Разрешения на просмотр экономичных планов Azure и управление ими

В этой статье объясняется, как работают разрешения плана экономии и как пользователи могут просматривать планы экономии Azure и управлять ими в портал Azure.

Кто может управлять экономичным планом по умолчанию

Существует два различных метода авторизации, которые управляют способностью пользователя просматривать, управлять и делегировать разрешения на экономию планов — роли администратора выставления счетов и роли RBAC плана экономии.

Роли администратора выставления счетов

Вы можете просматривать, управлять и делегировать разрешения на экономию планов с помощью встроенных ролей администратора выставления счетов. Дополнительные сведения о ролях выставления счетов MCA и EA см. в статье "Общие сведения о Клиентское соглашение Майкрософт административных ролях в Azure" и управлении ролями Соглашение Enterprise Azure соответственно.

Роли администратора выставления счетов, необходимые для действий плана экономии

• Просмотр планов экономии
  • MCA: пользователи с средством чтения профилей выставления счетов или выше
  • EA: пользователи с корпоративным Администратор istrator (только для чтения) или выше
  • MPA: не поддерживается
• Управление планами экономии (достигнуто путем делегирования разрешений для полного профиля выставления счетов или регистрации)
  • MCA: пользователи с профилем выставления счетов участник или более поздней версии
  • EA: пользователи с ea Администратор istrator или более поздней версии
  • MPA: не поддерживается
• Делегирование разрешений плана экономии
  • MCA: пользователи с профилем выставления счетов участник или более поздней версии
  • EA: пользователи с покупателем EA или выше
  • MPA: не поддерживается

Просмотр планов экономии и управление ими в качестве администратора выставления счетов

Если вы являетесь пользователем роли выставления счетов, выполните следующие действия, чтобы просмотреть все планы экономии и транзакции с планами экономии в портал Azure:

1. Войдите на портал Azure и выберите Управление затратами + выставление счетов.
   • Если вы находитесь под учетной записью EA, в меню слева выберите область выставления счетов, а затем в списке область выставления счетов выберите один.
   • Если вы находитесь под учетной записью MCA, в меню слева выберите профили выставления счетов. Выберите один профиль в соответствующем списке.
2. В меню слева выберите "Продукты и услуги>" сберегательные планы. Отображается полный список планов экономии для регистрации EA или профиля выставления счетов MCA.
3. Пользователи роли выставления счетов могут взять на себя ответственность за план экономии с помощью заказа на экономию . Повышение уровня REST API для предоставления ролей Azure RBAC.

Добавление администраторов выставления счетов

Добавьте пользователя в качестве администратора выставления счетов по Соглашению Enterprise или Клиентскому соглашению Майкрософт на портале Azure.

• Для варианта с Соглашением Enterprise назначьте пользователям роль "Администратор предприятия", чтобы они могли просматривать заказы на экономичные планы, относящиеся к Соглашению Enterprise, и управлять ими. Администраторы предприятия могут просматривать план экономии и управлять ими в разделе "Управление затратами и выставление счетов".
  • Пользователи с ролью Enterprise Администратор istrator (только для чтения) могут просматривать только план экономии от управления затратами и выставления счетов.
  • Администраторы отделов и владельцы учетных записей смогут просматривать экономичные планы, только если им явно разрешить это с помощью Системы управления идентификацией и доступом (IAM). Дополнительные сведения см. в статье "Управление ролями Azure Enterprise".
• В случае с Клиентским соглашением Майкрософт пользователи с ролью владельца или участника профиля выставления счетов могут управлять всеми покупками экономичных планов, выполненными с помощью профиля выставления счетов.
  • Читатели профиля выставления счетов и менеджеры счетов могут просматривать все экономичные планы, оплаченные с помощью профиля выставления счетов. Однако эти пользователи не могут вносить изменения в экономичные планы. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

Роли RBAC плана экономии

Жизненный цикл плана экономии не зависит от подписки Azure. После покупки экономичные планы не наследуют разрешения от подписок. Планы экономии — это ресурс уровня клиента с собственными разрешениями Azure RBAC.

Обзор

Существует четыре роли RBAC для конкретного плана экономии:

• Администратор плана экономии — позволяет управлять одним или несколькими планами экономии в клиенте и делегировании ролей RBAC другим пользователям.
• Покупатель плана экономии — позволяет приобрести планы экономии с указанной подпиской.
  • Позволяет сберегательные планы покупки или покупки резервирования администраторами без выставления счетов и владельцами, не являющихся подписками.
  • Необходимо включить приобретение плана экономии от администраторов, не являющихся выставлением счетов. Подробнее см. здесь.
• План экономии участник — позволяет управлять одним или несколькими планами экономии в клиенте, но не делегированием ролей RBAC другим пользователям.
• Средство чтения с планами экономии позволяет получить доступ только для чтения к одному или нескольким планам экономии в клиенте.

Эти роли можно область в определенную сущность ресурса (например, подписку или план экономии) или клиент Microsoft Entra (каталог). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей Azure (Azure RBAC)?

Роли плана экономии RBAC, необходимые для действий плана экономии

• Просмотр планов экономии:
  • Клиент область: пользователи с средством чтения планов экономии или более поздней версии.
  • План экономии область: встроенное средство чтения или более поздней версии.
• Управление планами экономии:
  • Клиент область: пользователи с планом экономии участник или более поздней версии.
  • Сберегательный план область: встроенные роли участника или владельца или план экономии участник или более поздней версии.
• Делегирование разрешений плана экономии:
  • Область клиента: права доступа пользователей Администратор istrator требуются для предоставления ролей RBAC всем планам экономии в клиенте. Чтобы получить эти права, выполните действия по повышению доступа .
  • План экономии область: администратор плана экономии или администратор доступа пользователей.

Кроме того, пользователи, которые провели роль владельца подписки, когда подписка использовалась для приобретения плана экономии, также могут просматривать разрешения, управлять и делегировать разрешения для приобретенного плана экономии.

Просмотр планов экономии с доступом RBAC

Если у вас есть роли RBAC для конкретных планов экономии (администратор плана экономии, покупатель, участник или читатель), приобретенные планы экономии или добавленные в качестве владельца в планы экономии, выполните следующие действия, чтобы просмотреть и управлять планами экономии в портал Azure:

1. Войдите на портал Azure.
2. Выберите "Планы экономии дома>" для перечисления планов экономии, к которым у вас есть доступ.

Добавление ролей RBAC для пользователей и групп

Сведения о делегировании ролей RBAC плана экономии см. в разделе "Роли RBAC" плана экономии делегатов

Предоставление доступа с помощью PowerShell

Пользователи, имеющие доступ владельца к заказам плана экономии, пользователи с повышенными правами доступа и Администратор istratorы могут делегировать управление доступом для всех заказов плана экономии, к которым у них есть доступ.

Доступ, предоставленный с помощью PowerShell, не отражается на портале Azure. Вместо этого для просмотра назначенных ролей используйте команду get-AzRoleAssignment в следующем разделе.

Назначение роли владельца для всех планов экономии

Используйте следующий скрипт Azure PowerShell, чтобы предоставить пользователю Доступ к всем заказам плана экономии в клиенте Microsoft Entra (каталоге).

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

При использовании скрипта PowerShell для назначения роли владения и ее успешного запуска сообщение об успешном выполнении не возвращается.

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

• Тип: строка
• Псевдонимы: ID, PrincipalId
• Позиция: имя
• Значение по умолчанию: нет
• Принимает входные данные конвейера: да
• Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

• Тип: строка
• Позиция: 5
• Значение по умолчанию: нет
• Принимает входные данные конвейера: нет
• Принимает подстановочные знаки: нет

Добавление роли плана экономии Администратор istrator на уровне клиента с помощью скрипта Azure PowerShell

Используйте следующий сценарий Azure PowerShell, чтобы добавить роль плана экономии Администратор istrator на уровне клиента с помощью PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

• Тип: строка
• Псевдонимы: ID, PrincipalId
• Позиция: имя
• Значение по умолчанию: нет
• Принимает входные данные конвейера: да
• Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

• Тип: строка
• Позиция: 5
• Значение по умолчанию: нет
• Принимает входные данные конвейера: нет
• Принимает подстановочные знаки: нет

Назначение роли участника плана экономии на уровне клиента с помощью скрипта Azure PowerShell

Используйте следующий сценарий Azure PowerShell, чтобы назначить роль участника плана экономии на уровне клиента с помощью PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

• Тип: строка
• Псевдонимы: ID, PrincipalId
• Позиция: имя
• Значение по умолчанию: нет
• Принимает входные данные конвейера: да
• Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

• Тип: строка
• Позиция: 5
• Значение по умолчанию: нет
• Принимает входные данные конвейера: нет
• Принимает подстановочные знаки: нет

Назначение роли читателя планов экономии на уровне клиента с помощью скрипта Azure PowerShell

Используйте следующий сценарий Azure PowerShell, чтобы назначить роль читателя планов экономии на уровне клиента с помощью PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

• Тип: строка
• Псевдонимы: ID, PrincipalId
• Позиция: имя
• Значение по умолчанию: нет
• Принимает входные данные конвейера: да
• Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

• Тип: строка
• Позиция: 5
• Значение по умолчанию: нет
• Принимает входные данные конвейера: нет
• Принимает подстановочные знаки: нет

Следующие шаги

• Управление планами экономии Azure.