共用方式為


檢視和管理 Azure 節省方案的權限

本文說明節省方案權限的運作方式,以及使用者如何在 Azure 入口網站中檢視和管理 Azure 節省方案。

預設可以管理節省方案的人員

兩種不同的授權方法可控制用戶檢視、管理及委派儲存方案的許可權的能力。 它們是計費管理員角色,並節省方案角色型訪問控制 (RBAC) 角色。

計費管理員角色

您可以使用內建計費管理員角色來檢視、管理和委派節省方案的許可權。 若要深入瞭解 Microsoft 客戶合約 和 Enterprise 合約 計費角色,請參閱分別瞭解 Azure 和管理 Azure Enterprise 合約 角色中的 Microsoft 客戶合約 系統管理角色

節省方案動作所需的計費管理員角色

  • 檢視節省方案:
    • Microsoft 客戶合約:具有帳單配置檔讀取者或更新版本的使用者
    • Enterprise 合約:具有企業系統管理員的使用者(只讀)或更新版本
    • Microsoft 合作夥伴合約:不支援
  • 管理節省方案(透過委派完整帳單設定檔/註冊的許可權來達成):
    • Microsoft 客戶合約:具有帳單配置檔參與者或更新版本的使用者
    • Enterprise 合約:具有 Enterprise 合約 系統管理員或更新版本的使用者
    • Microsoft 合作夥伴合約:不支援
  • 委派儲存計劃許可權:
    • Microsoft 客戶合約:具有帳單配置檔參與者或更新版本的使用者
    • Enterprise 合約:具有 Enterprise 合約 購買者或更新版本的使用者
    • Microsoft 合作夥伴合約:不支援

以計費管理員身分檢視和管理節省方案

如果您是計費角色使用者,請遵循下列步驟來檢視和管理 Azure 入口網站 中的所有節省方案和節省方案交易。

  1. 登入 Azure 入口網站,然後移至 [成本管理 + 計費]。
    • 如果您位於 Enterprise 合約 帳戶底下,請在左側功能表上選取 [計費範圍]。 然後在計費範圍清單中,選取一個。
    • 如果您是在 Microsoft 客戶合約 帳戶底下,請在左側功能表上選取 [帳單配置檔]。 在帳單設定檔清單中,選取一個設定檔。
  2. 在左側功能表上,選取 [產品 + 服務>節省方案]。 您的 Enterprise 合約 註冊或 Microsoft 客戶合約 帳單配置檔的節省方案完整清單隨即出現。
  3. 計費角色使用者可以使用節省方案訂單 - 提高 REST API 來賦予自己 Azure RBAC 角色的節省方案擁有權。

新增計費管理員

將使用者新增為帳單管理員,以 Enterprise 合約 或 Azure 入口網站 中的 Microsoft 客戶合約。

  • Enterprise 合約:新增具有企業系統管理員角色的使用者,以檢視和管理套用至 Enterprise 合約 的所有節省方案訂單。 企業系統管理員可以在 [成本管理 + 計費] 中檢視和管理節省方案。
    • 具有企業系統管理員(只讀)角色的使用者只能從 成本管理 + 計費檢視節省方案。
    • 部門系統管理員和帳戶擁有者無法使用訪問控制 (IAM) 來檢視儲蓄方案。 如需詳細資訊,請參閱管理 Azure Enterprise 角色
  • Microsoft 客戶合約:具有帳單配置檔擁有者角色或帳單配置檔參與者角色的使用者,可以使用帳單配置檔來管理所有節省方案購買。
    • 帳單設定檔讀者和發票管理者可以檢視使用帳單設定檔所支付的所有節省方案。 不過,他們無法對節省方案進行變更。 如需詳細資訊,請參閱帳單設定檔角色和工作

節省計劃 RBAC 角色

節省方案生命週期與 Azure 訂用帳戶無關。 購買之後,節省方案不會繼承訂閱的權限。 節省方案是具有自己 Azure RBAC 許可權的租用戶層級資源。

概觀

計劃特定的 RBAC 角色有四個節省:

  • 儲存方案管理員:允許 管理 租使用者中的一或多個節省方案,並將 RBAC 角色 委派給其他使用者。
  • 儲蓄方案購買者:允許使用指定的訂用帳戶購買儲蓄方案。
    • 允許非計費系統管理員和非訂閱擁有者購買或 保留 取捨方案。
    • 必須啟用非計費系統管理員購買的節省方案。 如需詳細資訊,請參閱 購買 Azure 節省方案的許可權。
  • 節省方案參與者:允許管理租使用者中的一或多個節省方案,但不允許將 RBAC 角色委派給其他使用者。
  • 節省方案讀者:允許唯讀存取租使用者中的一或多個節省方案。

這些角色的範圍可以是特定資源實體(例如訂用帳戶或節省方案)或 Microsoft Entra 租使用者(目錄)。 若要深入瞭解 Azure RBAC,請參閱 什麼是 Azure 角色型訪問控制(Azure RBAC)?

節省節省計劃動作所需的 RBAC 角色

  • 檢視節省方案:
    • 租用戶範圍:具有節省方案讀者或更新版本的使用者。
    • 節省方案範圍:內建讀取器或更新版本。
  • 管理節省計劃:
    • 租用戶範圍:具有節省方案參與者或更新版本的使用者。
    • 節省方案範圍:內建參與者或擁有者角色,或節省方案參與者或更新版本。
  • 委派儲存計劃許可權:
    • 租使用者範圍需要使用者存取系統管理員 許可權,才能將 RBAC 角色授與租使用者中的所有節省方案。 若要取得這些許可權,請遵循 提高存取 權步驟。
    • 儲存方案範圍:儲存方案管理員或使用者存取管理員。

此外,當訂用帳戶用來購買儲蓄方案時,持有訂用帳戶擁有者角色的使用者也可以檢視、管理和委派所購買儲蓄方案的許可權。

檢視具有 RBAC 存取權的節省方案

如果您有儲蓄方案特定的 RBAC 角色(儲蓄方案管理員、購買者、參與者或讀者)、購買儲蓄方案,或新增為儲蓄計劃的擁有者,請遵循下列步驟來檢視和管理 Azure 入口網站 中的儲蓄方案。

  1. 登入 Azure 入口網站
  2. 選取 [家庭>儲蓄方案] 以列出您有權存取的儲蓄方案。

將 RBAC 角色新增至使用者和群組

若要瞭解如何委派節省計劃 RBAC 角色,請參閱 委派節省方案 RBAC 角色

企業管理員可以取得節省方案訂單的擁有權。 他們可以使用 將其他使用者新增至節省方案 訪問控制 (IAM)

使用 PowerShell 授與存取權

具有儲存方案訂單之擁有者存取權、具有提高存取權的使用者,以及 使用者存取系統管理員 ,可以委派其可存取之所有儲存方案訂單的存取管理。

使用 PowerShell 授與的存取權不會顯示在 Azure 入口網站 中。 相反地,您會使用下一節中的 get-AzRoleAssignment 命令來檢視指派的角色。

為所有節省方案指派擁有者角色

若要讓使用者存取其 Microsoft Entra 租使用者(目錄)中的所有節省方案訂單,請使用下列 Azure PowerShell 腳本:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

當您使用PowerShell腳本指派擁有權角色並成功執行時,不會傳回成功訊息。

參數

  • ObjectId:使用者、群組或服務主體的 Microsoft Entra 物件識別碼

    • 類型:字串
    • 別名:標識碼、PrincipalId
    • 位置:具名
    • 默認值:無
    • 接受管線輸入:True
    • 接受通配符:False
  • TenantId:租使用者唯一標識符

    • 類型:字串
    • 位置:5
    • 默認值:無
    • 接受管線輸入:False
    • 接受通配符:False

使用 Azure PowerShell 腳本在租用戶層級新增節省方案管理員角色

若要使用 PowerShell 在租用戶層級新增節省方案管理員角色,請使用下列 Azure PowerShell 腳本:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

參數

  • ObjectId:使用者、群組或服務主體的 Microsoft Entra 物件識別碼

    • 類型:字串
    • 別名:標識碼、PrincipalId
    • 位置:具名
    • 默認值:無
    • 接受管線輸入:True
    • 接受通配符:False
  • TenantId:租使用者唯一標識符

    • 類型:字串
    • 位置:5
    • 默認值:無
    • 接受管線輸入:False
    • 接受通配符:False

使用 Azure PowerShell 腳本在租用戶層級指派節省方案參與者角色

若要使用PowerShell在租用戶層級指派節省方案參與者角色,請使用下列 Azure PowerShell 腳本:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

參數

  • ObjectId:使用者、群組或服務主體的 Microsoft Entra 物件識別碼

    • 類型:字串
    • 別名:標識碼、PrincipalId
    • 位置:具名
    • 默認值:無
    • 接受管線輸入:True
    • 接受通配符:False
  • TenantId:租使用者唯一標識符

    • 類型:字串
    • 位置:5
    • 默認值:無
    • 接受管線輸入:False
    • 接受通配符:False

使用 Azure PowerShell 腳本在租用戶層級指派節省方案讀取者角色

若要使用PowerShell在租用戶層級指派節省方案讀取者角色,請使用下列 Azure PowerShell 腳本:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

參數

  • ObjectId:使用者、群組或服務主體的 Microsoft Entra 物件識別碼

    • 類型:字串
    • 別名:標識碼、PrincipalId
    • 位置:具名
    • 默認值:無
    • 接受管線輸入:True
    • 接受通配符:False
  • TenantId:租使用者唯一標識符

    • 類型:字串
    • 位置:5
    • 默認值:無
    • 接受管線輸入:False
    • 接受通配符:False

下一步