Поделиться через

Разрешения для просмотра резервирований Azure и управления ими

В этой статье объясняется, как работают разрешения на резервирование в Azure и как авторизованные пользователи могут просматривать и управлять резервированиями в Azure на портале Azure и с помощью Azure PowerShell.

Замечание

Мы рекомендуем использовать модуль Az PowerShell Azure для взаимодействия с Azure. Сведения о начале работы см. в разделе Install Azure PowerShell. Сведения о миграции в модуль Az PowerShell см. в статье Migrate Azure PowerShell из AzureRM в Az.

Пользователи, которые могут управлять резервированием по умолчанию

По умолчанию просматривать резервирования и управлять ими могут следующие пользователи:

  • Пользователь, который покупает резервирование
  • Администратор учетной записи подписки на выставление счетов, используемой для приобретения резервации.
  • Администраторы выставления счетов для Соглашения с корпоративным клиентом и Соглашения с клиентом Microsoft
  • Пользователи с повышенными привилегиями для управления всеми Azure подписками и группами управления
  • Пользователи с ролью "Администратор резервирования" или "Контрибьютор резервирования" в рамках резервирования в клиенте Microsoft Entra (каталог)

Пользователи с ролью читателя резервирования имеют доступ только для чтения к резервированиям в клиенте Microsoft Entra (каталоге).

Жизненный цикл резервирования не зависит от подписки Azure. Резервирование не является ресурсом в подписке Azure. Это ресурс уровня клиента с собственным разрешением на управление доступом на основе ролей, которое отделяется от подписок. После покупки разрешения на резервирование не наследуются от подписок.

Просмотр резервирований и управление ими

Возможность пользователя просматривать, управлять и делегировать разрешения на резервирование зависит от двух методов авторизации:

  • Роли администратора выставления счетов
  • Роли управления доступом на основе ролей резервирования (RBAC)

Роли администратора выставления счетов

Вы можете просматривать, управлять и делегировать разрешения на резервирование с помощью встроенных ролей администратора выставления счетов. Дополнительные сведения о ролях выставления счетов Microsoft Customer Agreement и Enterprise Agreement см. в статьях Понимание административных ролей Microsoft Customer Agreement в Azure и Управление ролями Azure Enterprise Agreement соответственно.

Требуются роли администратора биллинга для действий по резервированию.

Просмотр резервирований

  • Microsoft Customer Agreement: пользователи с ролью "Читатель" профиля выставления счетов или выше
  • Корпоративное соглашение: пользователи с ролью "Администратор предприятия" (только для чтения) или выше
  • Microsoft Partner Agreement: не поддерживается

Управление бронированиями (делегирование разрешений для полного профиля биллинга или регистрации)

  • Microsoft Customer Agreement: пользователи с ролью сотрудника профиля выставления счетов или выше
  • Соглашение Enterprise: пользователи с ролью администратора по соглашению Enterprise или выше
  • Microsoft Partner Agreement: не поддерживается

Делегирование разрешений на резервирование

  • Microsoft Customer Agreement: пользователи с ролью сотрудника профиля выставления счетов или выше
  • Корпоративное соглашение: пользователи с ролью покупателя по корпоративному соглашению или выше
  • Microsoft Partner Agreement: не поддерживается

Чтобы приобрести резервирование, администраторы корпоративного соглашения или владельцы профилей выставления счетов должны иметь доступ владельца или покупателя резервирования как минимум к одной подписке по корпоративному соглашению или подписке Microsoft Customer Agreement. Этот вариант полезен для предприятий, которые хотят, чтобы централизованная команда приобретала резервации. Дополнительные сведения см. в разделе Приобретение резервирования Azure.

Просмотр и управление резервированиями в роли администратора по выставлению счетов

Если вы являетесь пользователем роли выставления счетов, выполните следующие действия, чтобы просмотреть все резервирования и транзакции резервирования на портале Azure и управлять ими.

  1. Войдите на портал Azure и перейдите к Cost Management + Billing.
    • Если у вас есть учетная запись соглашения Enterprise, выберите области выставления счетов в меню службы. Затем выберите одну из областей выставления счетов.
    • Если у вас есть учетная запись Microsoft Customer Agreement, выберите профили Billing в меню службы. Затем выберите один из профилей выставления счетов.
  2. В меню службы выберите Продукты + услуги>Резервирования + Преимущество гибридизации. Отображается полный список резервирований для учетной записи Enterprise Agreement или профиля выставления счетов Microsoft Customer Agreement.

Пользователи с ролью Биллинг могут назначить себя владельцами резервирования, выбрав одно или несколько резервирований, а затем выбрав «Предоставить доступ» в появившемся окне. Если у вас есть учетная запись Microsoft Customer Agreement, пользователь должен находиться в том же клиенте Microsoft Entra (каталоге), что и резервирование.

Добавление администраторов выставления счетов

Добавьте пользователя в качестве администратора выставления счетов в соглашение Enterprise или Microsoft Customer Agreement на портале Azure.

  • Соглашение Enterprise. Пользователи с ролью администратора предприятия могут просматривать и управлять всеми заказами на резервирование, которые применяются к соглашению Enterprise. Пользователи с ролью администратора предприятия могут просматривать резервирования и управлять ими в разделе "Управление затратами и выставление счетов".
    • Пользователи с ролью "Администратор предприятия" (только для чтения) могут просматривать резервирование только из службы "Управление затратами и выставление счетов".
    • Администраторы отдела и владельцы учетных записей не могут просматривать резервирования, если вы явно не добавите их в резервирование с помощью параметра Управления доступом (IAM). Дополнительные сведения см. в разделе Управление корпоративными ролями Azure.
  • Microsoft Customer Agreement: пользователи с ролью владельца платежного профиля или участника могут управлять всеми резервированиями, сделанными с помощью платежного профиля.
    • Пользователи профиля выставления счетов и менеджеры счетов могут просматривать все бронирования, оплаченные данным профилем. Но эти пользователи не могут вносить изменения в бронирования. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

роли RBAC для резервирования Azure

Azure предоставляет четыре роли RBAC для резервирования с различными уровнями разрешений:

  • Администратор резервирования: Пользователи, обладающие данной ролью, могут управлять одним или несколькими резервированиями в тенанте Microsoft Entra (каталоге). Они также могут делегировать роли RBAC другим пользователям.
  • Покупатель резервирования: пользователи с этой ролью могут приобрести резервирование с указанной подпиской (даже если они не являются владельцами подписки).
  • участник Reservations. Пользователи с этой ролью могут управлять одним или несколькими резервированиями в клиенте Microsoft Entra (каталоге), но не могут делегировать роли RBAC другим пользователям.
  • Reservations Reader. Пользователи с этой ролью имеют доступ только для чтения к одному или нескольким резервированиям в клиенте Microsoft Entra (каталоге).

Эти роли могут быть ограничены определенной сущностью ресурса (например, подпиской или резервированием) или клиентом Microsoft Entra. Дополнительные сведения о RBAC см. в статье "Что такое управление доступом на основе ролей( RBAC)?

Azure роли RBAC для резервирования, необходимые для операций резервирования

Просмотр резервирований

  • Область арендатора: пользователи с ролью Читатель резервирования или выше
  • Область резервирования: встроенные роли читателя или более поздней версии

Управление резервированиями

  • Область арендатора: пользователи с ролью участника по резервированиям или выше
  • Область резервирования: встроенные роли участника или владельца, или роль Участника резервирования или выше

Делегирование разрешений на резервирование

Кроме того, пользователи, которые были владельцами подписок, когда подписка использовалась для приобретения резервирования, также могут просматривать, управлять и делегировать разрешения для приобретенного резервирования.

Просмотр резервирований и управление ими с помощью доступа к RBAC

Если у вас есть роли RBAC, связанные с конкретными резервированиями (администратор резервирования, покупатель, участник или читатель), если вы приобрели резервирования, или если вас добавили как владельца резервирований, выполните следующие действия для просмотра и управления ими на портале Azure:

  1. Войдите на портал Azure.
  2. Выберите "Главная>Резервации", чтобы получить список резерваций, к которым у вас есть доступ.

Подсказка

Если вы не видите резервирования, убедитесь, что вы вошли в учетную запись с соответствующими разрешениями. Для межарендаторных сценариев убедитесь, что вы находитесь в правильном контексте арендатора.

Делегирование ролей резервирования RBAC

В этом разделе описано, как:

  • Делегировать роль покупателя резервирования определенной подписке.
  • Делегировать роли администратора, участника или читателя для конкретного бронирования.
  • Делегировать роли администратора резервирования, участника или читателя всем резервированиям.

Пользователи и группы, которые получают возможность приобретать, управлять или просматривать резервирования с помощью ролей RBAC, должны получать доступ к резервированиям из домашнего>резервирования.

Замечание

Администраторы предприятия могут иметь право владения заказом на резервирование. Они могут добавлять других пользователей в резервирование с помощью параметра управления доступом (IAM).

Делегировать роль покупателя резервирования определенной подписке

Чтобы делегировать роль покупателя резервирования определенной подписке, сначала убедитесь, что у вас есть повышенный доступ. Затем выполните следующие действия.

  1. Перейдите к Главная>Резервирования, чтобы просмотреть все резервирования в аренде.
  2. Чтобы внести изменения в резервирование, добавьте себя в качестве владельца заказа на резервирование с помощью параметра управления доступом (IAM).

Делегировать роли администратора по резервированию, участника или читателя для определенного резервирования

Чтобы делегировать роли администратора, контрибьютора или читателя конкретному резервированию:

  1. Перейдите к домашним>резервированиям.
  2. Выберите резервирование.
  3. Выберите элемент управления доступом (IAM) в меню службы.
  4. Выберите "Добавить" и выберите "Добавить назначение ролей " на верхней панели навигации.

Делегировать роли администратора резервирования, участника или читателя всем резервированиям

Для предоставления ролей RBAC на уровне клиента требуются права администратора доступа пользователей. Чтобы получить права администратора доступа пользователей, выполните действия, чтобы повысить уровень доступа.

Чтобы делегировать роль администратора, участника или читателя всем резервациям в арендуемом пространстве:

  1. Перейдите к домашним>резервированиям.
  2. Выберите назначение роли на верхней панели навигации и выберите нужную роль.

Предоставление доступа к отдельным резервированиям

Пользователи, имеющие доступ владельца к резервированиям и администраторам по выставлению счетов, могут делегировать управление доступом для конкретного заказа на резервирование на портале Azure.

Разрешить другим пользователям управлять резервированиями можно двумя способами.

  • Делегируйте управление доступом для отдельного заказа на резервирование, назначив пользователю роль владельца в области действия ресурса, который связан с заказом на резервирование. Если вы хотите предоставить ограниченный доступ, выберите другую роль. Подробные инструкции см. в разделе Назначение ролей Azure с помощью портала Azure.

  • Добавьте пользователя в качестве администратора выставления счетов в соглашение Enterprise или Microsoft Customer Agreement:

    • Соглашение Enterprise. Пользователи с ролью администратора предприятия могут просматривать и управлять всеми заказами на резервирование, которые применяются к соглашению Enterprise. Пользователи с ролью "Администратор предприятия (только для чтения)" могут только просматривать резервацию. Администраторы отдела и владельцы учетных записей не могут просматривать резервирования, если вы явно не добавите их в резервирование с помощью параметра Управления доступом (IAM). Для получения дополнительной информации см. раздел Управление ролями предприятия Azure.
    • Microsoft Customer Agreement: пользователи с ролью владельца платежного профиля или участника могут управлять всеми резервированиями, сделанными с помощью платежного профиля. Пользователи профиля выставления счетов и менеджеры счетов могут просматривать все бронирования, оплаченные данным профилем. Но эти пользователи не могут вносить изменения в бронирования. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

Замечание

Администраторы предприятия могут иметь право владения заказом на резервирование. Они могут добавлять других пользователей в резервирование с помощью параметра управления доступом (IAM).

Предоставление доступа с помощью PowerShell

Пользователи, имеющие доступ владельца для заказов на резервирование, пользователи с повышенными привилегиями и пользователи с ролью администратора доступа пользователей могут делегировать управление доступом для всех заказов на резервирование, к которым у них есть доступ.

Доступ, предоставляемый с помощью PowerShell, не отображается на портале Azure. Вместо этого вы используете get-AzRoleAssignment команду для просмотра назначенных ролей.

Дополнительные сведения о предоставлении доступа с помощью PowerShell см. в статье Предоставление доступа RBAC к резервированиям с помощью PowerShell.

Связанный контент

  • Last updated on