Condividi tramite

Esportare i dati sui costi con una chiave SAS dell'account di archiviazione di Azure

  • Articolo

Le informazioni seguenti si applicano solo ai partner Microsoft.

Spesso, i partner non hanno sottoscrizioni di Azure proprie nel tenant associato al Contratto Microsoft Partner. I partner con un piano Contratto Microsoft Partner che sono amministratori globali dell'account di fatturazione possono esportare e copiare i dati sui costi in un account di archiviazione in un tenant diverso usando una chiave del servizio di firma di accesso condiviso (SAS). In altre parole, un account di archiviazione con una chiave SAS consente al partner di usare un account di archiviazione esterno al contratto del partner per ricevere le informazioni esportate. Questo articolo aiuta i partner a creare una chiave di firma di accesso condiviso e configurare le esportazioni di Gestione dei costi.

Requisiti

  • È necessario essere un partner con un Contratto Microsoft Partner. I clienti nel piano di Azure devono avere un Contratto del cliente Microsoft firmato.
    • L'esportazione basata su chiavi di firma di accesso condiviso non è supportata per i contratti Enterprise indiretti.
  • L'esportazione basata su chiavi di firma di accesso condiviso è disponibile per i partner che accedono al portale di Azure da un tenant partner. Tuttavia, l'opzione chiave di firma di accesso condiviso non è supportata se si usa Azure Lighthouse per la gestione dei clienti.
  • È necessario essere amministratore globale per l'account di fatturazione dell'organizzazione partner.
  • È necessario avere accesso per configurare un account di archiviazione che si trova in un tenant diverso dell'organizzazione partner. L'utente è responsabile della gestione delle autorizzazioni e dell'accesso ai dati durante l'esportazione dei dati nell'account di archiviazione.
  • Nell'account di archiviazione non deve configurato alcun firewall.
  • Per la configurazione dell'account di archiviazione è necessario impostare l'opzione Ambito consentito per le operazioni di copia (anteprima) su Da qualsiasi account di archiviazione.

Configurare Archiviazione di Azure con una chiave di firma di accesso condiviso

Ottenere un token di firma di accesso condiviso dell'account di archiviazione o crearne uno usando il portale di Azure. Per creare nel portale di Azure, seguire questa procedura. Per altre informazioni sulle chiavi di firma di accesso condiviso, vedere Concedere accesso limitato ai dati con firme di accesso condiviso.

  1. Passare all'account di archiviazione nel portale di Azure.
    • Se l'account ha accesso a più tenant, passare alle directory per accedere all'account di archiviazione. Selezionare l'account nell'angolo in alto a destra del portale di Azure e quindi selezionare Cambia directory.
    • Potrebbe essere necessario accedere al portale di Azure con l'account tenant corrispondente per accedere all'account di archiviazione.
  2. Nel menu di sinistra selezionare Firma di accesso condiviso.
    Screenshot showing a configured Azure storage shared access signature.
  3. Configurare il token con le stesse impostazioni identificate nell'immagine precedente.
    1. Selezionare BLOB per Servizi consentiti.
    2. Selezionare Servizio, Contenitoree Oggetto per Tipi di risorse consentiti.
    3. Selezionare Lettura, Scrittura, Eliminazione, Elenco, Aggiungere e Creare per Autorizzazioni consentite.
    4. Scegliere scadenza e date. Assicurarsi di aggiornare il token di firma di accesso condiviso di esportazione prima della scadenza. Più lungo è il periodo di tempo configurato prima della scadenza, maggiore sarà l'esecuzione dell'esportazione prima che sia necessario un nuovo token di firma di accesso condiviso.
  4. Selezionare solo HTTPS per Protocolli consentiti.
  5. Selezionare Basic per Livello di routing preferito.
  6. Selezionare key1 per Chiave di firma. Se si ruota o si aggiorna la chiave usata per firmare il token di firma di accesso condiviso, è necessario rigenerare un nuovo token di firma di accesso condiviso.
  7. Selezionare Genera firma di accesso condiviso e stringa di connessione. Il valore del token di firma di accesso condiviso visualizzato è il token necessario quando si configurano le esportazioni.

Creare una nuova esportazione con un token di firma di accesso condiviso

Passare a Esportazioni nell'ambito dell'account di fatturazione e creare una nuova esportazione seguendo questa procedura.

  1. Seleziona Crea.
  2. Configurare i dettagli di esportazione come si farebbe per un'esportazione normale. È possibile configurare l'esportazione in modo da usare una directory o un contenitore esistente oppure specificarne dei nuovi. Il processo di esportazione li crea automaticamente.
  3. Quando si configura Archiviazione, selezionare Usare un token di firma di accesso condiviso.
    Screenshot showing the New export where you select SAS token.
  4. Immettere il nome dell'account di archiviazione e incollare il token di firma di accesso condiviso.
  5. Specificare un contenitore o una directory esistente o identificare quelli nuovi da creare.
  6. Seleziona Crea.

L'esportazione basata su token di firma di accesso condiviso funziona solo mentre il token rimane valido. Reimpostare il token prima della scadenza corrente o l'esportazione smette di funzionare. Poiché il token fornisce l'accesso all'account di archiviazione, proteggere il token con attenzione come qualsiasi altra informazione sensibile. L'utente è responsabile della gestione delle autorizzazioni e dell'accesso ai dati durante l'esportazione dei dati nell'account di archiviazione.

Risolvere i problemi relativi alle esportazioni con token di firma di accesso condiviso

Sotto sono riportati i problemi comuni che possono verificarsi quando si configurano o si usano le esportazioni basate su token SAS.

  • L'opzione della chiave SAS non viene visualizzata nel portale di Azure.

    • Verificare di essere un partner con un Contratto Microsoft Partner e di disporre dell'autorizzazione di amministratore globale per l'account di fatturazione. Sono gli unici utenti che possono effettuare l'esportazione con una chiave SAS.

  • Quando si tenta di configurare l'esportazione, viene visualizzato il messaggio di errore seguente:

    Verificare che il token SAS sia valido per il servizio BLOB, per i tipi di risorsa contenitore e oggetto e abbia autorizzazioni di aggiunta, creazione, lettura, scrittura ed eliminazione. (Codice errore del servizio di archiviazione: AuthorizationResourceTypeMismatch)

    • Assicurarsi di configurare e generare correttamente la chiave SAS in Archiviazione di Azure.

  • Non è possibile visualizzare la chiave SAS completa dopo aver creato un'esportazione.

    • Non viene visualizzato il comportamento previsto per la chiave. Dopo aver configurato l'esportazione SAS, la chiave viene nascosta per motivi di sicurezza.

  • Non è possibile accedere all'account di archiviazione dal tenant in cui è configurata l'esportazione.

    • Si tratta di un comportamento previsto. Se l'account di archiviazione si trova in un altro tenant, è necessario passare prima a tale tenant nel portale di Azure per individuare l'account di archiviazione.

  • L'esportazione non riesce a causa di un errore correlato al token SAS.

    • L'esportazione funziona solo se il token SAS è valido. Creare una nuova chiave ed eseguire l'esportazione.

Passaggi successivi