Azure 예약을 보고 관리할 수 있는 권한

  • 아티클

이 문서에서는 예약 권한이 작동하는 방식과 사용자가 Azure Portal 및 Azure PowerShell에서 Azure 예약을 보고 관리할 수 있는 방법을 설명합니다.

참고 항목

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

기본적으로 예약을 관리할 수 있는 사용자

기본적으로 다음 사용자는 예약을 보고 관리할 수 있습니다.

  • 예약을 구매하는 사용자와 예약 구매에 사용한 청구 구독의 계정 관리자가 예약 주문에 추가됩니다.
  • 기업계약 및 Microsoft 고객 계약 청구 관리자.
  • 모든 Azure 구독과 관리 그룹을 관리할 수 있는 높은 액세스 권한이 있는 사용자
  • Microsoft Entra 테넌트(디렉터리)의 예약에 대한 예약 관리자
  • 예약 읽기 권한자는 Microsoft Entra 테넌트(디렉터리)의 예약에 대한 읽기 전용 액세스 권한을 가집니다.

예약 수명 주기는 Azure 구독과 독립적이므로 예약은 Azure 구독에 있는 리소스가 아닙니다. 대신 구독과 분리된 자체 Azure RBAC 권한이 있는 테넌트 수준 리소스입니다. 예약은 구매 후 구독에서 권한을 상속하지 않습니다.

예약 보기 및 관리

청구 관리자는 다음 단계를 수행하여 Azure Portal에서 모든 예약과 예약 트랜잭션을 보고 관리합니다.

  1. Azure Portal에 로그인하고 Cost Management + Billing으로 이동합니다.
    • EA 관리자인 경우 왼쪽 메뉴에서 청구 범위를 선택한 다음, 청구 범위 목록에서 하나를 선택합니다.
    • Microsoft 고객 계약 청구 프로필 소유자인 경우 왼쪽 메뉴에서 청구 프로필을 선택합니다. 청구 프로필 목록에서 하나를 선택합니다.
  2. 왼쪽 메뉴에서 제품 + 서비스>예약을 선택합니다.
  3. EA 등록 또는 청구 프로필에 대한 전체 예약 목록이 표시됩니다.
  4. 청구 관리자는 표시되는 창에서 하나 또는 여러 개의 예약을 선택하고 액세스 권한 부여를 선택하고 액세스 권한 부여를 선택하여 예약의 소유권을 가져올 수 있습니다. Microsoft 고객 계약의 경우 사용자는 예약과 동일한 Microsoft Entra 테넌트(디렉터리)에 있어야 합니다.

청구 관리자 추가

Azure Portal에서 기업계약 또는 Microsoft 고객 계약에 사용자를 청구 관리자로 추가합니다.

  • 기업계약의 경우 엔터프라이즈 관리자 역할이 있는 사용자를 추가하여 기업계약에 적용되는 모든 예약 주문을 보고 관리합니다. Enterprise 관리자는 Cost Management + Billing에서 예약을 보고 관리할 수 있습니다.
    • Enterprise 관리자(읽기 전용) 역할이 있는 사용자는 Cost Management + Billing에서 예약을 볼 수만 있습니다.
    • 부서 관리자 및 계정 소유자는 액세스 제어(IAM)를 사용하여 명시적으로 추가하지 않는 한 예약을 볼 수 없습니다. 자세한 내용은 Azure Enterprise 역할 관리를 참조하세요.
  • Microsoft 고객 계약의 경우 청구 프로필 소유자 역할 또는 청구 프로필 기여자 역할을 가진 사용자는 청구 프로필을 사용하여 이루어진 모든 예약 구매를 관리할 수 있습니다. 청구 프로필 리더와 청구서 관리자는 청구 프로필로 지불되는 모든 예약을 볼 수 있습니다. 그러나 예약을 변경할 수는 없습니다. 자세한 내용은 청구 프로필 역할 및 작업을 참조하세요.

Azure RBAC 액세스를 사용하여 예약 보기

Azure Portal에서 예약을 구매했거나 예약에 추가되는 경우 다음 단계를 수행하여 예약을 보고 관리합니다.

  1. Azure Portal에 로그인합니다.
  2. 모든 서비스>예약을 선택하여 액세스할 수 있는 예약을 나열합니다.

높은 액세스 권한으로 구독 및 관리 그룹 관리

모든 Azure 구독과 관리 그룹을 관리하도록 사용자의 액세스 권한을 상승할 수 있습니다.

액세스 권한이 상승된 후:

  1. 모든 서비스>예약으로 이동하여 테넌트에 있는 모든 예약을 확인합니다.
  2. 예약을 수정하려면 IAM(액세스 제어)을 사용하여 자신을 예약 순서 소유자로 추가합니다.

개별 예약에 대한 액세스 권한 부여

Azure Portal에서 예약에 대한 소유자 액세스 권한이 있는 사용자와 청구 관리자는 개별 예약 주문에 대한 액세스 관리를 위임할 수 있습니다.

다른 사용자가 예약을 관리할 수 있게 하려면 다음 두 가지 옵션을 사용하면 됩니다.

  • 예약 주문의 리소스 범위에 있는 사용자에게 소유자 역할을 할당하여 개별 예약 주문에 대한 액세스 관리를 위임합니다. 제한된 액세스 권한을 부여하려면 다른 역할을 선택합니다.
    세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

  • 기업계약 또는 Microsoft 고객 계약에 사용자를 청구 관리자로 추가합니다.

    • 기업계약의 경우 엔터프라이즈 관리자 역할이 있는 사용자를 추가하여 기업계약에 적용되는 모든 예약 주문을 보고 관리합니다. 엔터프라이즈 관리자(읽기 전용) 역할이 있는 사용자는 예약만 볼 수 있습니다. 부서 관리자 및 계정 소유자는 액세스 제어(IAM)를 사용하여 명시적으로 추가하지 않는 한 예약을 볼 수 없습니다. 자세한 내용은 Azure Enterprise 역할 관리를 참조하세요.

      엔터프라이즈 관리자는 예약 주문의 소유권을 가질 수 있으며, 액세스 제어(IAM)를 사용하여 예약에 다른 사용자를 추가할 수 있습니다.

    • Microsoft 고객 계약의 경우 청구 프로필 소유자 역할 또는 청구 프로필 기여자 역할을 가진 사용자는 청구 프로필을 사용하여 이루어진 모든 예약 구매를 관리할 수 있습니다. 청구 프로필 리더와 청구서 관리자는 청구 프로필로 지불되는 모든 예약을 볼 수 있습니다. 그러나 예약을 변경할 수는 없습니다. 자세한 내용은 청구 프로필 역할 및 작업을 참조하세요.

PowerShell로 액세스 권한 부여

예약 주문에 대한 소유자 액세스 권한이 있는 사용자, 높은 액세스 권한이 있는 사용자 및 사용자 액세스 관리자는 액세스 권한이 있는 모든 예약 주문에 대한 액세스 관리를 위임할 수 있습니다.

PowerShell을 사용하여 부여된 액세스는 Azure Portal에 표시되지 않습니다. 대신 다음 섹션의 get-AzRoleAssignment 명령을 사용하여 할당된 역할을 봅니다.

모든 예약에 대해 소유자 역할 할당

다음 Azure PowerShell 스크립트를 사용하여 사용자에게 Microsoft Entra 테넌트(디렉터리)의 모든 예약 주문에 대한 Azure RBAC 액세스 권한을 부여하세요.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

PowerShell 스크립트를 사용하여 소유권 역할을 할당하고 성공적으로 실행되면 성공 메시지가 반환되지 않습니다.

매개 변수

-ObjectId 사용자, 그룹 또는 서비스 주체의 Microsoft Entra ObjectId입니다.

  • 형식: 문자열
  • 별칭: Id, PrincipalId
  • 위치: 명명됨
  • 기본값: 없음
  • 파이프라인 입력 허용: True
  • 와일드카드 문자 허용: False

-TenantId 테넌트 고유 식별자입니다.

  • 형식: 문자열
  • 위치: 5
  • 기본값: 없음
  • 파이프라인 입력 허용: False
  • 와일드카드 문자 허용: False

테넌트 수준 액세스

테넌트 수준에서 사용자 또는 그룹에 예약 관리자 및 예약 읽기 권한자 역할을 부여하려면 사용자 액세스 관리자 권한이 필요합니다. 테넌트 수준에서 사용자 액세스 관리자 권한을 가져오려면 액세스 권한 상승 단계를 따릅니다.

테넌트 수준에서 예약 관리자 역할 또는 예약 읽기 권한자 역할 추가

Azure Portal에서 이러한 역할을 할당할 수 있습니다.

  1. Azure Portal에 로그인하고, 예약으로 이동합니다.
  2. 액세스가 있는 예약을 선택합니다.
  3. 페이지 상단에서 역할 할당을 선택합니다.
  4. 역할 탭을 선택합니다.
  5. 수정하려면 액세스 제어를 사용하여 사용자를 예약 관리자 또는 예약 읽기 권한자로 추가합니다.

Azure PowerShell 스크립트를 사용하여 테넌트 수준에서 예약 관리자 역할 추가

다음 Azure PowerShell 스크립트를 사용하여 PowerShell로 테넌트 수준에서 예약 관리자 역할을 추가합니다.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

매개 변수

-ObjectId 사용자, 그룹 또는 서비스 주체의 Microsoft Entra ObjectId입니다.

  • 형식: 문자열
  • 별칭: Id, PrincipalId
  • 위치: 명명됨
  • 기본값: 없음
  • 파이프라인 입력 허용: True
  • 와일드카드 문자 허용: False

-TenantId 테넌트 고유 식별자입니다.

  • 형식: 문자열
  • 위치: 5
  • 기본값: 없음
  • 파이프라인 입력 허용: False
  • 와일드카드 문자 허용: False

Azure PowerShell 스크립트를 사용하여 테넌트 수준에서 예약 읽기 권한자 역할 할당

다음 Azure PowerShell 스크립트를 사용하여 PowerShell로 테넌트 수준에서 예약 읽기 권한자 역할을 할당합니다.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

매개 변수

-ObjectId 사용자, 그룹 또는 서비스 주체의 Microsoft Entra ObjectId입니다.

  • 형식: 문자열
  • 별칭: Id, PrincipalId
  • 위치: 명명됨
  • 기본값: 없음
  • 파이프라인 입력 허용: True
  • 와일드카드 문자 허용: False

-TenantId 테넌트 고유 식별자입니다.

  • 형식: 문자열
  • 위치: 5
  • 기본값: 없음
  • 파이프라인 입력 허용: False
  • 와일드카드 문자 허용: False

다음 단계