Поделиться через


Управление подписками и ресурсами в плане Azure

Соответствующие роли: агент по администрированию

В этой статье объясняется, как партнеры поставщик облачных решений (CSP) могут использовать различные варианты управления доступом на основе ролей (RBAC), чтобы получить операционный контроль и управление ресурсами Azure клиента.

При переходе клиента в план Azure вы назначаете права привилегированного администратора в Azure — права владельца подписки через администратора от имени (AOBO) по умолчанию.

Примечание.

Права администратора на подписку Azure могут быть удалены клиентом на уровне подписки, на уровне группы ресурсов или на уровне рабочей нагрузки.

Партнеры могут получать непрерывный операционный контроль и управление ресурсами Azure клиента в CSP с помощью различных вариантов, доступных с помощью функции управления доступом на основе ролей (RBAC).

  • Администратор от имени . С помощью AOBO любой пользователь с ролью агента администрирования в клиенте партнера имеет доступ владельца RBAC к подпискам Azure, созданным с помощью программы CSP.

  • Azure Lighthouse: AOBO не имеет гибкости для создания отдельных групп, работающих с разными клиентами, или для включения различных ролей для групп или пользователей. Однако с помощью Azure Lighthouse можно назначать разные группы разным клиентам или ролям. Так как пользователи имеют соответствующий уровень доступа через делегированное управление ресурсами Azure, вы можете уменьшить количество пользователей, имеющих роль агента администрирования (и, следовательно, полный доступ к AOBO). Это помогает повысить безопасность путем ограничения ненужного доступа к ресурсам клиентов. Кроме того, это повышает гибкость управления несколькими клиентами в соответствующем масштабе. Дополнительные сведения см. в статье Azure Lighthouse и программа поставщиков облачных решений.

  • Каталог или гостевые пользователи или субъекты-службы. Вы можете делегировать детализированный доступ к подпискам CSP, добавив пользователей в каталог клиента или добавив гостевых пользователей и назначив определенные роли RBAC.

В качестве практики безопасности корпорация Майкрософт рекомендует назначать пользователям минимальные разрешения, необходимые для выполнения их работы. Дополнительные сведения см. в управление привилегированными пользователями ресурсах Microsoft Entra.

В следующей таблице показаны методы, используемые для связывания Идентификатора партнера (прежнего имени MPN) с различными параметрами доступа RBAC.

Категория Сценарий Ассоциация PartnerID
AOBO Прямой партнер или косвенный поставщик CSP создает подписку для клиента, что делает CSP прямым партнером или косвенным поставщиком подписки по умолчанию с помощью AOBO. Прямой партнер или косвенный поставщик CSP предоставляет косвенный торговый посредник доступ к подписке с помощью AOBO. Автоматическая (от партнера не требуется каких-либо действий)
Azure Lighthouse Партнер создает новое предложение управляемой службы в Marketplace. Предложение принимается в подписке CSP, а партнер получает доступ к подписке CSP. Автоматическая (от партнера не требуется каких-либо действий)
Azure Lighthouse Партнер развертывает шаблон Azure Resource Manager (ARM) в подписке Azure Партнер должен связать идентификатор PartnerID с пользователем или субъектом-службой в клиенте партнера. Дополнительные сведения см. в статье "Ссылка на PartnerID", чтобы отслеживать влияние на делегированные ресурсы.
Каталог или гостевой пользователь Партнер создает пользователя или субъект-службу в каталоге клиента и предоставляет ему доступ к подписке CSP. Партнер создает пользователя или субъект-службу в каталоге клиента. Партнер добавляет пользователя в группу и предоставляет ей доступ к подписке CSP. Партнер должен связать PartnerID с пользователем или субъектом-службой в клиенте клиента. Дополнительные сведения см. в статье "Связывание Идентификатора партнера" с учетной записью, которая используется для управления клиентами.

Убедитесь, что у вас есть права администратора.

У вас должен быть доступ администратора для управления службами клиента и получения заработанных кредитов. Дополнительные сведения о заработанных кредитах см. в разделе "Партнерские заработанные кредиты".

Чтобы определить, имеется ли у вас доступ администратора, выполните следующие действия.

  • Просмотрите файл ежедневного использования: просмотрите цену единицы и эффективную цену единицы в файле ежедневного использования и убедитесь, применяется ли скидка. Если вы получаете скидку, вы являетесь администратором.

Создание оповещения Azure Monitor

Вы можете создать оповещение журнала действий Azure Monitor , чтобы получать уведомления, если доступ к RBAC удаляется из подписки CSP.

Чтобы создать оповещение Azure Monitor, выполните следующие действия.

  1. Создайте оповещение.

    Снимок экрана: оповещение портал Azure.

  2. Выберите тип действия, которое требуется принять оповещение.

    Например, если указать, что требуется сообщение электронной почты, вы получите сообщение электронной почты, уведомляющее вас об удалении назначения ролей.

    Снимок экрана: портал Azure настройки оповещения.

Удаление AOBO

Клиенты могут управлять доступом к своим подпискам, перейдя контроль доступа на портал Azure. На вкладке "Назначения ролей" они могут выбрать "Удалить доступ".

Если клиент удаляет доступ, вы можете:

Доступ на основе ролей отличается от административного доступа. Роли позволяют точно указать, что доступно, а что запрещено. Административный доступ является более обширным.

Приостановка и повторная активация плана Azure

Партнеры могут приостановить или повторно активировать план Azure непосредственно в Центре партнеров на странице сведений о плане Azure.

  1. В Центре партнеров выберите учетную запись клиента в Центре партнеров.
  2. Перейдите к подпискам Azure клиента
  3. Выбор плана Azure
  4. Выберите состояние: приостановлено и отправьте , чтобы приостановить план Azure.
  5. Выберите состояние: "Активный " и " Отправить ", чтобы повторно активировать план Azure.

Вы можете приостановить существующий план Azure, если он больше не имеет активных ресурсов использования, связанных с ним, включая подписки на использование Azure и резервирования Azure.

Партнеры могут приобрести только один план Azure для конкретного торгового посредника и сочетания клиентов. Если у клиента торгового посредника есть приостановленный план, он не может приобрести новый план. Отмена недоступна для плана Azure.

Сведения о приостановке плана Azure с помощью API см. в статье "Приостановка подписки — разработчик партнерского приложения".

Сведения о повторной активации плана Azure с помощью API см. в статье "Повторная активация приостановленной подписки — разработчик приложения-партнера".

Отмените подписку Azure

В случае компрометации подписок плана Azure клиента партнеры могут отменить подписки Azure из Центра партнеров. Эта возможность доступна только ролям агента администрирования. Для этого:

  1. Выберите клиента из списка клиентов
  2. Перейдите к подпискам Azure клиента
  3. Выберите план Azure, в который входит подписка
  4. На странице сведений о плане Azure выберите подписки Azure для отмены
  5. Отправка изменений путем нажатия кнопки "Отмена подписки"

Это отменяет только выбранные подписки Azure. Клиенты с доступом к подписке Azure могут повторно активировать подписку, если план Azure по-прежнему активен. Чтобы остановить это, партнеры должны отменить все подписки Azure, а затем сам план Azure.

Партнеры могут выполнять многоразовую выборку подписок, но не могут одновременно отменять более 10 подписок. Партнеры могут отменить план Azure, если в нем нет активных подписок Azure. Это позволяет партнерам завершить работу планов и подписок Azure, которые могли быть скомпрометированы, даже если плохой субъект удалил свои разрешения RBAC.

Партнеры могут отменить подписки Azure с помощью портала Центра партнеров или API. Дополнительные сведения об API см. в статье "Отмена подписки Azure" и ее проба, см. в статье "Расходы Azure" — отмена прав Azure — REST API.

Дополнительные сведения об отмене подписок Azure см. в статье о том, что происходит после отмены подписки?

Повторная активация подписки Azure

Партнеры могут повторно активировать подписки Azure, которые были отменены из-за компрометации клиентов на странице сведений о плане Azure с помощью вкладки "Неактивные подписки Azure". Эта возможность доступна только ролям агента администрирования. Для этого:

  1. Выберите клиента из списка клиентов
  2. Перейдите к подпискам Azure клиента
  3. Выберите план Azure, в который входит подписка
  4. На странице сведений о плане Azure в разделе подписки Azure выберите вкладку "Неактивный "
  5. Выберите подписку Azure для повторной активации
  6. Отправка изменений путем выбора подписки повторной активации

Это повторно активирует только выбранные подписки Azure. Партнеры могут выполнять многоразовую выборку подписок, но не могут повторно активировать более 10 подписок за раз. Связанный план Azure должен быть активным для повторной активации подписок Azure. Партнеры могут повторно активировать планы Azure непосредственно в Центре партнеров, перейдя на страницу сведений о плане Azure и обновив состояние плана Azure обратно на Активный.

Если подписка Azure была отменена клиентом или владельцем выставления счетов в портал Azure, необходимо связаться с клиентом или владельцем выставления счетов, чтобы повторно активировать подписку из портал Azure.

Сведения о повторной активации с помощью API см. в статье "Повторная активация подписки Azure — разработчик приложения партнера". Дополнительные сведения см. в статье о расходах Azure. Повторно активируйте право Azure.

Дополнительные сведения о повторной активации подписок Azure см. в документации по Azure.