Разрешения на просмотр экономичных планов Azure и управление ими
В этой статье объясняется, как работают разрешения плана экономии и как пользователи могут просматривать планы экономии Azure и управлять ими в портал Azure.
Кто может управлять экономичным планом по умолчанию
Существует два различных метода авторизации, которые управляют способностью пользователя просматривать, управлять и делегировать разрешения на экономию планов — роли администратора выставления счетов и роли RBAC плана экономии.
Роли администратора выставления счетов
Вы можете просматривать, управлять и делегировать разрешения на экономию планов с помощью встроенных ролей администратора выставления счетов. Дополнительные сведения о ролях выставления счетов MCA и EA см. в статье "Общие сведения о Клиентское соглашение Майкрософт административных ролях в Azure" и управлении ролями Соглашение Enterprise Azure соответственно.
Роли администратора выставления счетов, необходимые для действий плана экономии
- Просмотр планов экономии
- MCA: пользователи с средством чтения профилей выставления счетов или выше
- EA: пользователи с корпоративным Администратор istrator (только для чтения) или выше
- MPA: не поддерживается
- Управление планами экономии (достигнуто путем делегирования разрешений для полного профиля выставления счетов или регистрации)
- MCA: пользователи с профилем выставления счетов участник или более поздней версии
- EA: пользователи с ea Администратор istrator или более поздней версии
- MPA: не поддерживается
- Делегирование разрешений плана экономии
- MCA: пользователи с профилем выставления счетов участник или более поздней версии
- EA: пользователи с покупателем EA или выше
- MPA: не поддерживается
Просмотр планов экономии и управление ими в качестве администратора выставления счетов
Если вы являетесь пользователем роли выставления счетов, выполните следующие действия, чтобы просмотреть все планы экономии и транзакции с планами экономии в портал Azure:
- Войдите на портал Azure и выберите Управление затратами + выставление счетов.
- Если вы находитесь под учетной записью EA, в меню слева выберите область выставления счетов, а затем в списке область выставления счетов выберите один.
- Если вы находитесь под учетной записью MCA, в меню слева выберите профили выставления счетов. Выберите один профиль в соответствующем списке.
- В меню слева выберите "Продукты и услуги>" сберегательные планы. Отображается полный список планов экономии для регистрации EA или профиля выставления счетов MCA.
- Пользователи роли выставления счетов могут взять на себя ответственность за план экономии с помощью заказа на экономию . Повышение уровня REST API для предоставления ролей Azure RBAC.
Добавление администраторов выставления счетов
Добавьте пользователя в качестве администратора выставления счетов по Соглашению Enterprise или Клиентскому соглашению Майкрософт на портале Azure.
- Для варианта с Соглашением Enterprise назначьте пользователям роль "Администратор предприятия", чтобы они могли просматривать заказы на экономичные планы, относящиеся к Соглашению Enterprise, и управлять ими. Администраторы предприятия могут просматривать план экономии и управлять ими в разделе "Управление затратами и выставление счетов".
- Пользователи с ролью Enterprise Администратор istrator (только для чтения) могут просматривать только план экономии от управления затратами и выставления счетов.
- Администраторы отделов и владельцы учетных записей смогут просматривать экономичные планы, только если им явно разрешить это с помощью Системы управления идентификацией и доступом (IAM). Дополнительные сведения см. в статье "Управление ролями Azure Enterprise".
- В случае с Клиентским соглашением Майкрософт пользователи с ролью владельца или участника профиля выставления счетов могут управлять всеми покупками экономичных планов, выполненными с помощью профиля выставления счетов.
- Читатели профиля выставления счетов и менеджеры счетов могут просматривать все экономичные планы, оплаченные с помощью профиля выставления счетов. Однако эти пользователи не могут вносить изменения в экономичные планы. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.
Роли RBAC плана экономии
Жизненный цикл плана экономии не зависит от подписки Azure. После покупки экономичные планы не наследуют разрешения от подписок. Планы экономии — это ресурс уровня клиента с собственными разрешениями Azure RBAC.
Обзор
Существует четыре роли RBAC для конкретного плана экономии:
- Администратор плана экономии — позволяет управлять одним или несколькими планами экономии в клиенте и делегировании ролей RBAC другим пользователям.
- Покупатель плана экономии — позволяет приобрести планы экономии с указанной подпиской.
- Позволяет сберегательные планы покупки или покупки резервирования администраторами без выставления счетов и владельцами, не являющихся подписками.
- Необходимо включить приобретение плана экономии от администраторов, не являющихся выставлением счетов. Подробнее см. здесь.
- План экономии участник — позволяет управлять одним или несколькими планами экономии в клиенте, но не делегированием ролей RBAC другим пользователям.
- Средство чтения с планами экономии позволяет получить доступ только для чтения к одному или нескольким планам экономии в клиенте.
Эти роли можно область в определенную сущность ресурса (например, подписку или план экономии) или клиент Microsoft Entra (каталог). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей Azure (Azure RBAC)?
Роли плана экономии RBAC, необходимые для действий плана экономии
- Просмотр планов экономии:
- Клиент область: пользователи с средством чтения планов экономии или более поздней версии.
- План экономии область: встроенное средство чтения или более поздней версии.
- Управление планами экономии:
- Клиент область: пользователи с планом экономии участник или более поздней версии.
- Сберегательный план область: встроенные роли участника или владельца или план экономии участник или более поздней версии.
- Делегирование разрешений плана экономии:
- Область клиента: права доступа пользователей Администратор istrator требуются для предоставления ролей RBAC всем планам экономии в клиенте. Чтобы получить эти права, выполните действия по повышению доступа .
- План экономии область: администратор плана экономии или администратор доступа пользователей.
Кроме того, пользователи, которые провели роль владельца подписки, когда подписка использовалась для приобретения плана экономии, также могут просматривать разрешения, управлять и делегировать разрешения для приобретенного плана экономии.
Просмотр планов экономии с доступом RBAC
Если у вас есть роли RBAC для конкретных планов экономии (администратор плана экономии, покупатель, участник или читатель), приобретенные планы экономии или добавленные в качестве владельца в планы экономии, выполните следующие действия, чтобы просмотреть и управлять планами экономии в портал Azure:
- Войдите на портал Azure.
- Выберите "Планы экономии дома>" для перечисления планов экономии, к которым у вас есть доступ.
Добавление ролей RBAC для пользователей и групп
Сведения о делегировании ролей RBAC плана экономии см. в разделе "Роли RBAC" плана экономии делегатов
Предоставление доступа с помощью PowerShell
Пользователи, имеющие доступ владельца к заказам плана экономии, пользователи с повышенными правами доступа и Администратор istratorы могут делегировать управление доступом для всех заказов плана экономии, к которым у них есть доступ.
Доступ, предоставленный с помощью PowerShell, не отражается на портале Azure. Вместо этого для просмотра назначенных ролей используйте команду get-AzRoleAssignment
в следующем разделе.
Назначение роли владельца для всех планов экономии
Используйте следующий скрипт Azure PowerShell, чтобы предоставить пользователю Доступ к всем заказам плана экономии в клиенте Microsoft Entra (каталоге).
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
При использовании скрипта PowerShell для назначения роли владения и ее успешного запуска сообщение об успешном выполнении не возвращается.
Параметры
-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.
- Тип: строка
- Псевдонимы: ID, PrincipalId
- Позиция: имя
- Значение по умолчанию: нет
- Принимает входные данные конвейера: да
- Принимает подстановочные знаки: нет
-TenantId: уникальный идентификатор арендатора.
- Тип: строка
- Позиция: 5
- Значение по умолчанию: нет
- Принимает входные данные конвейера: нет
- Принимает подстановочные знаки: нет
Добавление роли плана экономии Администратор istrator на уровне клиента с помощью скрипта Azure PowerShell
Используйте следующий сценарий Azure PowerShell, чтобы добавить роль плана экономии Администратор istrator на уровне клиента с помощью PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Параметры
-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.
- Тип: строка
- Псевдонимы: ID, PrincipalId
- Позиция: имя
- Значение по умолчанию: нет
- Принимает входные данные конвейера: да
- Принимает подстановочные знаки: нет
-TenantId: уникальный идентификатор арендатора.
- Тип: строка
- Позиция: 5
- Значение по умолчанию: нет
- Принимает входные данные конвейера: нет
- Принимает подстановочные знаки: нет
Назначение роли участника плана экономии на уровне клиента с помощью скрипта Azure PowerShell
Используйте следующий сценарий Azure PowerShell, чтобы назначить роль участника плана экономии на уровне клиента с помощью PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Параметры
-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.
- Тип: строка
- Псевдонимы: ID, PrincipalId
- Позиция: имя
- Значение по умолчанию: нет
- Принимает входные данные конвейера: да
- Принимает подстановочные знаки: нет
-TenantId: уникальный идентификатор арендатора.
- Тип: строка
- Позиция: 5
- Значение по умолчанию: нет
- Принимает входные данные конвейера: нет
- Принимает подстановочные знаки: нет
Назначение роли читателя планов экономии на уровне клиента с помощью скрипта Azure PowerShell
Используйте следующий сценарий Azure PowerShell, чтобы назначить роль читателя планов экономии на уровне клиента с помощью PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Параметры
-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.
- Тип: строка
- Псевдонимы: ID, PrincipalId
- Позиция: имя
- Значение по умолчанию: нет
- Принимает входные данные конвейера: да
- Принимает подстановочные знаки: нет
-TenantId: уникальный идентификатор арендатора.
- Тип: строка
- Позиция: 5
- Значение по умолчанию: нет
- Принимает входные данные конвейера: нет
- Принимает подстановочные знаки: нет
Следующие шаги
- Управление планами экономии Azure.