Azure tasarruf planlarını görüntüleme ve yönetme izinleri

Bu makalede, tasarruf planı izinlerinin nasıl çalıştığı ve kullanıcıların Azure portalında Azure tasarruf planlarını nasıl görüntüleyip yönetebileceği açıklanmaktadır.

Bir tasarruf planını varsayılan olarak yönetebilecek kişiler

İki farklı yetkilendirme yöntemi, kullanıcının tasarruf planlarını görüntüleme, yönetme ve izinlerini devretme becerisini denetler. Bunlar faturalama yöneticisi rolleridir ve plan rol tabanlı erişim denetimi (RBAC) rollerini kaydeder.

Faturalama yöneticisi rolleri

Yerleşik faturalama yöneticisi rollerini kullanarak tasarruf planlarına yönelik izinleri görüntüleyebilir, yönetebilir ve devredebilirsiniz. Microsoft Müşteri Sözleşmesi ve Kurumsal Anlaşma faturalama rolleri hakkında daha fazla bilgi edinmek için bkz. Azure'da Microsoft Müşteri Sözleşmesi yönetim rollerini anlama ve Azure Kurumsal Anlaşma rollerini yönetmeSıra -sıyla.

Kaydetme planı eylemleri için gereken faturalama yöneticisi rolleri

• Tasarruf planlarını görüntüleme:
  • Microsoft Müşteri Sözleşmesi: Faturalama profili okuyucusu veya üzeri olan kullanıcılar
  • Kurumsal Anlaşma: Kuruluş yöneticisi olan kullanıcılar (salt okunur) veya üzeri
  • Microsoft İş Ortağı Sözleşmesi: Desteklenmez
• Tasarruf planlarını yönetme (tam faturalama profili/kaydı için izinler vererek elde edilir):
  • Microsoft Müşteri Sözleşmesi: Faturalama profili katkıda bulunanı veya üzeri olan kullanıcılar
  • Kurumsal Anlaşma: Kurumsal Anlaşma yöneticisi veya üzeri olan kullanıcılar
  • Microsoft İş Ortağı Sözleşmesi: Desteklenmez
• Tasarruf planı izinlerini temsilci olarak belirleyin:
  • Microsoft Müşteri Sözleşmesi: Faturalama profili katkıda bulunanı veya üzeri olan kullanıcılar
  • Kurumsal Anlaşma: Kurumsal Anlaşma satın almacı veya üzeri olan kullanıcılar
  • Microsoft İş Ortağı Sözleşmesi: Desteklenmez

Tasarruf planlarını faturalama yöneticisi olarak görüntüleme ve yönetme

Faturalama rolü kullanıcısıysanız, Azure portalında tüm tasarruf planlarını ve tasarruf planı işlemlerini görüntülemek ve yönetmek için bu adımları izleyin.

1. Azure portalında oturum açın ve Maliyet Yönetimi + Faturalama'ya gidin.
   • Kurumsal Anlaşma hesabı altındaysanız soldaki menüde Faturalama kapsamları'nı seçin. Ardından faturalama kapsamları listesinden birini seçin.
   • Microsoft Müşteri Sözleşmesi hesabı altındaysanız soldaki menüde Faturalama profilleri'ni seçin. Faturalama profilleri listesinden bir profil seçin.
2. Soldaki menüde Ürünler + hizmetler>Tasarruf planları'nı seçin. Kurumsal Anlaşma kaydınız veya Microsoft Müşteri Sözleşmesi faturalama profiliniz için tasarruf planlarının tam listesi görüntülenir.
3. Faturalama rolü kullanıcıları, Tasarruf Planı Siparişi - REST API'sini yükselterek kendilerine Azure RBAC rolleri vermek için bir tasarruf planının sahipliğini alabilir.

Faturalama yöneticileri ekleme

Kullanıcıyı Azure portalındaki bir Kurumsal Anlaşma veya Microsoft Müşteri Sözleşmesi faturalama yöneticisi olarak ekleyin.

• Kurumsal Anlaşma: Kurumsal Anlaşma uygulanan tüm tasarruf planı siparişlerini görüntülemek ve yönetmek için Kurumsal yönetici rolüne sahip kullanıcılar ekleyin. Kuruluş yöneticileri Maliyet Yönetimi ve Faturalama’da tasarruf planlarını görüntüleyebilir ve yönetebilir.
  • Kurumsal yönetici (salt okunur) rolüne sahip kullanıcılar tasarruf planını yalnızca Maliyet Yönetimi + Faturalama'dan görüntüleyebilir.
  • Bölüm yöneticileri ve hesap sahipleri, Erişim denetimi (IAM) kullanılarak kendilerine açıkça eklenmediği sürece tasarruf planlarını görüntüleyemez. Daha fazla bilgi için bkz . Azure Kurumsal rollerini yönetme.
• Microsoft Müşteri Sözleşmesi: Faturalama profili sahibi rolüne veya faturalama profili katkıda bulunan rolüne sahip kullanıcılar, faturalama profilini kullanarak yapılan tüm tasarruf planı satın alma işlemlerini yönetebilir.
  • Faturalandırma profili okuyucuları ve fatura yöneticileri, faturalandırma profiliyle ilgili ödenen tüm tasarruf planlarını görüntüleyebilir. Ancak, tasarruf planları üzerinde değişiklik yapamaz. Daha fazla bilgi için bkz. Faturalandırma profili rolleri ve görevleri.

Tasarruf planı RBAC rolleri

Tasarruf planı yaşam döngüsü bir Azure aboneliğinden bağımsızdır. Tasarruf planları, satın alma sonrasında aboneliklerden izinleri devralamaz. Tasarruf planları, kendi Azure RBAC izinlerine sahip kiracı düzeyinde bir kaynaktır.

Genel bakış

Plana özgü dört tasarruf rolü vardır:

• Tasarruf planı yöneticisi: Bir kiracıdaki bir veya daha fazla tasarruf planının yönetimine ve RBAC rollerinin diğer kullanıcılara temsiline izin verir.
• Tasarruf planı satın alan: Belirtilen abonelikle tasarruf planlarının satın alınmasına izin verir.
  • Abonelik dışı yöneticiler ve abonelik dışı sahipler tarafından satın alma veya rezervasyon takası için tasarruf planlarına izin verir.
  • Satın alma olmayan yöneticiler tarafından tasarruf planı satın alma etkinleştirilmelidir. Daha fazla bilgi için bkz . Azure tasarruf planı satın alma izinleri.
• Tasarruf planı katkıda bulunanı: Bir kiracıdaki bir veya daha fazla tasarruf planının yönetimine izin verir, ancak RBAC rollerinin diğer kullanıcılara devredilmemesini sağlar.
• Tasarruf planı okuyucusu: Kiracıdaki bir veya daha fazla tasarruf planına salt okunur erişime izin verir.

Bu rollerin kapsamı belirli bir kaynak varlığı (örneğin, abonelik veya tasarruf planı) veya Microsoft Entra kiracısı (dizin) olarak ayarlanabilir. Azure RBAC hakkında daha fazla bilgi edinmek için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.

Tasarruf planı eylemleri için gereken tasarruf planı RBAC rolleri

• Tasarruf planlarını görüntüleme:
  • Kiracı kapsamı: Tasarruf planı okuyucusu veya üzeri olan kullanıcılar.
  • Tasarruf planı kapsamı: Yerleşik okuyucu veya üzeri.
• Tasarruf planlarını yönetme:
  • Kiracı kapsamı: Tasarruf planı katkıda bulunanı veya üzeri olan kullanıcılar.
  • Tasarruf planı kapsamı: Yerleşik katkıda bulunan veya sahip rolleri ya da tasarruf planı katkıda bulunanı veya üzeri.
• Tasarruf planı izinlerini temsilci olarak belirleyin:
  • Kiracı kapsamı: Kiracıdaki tüm kaydetme planlarına RBAC rolleri vermek için Kullanıcı Erişimi yönetici hakları gereklidir. Bu hakları kazanmak için Erişim yükseltme adımlarını izleyin.
  • Tasarruf planı kapsamı: Tasarruf planı yöneticisi veya kullanıcı erişim yöneticisi.

Ayrıca, abonelik bir tasarruf planı satın almak için kullanıldığında abonelik sahibi rolünü üstlenen kullanıcılar da satın alınan tasarruf planı için izinleri görüntüleyebilir, yönetebilir ve temsilci olarak kullanabilir.

RBAC erişimiyle tasarruf planlarını görüntüleme

Tasarruf planına özgü RBAC rolleriniz (tasarruf planı yöneticisi, satın almacı, katkıda bulunan veya okuyucu), satın alınan tasarruf planlarınız varsa veya tasarruf planlarına sahip olarak eklendiyseniz, Azure portalda tasarruf planlarını görüntülemek ve yönetmek için bu adımları izleyin.

1. Azure Portal’ında oturum açın.
2. Erişiminiz olan tasarruf planlarını listelemek için Ev>Tasarrufu planları'na tıklayın.

Kullanıcılara ve gruplara RBAC rolleri ekleme

Tasarruf planı RBAC rollerini devretme hakkında bilgi edinmek için bkz . Tasarruf planı RBAC rollerini devretme.

Kuruluş yöneticileri bir tasarruf planı siparişinin sahipliğini alabilir. Kullanarak bir tasarruf planına başka kullanıcılar ekleyebilirler Erişim denetimi (IAM).

PowerShell ile erişim izni verme

Tasarruf planı siparişleri için sahip erişimi olan kullanıcılar, yükseltilmiş erişimi olan kullanıcılar ve kullanıcı erişim yöneticileri , erişim sahibi oldukları tüm tasarruf planı siparişleri için erişim yönetimi temsilcisi seçebilir.

PowerShell kullanılarak verilen erişim, Azure portalında gösterilmez. Bunun yerine, atanan rolleri görüntülemek için aşağıdaki bölümdeki komutunu kullanırsınız get-AzRoleAssignment .

Tüm tasarruf planları için sahip rolünü atama

Kullanıcıya Microsoft Entra kiracısında (dizin) tüm tasarruf planı siparişlerine Azure RBAC erişimi vermek için aşağıdaki Azure PowerShell betiğini kullanın:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Sahiplik rolünü atamak için PowerShell betiğini kullandığınızda ve başarıyla çalıştırıldığında, bir başarı iletisi döndürülmüyor.

Parametreler

• ObjectId: Kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra nesne kimliği

  • Tür: Dize
  • Diğer Adlar: Kimlik, PrincipalId
  • Konum: Adlandırılmış
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: True
  • Joker karakterleri kabul et: False

• TenantId: Kiracı benzersiz tanımlayıcısı

  • Tür: Dize
  • Konum: 5
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: False
  • Joker karakterleri kabul et: False

Azure PowerShell betiğini kullanarak kiracı düzeyinde bir tasarruf planı yönetici rolü ekleme

PowerShell ile kiracı düzeyinde bir tasarruf planı yönetici rolü eklemek için aşağıdaki Azure PowerShell betiğini kullanın:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parametreler

• ObjectId: Kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra nesne kimliği

  • Tür: Dize
  • Diğer Adlar: Kimlik, PrincipalId
  • Konum: Adlandırılmış
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: True
  • Joker karakterleri kabul et: False

• TenantId: Kiracı benzersiz tanımlayıcısı

  • Tür: Dize
  • Konum: 5
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: False
  • Joker karakterleri kabul et: False

Azure PowerShell betiğini kullanarak kiracı düzeyinde bir tasarruf planı katkıda bulunanı rolü atama

PowerShell ile kiracı düzeyinde tasarruf planı katkıda bulunanı rolünü atamak için aşağıdaki Azure PowerShell betiğini kullanın:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parametreler

• ObjectId: Kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra nesne kimliği

  • Tür: Dize
  • Diğer Adlar: Kimlik, PrincipalId
  • Konum: Adlandırılmış
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: True
  • Joker karakterleri kabul et: False

• TenantId: Kiracı benzersiz tanımlayıcısı

  • Tür: Dize
  • Konum: 5
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: False
  • Joker karakterleri kabul et: False

Azure PowerShell betiğini kullanarak kiracı düzeyinde tasarruf planı okuyucu rolü atama

PowerShell ile kiracı düzeyinde tasarruf planı okuyucu rolünü atamak için aşağıdaki Azure PowerShell betiğini kullanın:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parametreler

• ObjectId: Kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra nesne kimliği

  • Tür: Dize
  • Diğer Adlar: Kimlik, PrincipalId
  • Konum: Adlandırılmış
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: True
  • Joker karakterleri kabul et: False

• TenantId: Kiracı benzersiz tanımlayıcısı

  • Tür: Dize
  • Konum: 5
  • Varsayılan değer: Yok
  • İşlem hattı girişini kabul et: False
  • Joker karakterleri kabul et: False

Sonraki adımlar

• Azure tasarruf planlarını yönetme