Назначение доступа к данным Cost Management
Для пользователей с соглашениями Azure Enterprise (EA) сочетание разрешений, предоставленных в портал Azure определяет уровень доступа пользователя к данным управления затратами. Для пользователей с другими типами учетных записей Azure определение уровня доступа пользователя к данным управления затратами проще с помощью управления доступом на основе ролей Azure (RBAC). В этой статье описано, как назначить доступ к данным Управления затратами. После назначения требуемого сочетания разрешений пользователь сможет просматривать данные в службе "Управление затратами" в пределах области доступа и области действия, которую он выбирает на портале Azure.
Выбранная пользователем область распространяется на всю среду Управления затратами, чтобы обеспечить консолидацию данных и ограничить доступ к сведениям о затратах. При использовании областей пользователи не выбирают их несколькими. Вместо этого можно выбрать более обширную область, в которую входят дочерние области, а затем отфильтровать просматриваемые данные. Мы рекомендуем хорошо разобраться с концепцией консолидации данных, так как некоторым пользователям не нужно предоставлять доступ к родительской области, в которую входят дочерние области.
Просмотрите видео о контроле доступа в службе "Управление затратами", чтобы получить сведения о назначении доступа для просмотра затрат и расходов с помощью управления доступом на основе ролей в Azure (Azure RBAC). Чтобы просмотреть другие видео, посетите канал YouTube, посвященный службе "Управление затратами". Это видео упоминает портал Azure EA, который снят. Однако также рассматриваются эквивалентные функциональные возможности, доступные в портал Azure.
Области Управления затратами
Управление затратами поддерживает различные типы учетных записей Azure. Полный список поддерживаемых типов учетных записей см. в статье Understand Cost Management data (Интерпретация данных службы "Управление затратами"). Тип учетной записи определяет доступные области.
Области подписки Azure EA
Чтобы просмотреть данные о расходах для подписок Azure EA, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
Область применения | Определена по адресу | Требуемый уровень доступа для просмотра данных | Предварительные требования по параметрам EA | Консолидация данных |
---|---|---|---|---|
Учетная запись выставления счетов | https://portal.azure.com | • Администратор предприятия • Средство чтения регистрации (только для чтения администратора Enterprise) |
нет | Все подписки по Соглашению Enterprise |
Отдел | https://portal.azure.com | Администратор подразделения | Возможность просмотра затрат для администратора отдела включена | Все подписки, принадлежащие к учетной записи регистрации, связанной с подразделением |
Учетная запись регистрации | https://portal.azure.com | Владелец учетной записи | Возможность просмотра затрат для владельца учетной записи включена | Все подписки из учетной записи регистрации |
Группа управления | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все подписки в группе управления |
Отток подписок | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы и группы ресурсов в подписке |
Группа ресурсов | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы в группе ресурсов |
¹ Учетная запись выставления счетов также называется Соглашение Enterprise или регистрацией.
2. Учетная запись регистрации также называется владельцем учетной записи.
Администраторы предприятия могут назначать учетную запись выставления счетов, отдел и область учетной записи регистрации в портал Azure. Подробнее см. в статье Администрирование портала Azure для прямых соглашений Enterprise.
Другие области учетной записи Azure
Чтобы просмотреть данные о расходах для других подписок Azure, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
- Группа управления
- Подписка
- Группа ресурсов
После присоединения пользователей партнерами к Клиентскому соглашению Майкрософт станут доступными различные области применения. Клиенты поставщиков облачных решений (CSP) могут использовать функции управления затратами, если они включены партнером CSP. Дополнительные сведения см. в статье Начало работы с Управлением затратами для партнеров.
Предоставление доступа к данным о затратах на портале Azure
Если у вас есть Клиентское соглашение Майкрософт (MCA) или соглашение Enterprise, вы можете включить доступ к затратам в портал Azure. Обязательный параметр зависит от области. Используйте следующие сведения, чтобы обеспечить доступ к затратам в портал Azure.
Включение доступа MCA к затратам
Параметр расходов Azure используется для включения доступа к затратам на подписки MCA. Параметр доступен в портал Azure в области учетной записи выставления счетов. Для включения параметра необходимо иметь разрешение "Владельцы профилей выставления счетов". В противном случае параметр не отображается.
Чтобы включить этот параметр, выполните следующие действия.
- Войдите в портал Azure с помощью учетной записи с разрешением "Владельцы профилей выставления счетов".
- Выберите пункт меню Управление затратами + выставление счетов.
- Выберите Области выставления счетов, чтобы просмотреть доступные области выставления счетов и учетные записи выставления счетов.
- Выберите нужную учетную запись выставления счетов из списка доступных.
- В области навигации слева выберите профили выставления счетов.
- Выберите профиль выставления счетов.
- В области навигации слева выберите "Политики".
- Настройте параметр оплаты Azure в значение "Да".
Включение доступа EA к затратам
Для области подразделения нужно включить параметр Администраторы отделов могут просматривать расходы (DA view charges). Настройте параметр в портал Azure. Для всех остальных областей требуется, чтобы владельцы учетных записей могли просматривать расходы (плата за просмотр учетной записи (AO) включено. Чтобы включить этот параметр, необходимо иметь роль администратора предприятия. В противном случае параметр не отображается.
Чтобы включить этот параметр на портале Azure, сделайте следующее:
- Войдите в портал Azure с помощью учетной записи администратора предприятия.
- Выберите пункт меню Управление затратами + выставление счетов.
- Выберите Области выставления счетов, чтобы просмотреть доступные области выставления счетов и учетные записи выставления счетов.
- Выберите нужную учетную запись выставления счетов из списка доступных.
- В разделе Параметры выберите пункт меню Политики и настройте этот параметр.
После включения нужных параметров просмотра затрат для большинства областей нужно настроить конфигурацию управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.
Роль администратора предприятия
По умолчанию администратор предприятия имеет доступ к учетной записи выставления счетов (для Соглашения Enterprise или Соглашения о регистрации) и ко всем другим областям, которые являются для нее дочерними. Администратор предприятия назначает другим пользователям доступ к областям. Для обеспечения непрерывности бизнес-процессов мы рекомендуем всегда иметь двух пользователей с правами администратора предприятия. Далее приведены примеры того, как администратору предприятия назначить другим пользователям доступ к областям.
Назначение доступа к области учетной записи выставления счетов
Для доступа к области учетной записи выставления счетов требуется разрешение корпоративного администратора. Администратор предприятия может просматривать данные о затратах в пределах одной или нескольких регистраций EA. Администратор предприятия может назначить доступ к области учетной записи выставления счетов другому пользователю с доступом только для чтения. Дополнительные сведения см. в разделе "Добавление другого администратора предприятия".
Пользователю может потребоваться до 30 минут, прежде чем пользователь сможет получить доступ к данным в службе "Управление затратами".
Назначение доступа к области отдела
Для доступа к области отдела требуется доступ администратора отдела (DA view charges). Администратор отдела может просматривать данные о затратах и потреблении, имеющие отношение к отделу или нескольким отделам. Данные по отделу включают все подписки, принадлежащие к учетной записи регистрации, которая связана с этим отделом.
Администраторы предприятия могут назначать доступ администратора отдела. Дополнительные сведения см. в разделе "Добавление администратора отдела".
Назначение доступа к области учетной записи регистрации
Для доступа к области учетной записи регистрации требуется доступ владельца учетной записи (AO view charges). Владелец учетной записи может просматривать данные о затратах и использовании, связанные с подписками, которые были созданы с учетной записью регистрации. Администраторы предприятия могут назначать доступ владельца учетной записи. Дополнительные сведения см. в разделе Добавление владельца учетной записи на портале Azure.
Назначение доступа к области группы управления
Для просмотра области группы управления требуется по крайней мере разрешение средства чтения управления затратами (или участника). Разрешения для группы управления можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы управления. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или участника) можно назначить пользователю в области группы управления. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступа к области подписки
Для доступа к подписке требуется по крайней мере разрешение средства чтения управления затратами (или участника). Разрешения для подписки можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для подписки. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или участника) можно назначить пользователю в области подписки. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступ к области группы ресурсов
Для доступа к группе ресурсов требуется по крайней мере разрешение средства чтения управления затратами (или участника). Разрешения для группы ресурсов можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы ресурсов. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или участника) можно назначить пользователю в области группы ресурсов. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Проблемы с проверкой подлинности между клиентами
В настоящее время управление затратами обеспечивает ограниченную поддержку межтенантной проверки подлинности. В некоторых случаях, при попытке выполнения проверки подлинности между клиентами, в анализе затрат может возникнуть сообщение об ошибке Доступ запрещен. Эта проблема может возникнуть, если вы настроили управление доступом на основе ролей в Azure (Azure RBAC) для подписки другого арендатора, а затем пытаетесь просмотреть данные о затратах.
Чтобы обойти проблему: после настройки межтенантной службы Azure RBAC подождите час. Затем попробуйте просмотреть затраты в анализе затрат или предоставить доступ к Управлению затратам пользователям в обоих клиентах.
Следующие шаги
- Если вы не прочитали первое краткое руководство по управлению затратами, ознакомьтесь с ним в статье "Начать анализ затрат".