e rendszergazdai hozzáféréssel
Rendszergazdai hozzáféréssel kell rendelkeznie az ügyfél szolgáltatásainak kezeléséhez és a megszerzett kreditek fogadásához. A megtermelt kreditekről további információt a Partner által szerzett kreditek című témakörben talál.
Annak megállapításához, hogy rendelkezik-e rendszergazdai hozzáféréssel, kövesse az alábbi lépéseket:
- Tekintse át a napi használati fájlt: Tekintse át az egységárat és a tényleges egységárat a napi használati fájlban, és ellenőrizze, hogy alkalmaz-e kedvezményt. Ha megkapja a kedvezményt, ön a rendszergazda.
Azure Monitor-riasztás létrehozása
Létrehozhat egy tevékenységnaplót az Azure Monitor-riasztásról , amely értesítést küld, ha az RBAC-hozzáférése el lett távolítva egy CSP-előfizetésből.
Azure Monitor-riasztás létrehozásához kövesse az alábbi lépéseket:
-
Válassza ki a riasztás által végrehajtandó művelet típusát.
Ha például megadja, hogy e-mailt szeretne küldeni, e-mailt kap, amely értesíti, ha a szerepkör-hozzárendelés törlése történik.
AOBO eltávolítása
Az ügyfelek az Azure Portal hozzáférés-vezérlésére kattintva kezelhetik az előfizetéseikhez való hozzáférést. A Szerepkör-hozzárendelések lapon kiválaszthatják a Hozzáférés eltávolítása lehetőséget.
Ha egy ügyfél eltávolítja a hozzáférést, az alábbiakat teheti:
Beszéljen az ügyféllel, és ellenőrizze, hogy visszaállítható-e a rendszergazdai hozzáférés.
Használja a szerepköralapú hozzáférés-vezérléssel (RBAC) biztosított hozzáférést.
Használja az Azure Lighthouse-on keresztül biztosított hozzáférést.
A szerepköralapú hozzáférés eltér a rendszergazdai hozzáféréstől. A szerepkörök pontosan elhatárolják, hogy mit tehet és mit nem. A rendszergazdai hozzáférés szélesebb körű.
A partneri jóváírás (PEC) megszerzésére jogosult szerepkörök megtekintéséhez tekintse meg a partneri jóváírás szerepköreit és engedélyeit.
Azure-csomag felfüggesztése és újraaktiválása
A partnerek közvetlenül a Partnerközpontban felfüggeszthetik vagy újraaktiválhatják az Azure-csomagot az Azure-csomag részleteinek oldaláról.
- A Partnerközpont Ügyfelek területén válassza ki az ügyfélfiókot
- Navigálás az ügyfél Azure-előfizetéseihez
- Az Azure-csomag kiválasztása
- Válassza ki az Állapot: Felfüggesztve , majd a Küldés lehetőséget az Azure-csomag felfüggesztéséhez.
- Válassza ki az Állapot: Aktív , majd küldés lehetőséget az Azure-csomag újraaktiválásához.
Egy meglévő Azure-csomagot csak akkor függeszthet fel, ha már nincs hozzá társítva aktív használati eszköz, beleértve az Azure-használati előfizetéseket és az Azure-foglalásokat.
A partnerek csak egy Azure-csomagot vásárolhatnak adott viszonteladónként és ügyfélkombinációnként. Ha egy viszonteladó ügyfele felfüggesztett csomaggal rendelkezik, az ügyfél nem vásárolhat új csomagot. A lemondás nem érhető el az Azure-csomaghoz.
Az Azure-csomagok API-kkal való felfüggesztésével kapcsolatban lásd : Előfizetés felfüggesztése – Partneralkalmazás-fejlesztő.
Az Azure-csomagok API-val történő újraaktiválásával kapcsolatban lásd : Felfüggesztett előfizetés újraaktiválása – Partneralkalmazás-fejlesztő.
Azure-előfizetés megszüntetése
Abban az esetben, ha az ügyfél Azure-csomag-előfizetései sérültek, a partnerek lemondhatják az Azure-előfizetéseket a Partnerközpontból. Ez a funkció csak rendszergazdai ügynöki szerepkörrel rendelkező globális rendszergazdák számára érhető el. Megvalósítás:
- Válassza ki az ügyfelet az ügyféllistából
- Navigálás az ügyfél Azure-előfizetéseihez
- Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
- Az Azure-csomag részletei lapon válassza ki a lemondani kívánt Azure-előfizetéseket
- A módosítások elküldése az Előfizetés lemondása lehetőséget választva
Ez csak a kiválasztott Azure-előfizetéseket szünteti meg. Az Azure-előfizetéshez hozzáféréssel rendelkező ügyfelek újraaktiválhatják az előfizetést, ha az Azure-csomag még aktív. A probléma elhárításához a partnereknek le kell mondaniuk az összes Azure-előfizetést, majd magát az Azure-csomagot.
A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést mondhatnak le. A partnerek lemondhatják az Azure-csomagot, ha nincsenek aktív Azure-előfizetések alatta. Ez lehetővé teszi a partnerek számára, hogy leállítsanak olyan Azure-csomagokat és előfizetéseket, amelyek esetleg veszélybe kerülhettek, még akkor is, ha egy rossz szereplő eltávolította az RBAC-engedélyeiket.
A partnerek lemondhatják az Azure-előfizetéseket a Partnerközpont portálján vagy az API-val. Az API-részletekért lásd : Azure-előfizetés lemondása és kipróbálás: Azure-kiadások – Azure-jogosultság lemondása – REST API.
További információ az Azure-előfizetések lemondásáról: Mi történik az előfizetés lemondása után?
Azure-előfizetés újraaktiválása
A partnerek az Inaktív Azure-előfizetések lapon újraaktiválhatják azokat az Azure-előfizetéseket, amelyeket az ügyfelek biztonsága miatt töröltek az Azure-csomag részleteinek lapján. Ez a funkció csak rendszergazdai ügynöki szerepkörrel rendelkező globális rendszergazdák számára érhető el. Megvalósítás:
- Válassza ki az ügyfelet az ügyféllistából
- Navigálás az ügyfél Azure-előfizetéseihez
- Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
- Az Azure-csomag részleteinek lapján, az Azure-előfizetés szakaszában válassza az Inaktív lapot
- Válassza ki az újraaktiválandó Azure-előfizetést
- A módosítások elküldése az előfizetés újraaktiválásával
Ez csak a kiválasztott Azure-előfizetéseket aktiválja újra. A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést aktiválhatnak újra. A társított Azure-csomagnak aktívnak kell lennie az Azure-előfizetések újraaktiválásához. A partnerek újraaktiválhatják az Azure-csomagokat közvetlenül a Partnerközpontban, ha az Azure-csomag részletei oldalra lépnek, és az Azure-csomag állapotát újra aktívra frissítik.
Ha az Azure-előfizetést az ügyfél vagy a számlázási tulajdonos megszakította az Azure Portalon, az ügyféllel vagy a számlázási tulajdonossal kapcsolatba kell lépnie, hogy újraaktiválja az előfizetést az Azure Portalról.
Az API-val történő újraaktiválásról lásd : Azure-előfizetés újraaktiválása – Partneralkalmazás-fejlesztő. A kipróbálásához tekintse meg az Azure-kiadások – Azure-jogosultság újraaktiválása című témakört.
Az Azure-előfizetések újraaktiválásáról további információt az Azure dokumentációjában talál.
Kapcsolódó tartalom
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: