Предоставление доступа для создания подписок Azure Enterprise (устаревшая версия)

Как клиент Azure с соглашением Enterprise (EA), вы можете предоставить другому пользователю или субъекту службы разрешение на создание подписок, выставляемых через вашу учетную запись. В этой статье рассказывается об использовании управления доступом на основе ролей Azure (Azure RBAC) для совместного создания подписок и их аудита. Необходима роль владельца для учетной записи, к которой вы хотите предоставить общий доступ.

Примечание.

• Этот API работает только с устаревшими API для создания подписки.
• Если у вас нет особой необходимости использовать устаревшие API, вам следует использовать информацию для последней версии GA о последней версии API. В статье Назначение ролей учетной записи регистрации – предоставление описано, как предоставить разрешение на создание подписок EA с помощью последней версии API.
• Если вы выполняете миграцию для использования новых версий API, необходимо предоставить разрешения владельца для использования 2019-10-01-preview. Предыдущая конфигурация, в которой используются описанные ниже интерфейсы API, не преобразуется автоматически для использования новых версий API.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Предоставление доступа

Чтобы создать подписки в учетной записи регистрации, вам нужна роль владельца RBAC для этой учетной записи. Вы можете предоставить пользователю или группе пользователей роль владельца RBAC Azure для учетной записи регистрации, выполнив следующие действия:

1. Получите идентификатор объекта учетной записи регистрации, к которой вы хотите предоставить доступ.

   Чтобы предоставить другим пользователям роль владельца RBAC Azure для учетной записи регистрации, нужно быть владельцем учетной записи или владельцем RBAC Azure для этой учетной записи.

   REST

   Запросите вывод списка всех учетных записей регистрации, к которым у вас есть доступ.

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Платформа Azure выводит список всех учетных записей регистрации, к которым у вас есть доступ.

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Используйте свойство principalName, чтобы указать учетную запись, для которой хотите назначить владельца RBAC Azure. Скопируйте значение name этой учетной записи. Например, если вы хотите предоставить доступ на уровне владельца RBAC к учетной записи регистрации SignUpEngineering@contoso.com, скопируйте 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Это идентификатор объекта учетной записи регистрации. Вставьте это значение в любое место, чтобы его можно было использовать на следующем шаге в качестве enrollmentAccountObjectId.

   PowerShell

   Используйте командлет Get-AzEnrollmentAccount, чтобы вывести список всех учетных записей регистрации, к которым у вас есть доступ. Выберите Попробовать, чтобы открыть Azure Cloud Shell. Чтобы вставить код, нажмите и удерживайте окна оболочки (или щелкните их правой кнопкой мыши), а затем выберите Вставить.

   Get-AzEnrollmentAccount
   

   Платформа Azure выведет список учетных записей регистрации, к которым у вас есть доступ.

   ObjectId                               | PrincipalName
   747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   Используйте свойство principalName, чтобы указать учетную запись, для которой вы хотите назначить владельца RBAC Azure. Скопируйте значение ObjectId этой учетной записи. Например, если вы хотите предоставить доступ на уровне владельца RBAC к учетной записи регистрации SignUpEngineering@contoso.com, скопируйте 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Вставьте этот идентификатор объекта в любое место, чтобы его можно было использовать на следующем шаге в качестве enrollmentAccountObjectId.

   Azure CLI

   Используйте команду Get-EnrollmentAccount, чтобы вывести список всех учетных записей регистрации, к которым у вас есть доступ. Выберите Попробовать, чтобы открыть Azure Cloud Shell. Чтобы вставить код, нажмите и удерживайте окна оболочки (или щелкните их правой кнопкой мыши), а затем выберите Вставить.

   az billing enrollment-account list
   

   Платформа Azure выведет список учетных записей регистрации, к которым у вас есть доступ.

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   Используйте свойство principalName, чтобы указать учетную запись, для которой хотите назначить владельца RBAC Azure. Скопируйте значение name этой учетной записи. Например, если вы хотите предоставить доступ на уровне владельца RBAC к учетной записи регистрации SignUpEngineering@contoso.com, скопируйте 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Это идентификатор объекта учетной записи регистрации. Вставьте это значение в любое место, чтобы его можно было использовать на следующем шаге в качестве enrollmentAccountObjectId.

2. Получение идентификатора объекта для пользователя или группы, которым вы предоставляете роль владельца RBAC Azure

   1. В портал Azure выполните поиск по идентификатору Microsoft Entra.
   2. Если вы хотите предоставить доступ пользователю, в меню слева выберите Пользователи. Чтобы предоставить доступ группе, выберите Группы.
   3. Выберите пользователя или группу, которым хотите назначить роль владельца RBAC Azure.
   4. Если вы выбрали пользователя, идентификатор объекта можно найти на странице профиля. Если вы выбрали группу, идентификатор объекта будет отображаться на странице "Обзор". Скопируйте идентификатор ObjectID, щелкнув значок справа от текстового поля. Вставьте его в любое место, чтобы его можно было использовать на следующем шаге в качестве userObjectId.

3. Предоставление пользователю или группе роли владельца RBAC Azure для учетной записи регистрации

   Используя значения, собранные на первых двух этапах, предоставьте пользователю или группе роль владельца RBAC Azure для учетной записи регистрации.

   REST

   Воспользуйтесь следующей командой, заменив <enrollmentAccountObjectId> на значение name, которое вы скопировали на первом шаге (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Замените <userObjectId> идентификатором объекта, скопированным на втором шаге.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   После успешного назначения роли владельца на уровне учетной записи регистрации платформа Azure возвращает сведения о назначении роли.

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Воспользуйтесь командой New-AzRoleAssignment, заменив <enrollmentAccountObjectId> значением ObjectId, полученным на первом шаге (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Замените <userObjectId> идентификатором объекта, полученным на втором шаге.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Azure CLI

   Воспользуйтесь командой az role assignment create, заменив <enrollmentAccountObjectId> значением name, полученным на первом шаге (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Замените <userObjectId> идентификатором объекта, полученным на втором шаге.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Когда пользователь становится владельцем RBAC Azure для учетной записи регистрации, он получает возможность программно создавать подписки в этой учетной записи. Для подписки, созданной делегированным пользователем, администратором службы по-прежнему остается исходный владелец учетной записи. Но этот делегированный пользователь по умолчанию становится владельцем RBAC Azure.

Аудит пользователей, создающих подписки, с помощью журналов действий

Для отслеживания подписок, создаваемых с помощью данного API, используйте API журнала действий клиента. В настоящее время для отслеживания создания подписки невозможно использовать PowerShell, интерфейс командной строки или портал Azure.

1. Администратор клиента Microsoft Entra повышает уровень доступа, а затем назначает роль читателя пользователю аудита через область/providers/microsoft.insights/eventtypes/management. Такой доступ предоставляется для роли Читатель, Участник мониторинга или пользовательской роли.

2. В качестве пользователя-аудитора вызовите API журнала действий клиента для просмотра действий создания подписок. Пример:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Для удобного вызова API из командной строки попробуйте использовать ARMClient.

Следующие шаги

• Когда пользователь или субъект-служба имеют разрешение на создание подписки, можно использовать его для программного создания подписок Azure Enterprise.
• Создание подписок с помощью .NET: пример кода на сайте GitHub.
• Дополнительные сведения о Azure Resource Manager и его интерфейсах API см. в статье Обзор Azure Resource Manager.
• Дополнительные сведения о переносе большого числа подписок с помощью групп управления см. в руководстве по упорядочиванию ресурсов с помощью групп управления Azure.
• Полное руководство по лучшим методикам управления подписками для крупных организаций приведено в разделе Корпоративный каркас Azure: рекомендуемая система управления подписками.