Memberikan akses untuk membuat langganan Azure Enterprise (warisan)
Sebagai pelanggan Azure dengan Perjanjian Enterprise (EA), Anda dapat memberikan izin kepada pengguna atau perwakilan layanan lain untuk membuat langganan yang ditagihkan ke akun Anda. Dalam artikel ini, Anda mempelajari cara menggunakan kontrol akses berbasis peran Azure (RBAC Azure) untuk berbagi kemampuan membuat langganan, dan cara mengaudit pembuatan langganan. Anda harus memiliki peran Pemilik pada akun yang ingin dibagikan.
Catatan
- API ini hanya berfungsi dengan API warisan untuk pembuatan langganan.
- Kecuali Anda memiliki kebutuhan khusus untuk menggunakan API lama, Anda harus menggunakan informasi untuk versi GA terbaru tentang versi API terbaru. Lihat Penugasan Peran Akun Pendaftaran - Diletakkan untuk memberikan izin untuk membuat langganan EA dengan API terbaru.
- Jika Anda bermigrasi untuk menggunakan API yang lebih baru, Anda harus memberikan izin pemilik lagi menggunakan 01-10-2019-preview. Konfigurasi Anda sebelumnya yang menggunakan API berikut tidak otomatis dikonversi untuk digunakan dengan API yang lebih baru.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Memberikan akses
Untuk membuat langganan di akun pendaftaran, pengguna harus memiliki peran Pemilik RBAC Azure di akun tersebut. Anda dapat memberikan peran pemilik RBAC Azure kepada pengguna atau grup pengguna pada akun pendaftaran dengan mengikuti langkah-langkah berikut:
Mendapatkan ID objek dari akun pendaftaran yang ingin Anda beri akses
Untuk memberi orang lain peran Pemilik RBAC Azure pada akun pendaftaran, Anda harus menjadi Pemilik Akun atau Pemilik RBAC Azure akun tersebut.
Minta untuk mencantumkan semua akun pendaftaran yang dapat Anda akses:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
Azure merespons dengan daftar semua akun pendaftaran yang dapat Anda akses:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }
Gunakan properti
principalName
untuk mengidentifikasi akun yang ingin Anda beri akses ke Pemilik RBAC Azure. Salinname
akun itu. Misalnya, jika Anda ingin memberikan akses Pemilik RBAC Azure ke akun pendaftaran SignUpEngineering@contoso.com, Anda harus menyalin747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. Ini adalah ID objek dari akun pendaftaran. Tempelkan nilai ini di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagaienrollmentAccountObjectId
.Gunakan properti
principalName
untuk mengidentifikasi akun yang ingin Anda beri akses ke Pemilik RBAC Azure. Salinname
akun itu. Misalnya, jika Anda ingin memberikan akses Pemilik RBAC Azure ke akun pendaftaran SignUpEngineering@contoso.com, Anda harus menyalin747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. Ini adalah ID objek dari akun pendaftaran. Tempelkan nilai ini di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagaienrollmentAccountObjectId
.Dapatkan ID objek dari pengguna atau grup yang ingin Anda beri peran Pemilik RBAC Azure
- Di portal Azure, cari di ID Microsoft Entra.
- Jika Anda ingin memberikan akses kepada pengguna, pilih Pengguna di menu di sebelah kiri. Untuk memberikan akses ke grup, pilih Grup.
- Pilih Pengguna atau Grup yang ingin Anda beri peran Pemilik RBAC Azure.
- Jika memilih Pengguna, Anda akan menemukan ID objek di halaman Profil. Jika memilih Grup, ID objek akan berada di halaman Gambaran Umum. Salin ObjectID dengan memilih ikon di sebelah kanan kotak teks. Tempelkan di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagai
userObjectId
.
Memberikan peran Pemilik RBAC Azure kepada pengguna atau grup di akun pendaftaran
Dengan menggunakan nilai yang Anda kumpulkan dalam dua langkah pertama, berikan peran Pemilik RBAC Azure kepada pengguna atau grup di akun pendaftaran.
Jalankan perintah berikut, ganti
<enrollmentAccountObjectId>
denganname
yang Anda salin di langkah pertama (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
). Ganti<userObjectId>
dengan ID objek yang Anda salin dari langkah kedua.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }
Ketika peran Pemilik berhasil ditetapkan pada cakupan akun pendaftaran, Azure merespons dengan informasi penetapan peran:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Mengaudit orang yang membuat langganan menggunakan log aktivitas
Untuk melacak langganan yang dibuat melalui API ini, gunakan API Log Aktivitas Penyewa. Saat ini tidak mungkin menggunakan portal Azure, PowerShell, atau CLI untuk melacak pembuatan langganan.
Sebagai admin penyewa penyewa Microsoft Entra, tingkatkan akses lalu tetapkan peran Pembaca ke pengguna audit melalui cakupan
/providers/microsoft.insights/eventtypes/management
. Akses ini tersedia dalam peran Pembaca, peran Kontributor pemantauan, atau peran kustom.Sebagai pengguna yang mengaudit, panggil API Log Aktivitas Penyewa untuk melihat aktivitas pembuatan langganan. Contoh:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Untuk memanggil API ini dengan mudah dari baris perintah, coba ARMClient.
Langkah berikutnya
- Sekarang setelah pengguna atau perwakilan layanan memiliki izin untuk membuat langganan, Anda dapat menggunakan identitas tersebut untuk membuat langganan Azure Enterprise secara terprogram.
- Untuk contoh tentang membuat langganan menggunakan .NET, lihat sampel kode di GitHub.
- Untuk mempelajari selengkapnya tentang Azure Resource Manager dan API-nya, lihat Gambaran umum Azure Resource Manager.
- Untuk mempelajari selengkapnya tentang mengelola langganan dalam jumlah besar menggunakan grup manajemen, lihat Mengelola sumber daya Anda dengan grup manajemen Azure
- Untuk melihat panduan praktik terbaik yang komprehensif untuk organisasi besar tentang tata kelola langganan, lihat Perancah perusahaan Azure - tata kelola langganan preskriptif