Azure Kurumsal abonelikleri oluşturmak için erişim izni verme (eski)
Kurumsal Anlaşma (EA) olan bir Azure müşterisi olarak, hesabınıza faturalanan abonelikler oluşturmak için başka bir kullanıcıya veya hizmet sorumlusuna izin verebilirsiniz. Bu makalede Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak abonelik oluşturma becerisini paylaşmayı ve abonelik oluşturma işlemlerini izlemeyi öğreneceksiniz. Paylaşmak istediğiniz hesapta Sahip rolünüz olmalıdır.
Not
- Bu API yalnızca abonelik oluşturma için eski API'lerle çalışır.
- Eski API'leri kullanmak için belirli bir ihtiyacınız yoksa, en son API sürümü hakkında en son GA sürümüne ilişkin bilgileri kullanmanız gerekir. Bkz. Kayıt Hesabı Rol Atamaları - En son API ile EA abonelikleri oluşturma izni vermek için yerleştirme.
- Daha yeni API'leri kullanmaya geçiyorsanız 2019-10-01-preview kullanarak yeniden sahip izinleri vermeniz gerekir. Aşağıdaki API'leri kullanan önceki yapılandırmanız otomatik olarak daha yeni API'leri kullanacak şekilde dönüştürülmez.
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Erişim verme
Kayıt hesabı altında abonelikler oluşturmak için kullanıcıların söz konusu hesapta Azure RBAC Sahibi rolü olmalıdır. Aşağıdaki adımları izleyerek kullanıcıya veya kullanıcı grubuna bir kayıt hesabında Azure RBAC Sahibi rolü verebilirsiniz:
Erişim vermek istediğiniz kayıt hesabının nesne kimliğini alma
Başkalarına kayıt hesabında Azure RBAC Sahibi rolü vermek için hesabın Hesap Sahibi veya bir Azure RBAC Sahibi olmalısınız.
Erişiminiz olan tüm kayıt hesaplarını listeleme isteği:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
Azure erişiminiz olan tüm kayıt hesaplarını listeleyerek yanıt verir:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }
principalName
özelliğini kullanarak Azure RBAC Sahibi erişimi vermek istediğiniz hesabı belirleyin. Bu hesabınname
değerini kopyalayın. Örneğin SignUpEngineering@contoso.com kayıt hesabına Azure RBAC Sahibi erişimi vermek istiyorsanız747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
değerini kopyalayın. Bu, kayıt hesabının nesne kimliğidir. Bir sonraki adımdaenrollmentAccountObjectId
olarak kullanabilmeniz için bu değeri bir yere yapıştırın.principalName
özelliğini kullanarak Azure RBAC Sahibi erişimi vermek istediğiniz hesabı belirleyin. Bu hesabınname
değerini kopyalayın. Örneğin SignUpEngineering@contoso.com kayıt hesabına Azure RBAC Sahibi erişimi vermek istiyorsanız747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
değerini kopyalayın. Bu, kayıt hesabının nesne kimliğidir. Bir sonraki adımdaenrollmentAccountObjectId
olarak kullanabilmeniz için bu değeri bir yere yapıştırın.Azure RBAC Sahibi rolünü vermek istediğiniz kullanıcının veya grubun nesne kimliğini alma
- Azure portalında Microsoft Entra Id'de arama yapın.
- Bir kullanıcıya erişim vermek istiyorsanız sol taraftaki menüde Kullanıcılar'ı seçin. Bir gruba erişim vermek için Gruplar'ı seçin.
- Azure RBAC Sahibi rolünü vermek istediğiniz Kullanıcıyı veya Grubu seçin.
- Kullanıcı seçtiyseniz, Profil sayfasında nesne kimliğini bulabilirsiniz. Grup seçtiyseniz, nesne kimliği Genel Bakış sayfasında olur. Metin kutusunun sağ tarafındaki simgeyi seçerek ObjectID değerini kopyalayın. Bir sonraki adımda
userObjectId
olarak kullanabilmek için bu değeri bir yere yapıştırın.
Kullanıcıya veya gruba kayıt hesabında Azure RBAC Sahibi rolü verme
İlk iki adımda topladığınız değerleri kullanarak kullanıcıya veya gruba kayıt hesabında Azure RBAC Sahibi rolü verin.
Aşağıdaki komutu çalıştırın;
<enrollmentAccountObjectId>
değerini ilk adımda kopyaladığınızname
ile değiştirin (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
).<userObjectId>
değerini ikinci adımda kopyaladığınız nesne kimliğiyle değiştirin.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }
Kayıt hesabı bağlamında Sahip rolü başarıyla atandığında, Azure rol atamasının bilgileriyle yanıt verir:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Etkinlik günlüklerini kullanarak abonelikleri kimin oluşturduğunu denetleme
Bu API yoluyla oluşturulan abonelikleri izlemek için Kiracı Etkinlik Günlüğü API'sini kullanın. Şu anda PowerShell, CLI veya Azure portalı kullanarak abonelik oluşturma işlemini izlemek mümkün değildir.
Microsoft Entra kiracısının kiracı yöneticisi olarak erişimi yükseltin ve ardından kapsamı
/providers/microsoft.insights/eventtypes/management
üzerinden denetim kullanıcısına bir Okuyucu rolü atayın. Bu erişim Okuyucu rolünde, İzleme katkıda bulunanı rolü veya özel bir rolde kullanılabilir.Denetleyen kullanıcı olarak, abonelik oluşturma etkinliklerini görmek için Kiracı Etkinlik Günlüğü API'sini çağırın. Örnek:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Bu API'yi komut satırından rahatça çağırmak için ARMClient'ı deneyin.
İlgili içerik
- Artık kullanıcının veya hizmet sorumlusunun abonelik oluşturma izni olduğuna göre, bu kimliği kullanarak program aracılığıyla Azure Kurumsal abonelikleri oluşturabilirsiniz.
- .NET kullanarak abonelik oluşturma örneği için GitHub'da örnek koda bakın.
- Azure Resource Manager ve onun API'leri hakkında daha fazla bilgi edinmek için bkz Azure Resource Manager’a genel bakış.
- Yönetim gruplarını kullanarak çok fazla sayıda aboneliği yönetme hakkında daha fazla bilgi edinmek için bkz. Kaynaklarınızı Azure yönetim gruplarıyla düzenleme
- Büyük kuruluşlara yönelik abonelik idaresiyle ilgili kapsamlı bir en iyi yöntemler kılavuzu için bkz. Azure kurumsal iskelesi - açıklayıcı abonelik idaresi
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin