Разрешения на просмотр экономичных планов Azure и управление ими

В этой статье объясняется, как работают разрешения плана экономии и как пользователи могут просматривать планы экономии Azure и управлять ими в портал Azure.

Кто может управлять экономичным планом по умолчанию

Два различных метода авторизации контролируют возможность пользователя просматривать, управлять и делегировать разрешения на планы сбережений. Они — роли администратора по выставлению счетов и роли управления доступом к плану сбережений на основе ролей (RBAC).

Роли администратора выставления счетов

Вы можете просматривать, управлять и делегировать разрешения на планы сбережений с помощью встроенных ролей администратора для выставления счетов. Чтобы узнать больше о ролях выставления счетов в рамках Клиентского соглашения Microsoft и Корпоративного соглашения, см. Общие сведения об административных ролях в Клиентском соглашении Microsoft Azure и Управление ролями в рамках Корпоративного соглашения в Azure соответственно.

Роли администратора выставления счетов, необходимые для действий плана экономии

• Просмотр планов экономии:
  • Клиентское соглашение Майкрософт: Пользователи с правами чтения профиля выставления счетов или выше
  • Корпоративное соглашение: пользователи с правами корпоративного администратора (только для чтения) или выше
  • Соглашение с партнером Майкрософт: не поддерживается
• Управление планами сбережений (это достигается делегированием разрешений для полного профиля выставления счетов и регистрации):
  • Клиентское соглашение Майкрософт: пользователи с правами редактора профиля выставления счетов и выше
  • Корпоративное соглашение: Пользователи с правами администратора корпоративного соглашения или выше
  • Соглашение с партнером Майкрософт: не поддерживается
• Делегирование разрешений плана сбережений
  • Клиентское соглашение Майкрософт: пользователи с правами редактора профиля выставления счетов и выше
  • Корпоративное соглашение: пользователи с правами покупателя в рамках Корпоративного соглашения или выше
  • Соглашение с партнером Майкрософт: не поддерживается

Просмотр планов сбережений и управление ими в качестве администратора по биллингу

Если вы являетесь пользователем роли выставления счетов, выполните следующие действия, чтобы просмотреть и управлять всеми планами экономии и операциями с этими планами в портале Azure.

1. Войдите в портал Azure и перейдите в раздел "Управление затратами и выставление счетов".
   • Если у вас учетная запись по корпоративному соглашению, в меню слева выберите Области выставления счетов. Затем в списке областей выставления счетов выберите один.
   • Если у вас учетная запись с клиентским соглашением Microsoft, в меню слева выберите профили оплаты. В списке профилей выставления счетов выберите один.
2. В меню слева выберите "Продукты и услуги>" сберегательные планы. Будет представлен полный список планов экономии для регистрации по Корпоративному соглашению или профиля для Клиентского соглашения Майкрософт выставления счетов.
3. Пользователи с ролью выставления счетов могут стать владельцами плана экономии с помощью Приказа на план экономии - повышение REST API, чтобы назначить себе роли Azure RBAC.

Добавление администраторов выставления счетов

Добавьте пользователя в качестве администратора выставления счетов в Соглашение Enterprise или Клиентское соглашение Майкрософт в портал Azure.

• Соглашение корпорации: Добавьте пользователей с ролью администратора Предприятия для просмотра и управления всеми заказами плана экономии, применяемыми в рамках Соглашения корпорации. Администраторы предприятия могут просматривать экономичные планы и управлять ими в разделе Управление затратами + выставление счетов.
  • Пользователи с ролью администратора предприятия (только для чтения) могут просматривать только план экономии от управления затратами и выставления счетов.
  • Администраторы отдела и владельцы учетных записей не могут просматривать планы экономии, если они явно не добавляются в них с помощью управления доступом (IAM). Дополнительные сведения см. в статье "Управление ролями Azure Enterprise".
• Клиентское соглашение Microsoft: пользователи с ролью владельца профиля выставления счетов или участника профиля выставления счетов могут управлять всеми покупками планов экономии, выполненными с использованием профиля выставления счетов.
  • Читатели профиля выставления счетов и менеджеры счетов могут просматривать все планы экономии, оплаченные с помощью профиля выставления счетов. Однако эти пользователи не могут вносить изменения в экономичные планы. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

Роли RBAC для плана экономии

Жизненный цикл плана экономии не зависит от подписки Azure. После покупки планы сбережений не наследуют разрешения от подписок. Планы экономии — это ресурс уровня клиента с собственными разрешениями Azure RBAC.

Обзор

Существует четыре роли RBAC для конкретного плана экономии:

• Администратор сберегательных планов: Предоставляет возможность управления одним или несколькими сберегательными планами в области арендатора и делегировать роли RBAC другим пользователям.
• Покупатель плана сбережений: позволяет приобретать планы сбережений по указанной подписке.
  • Позволяет покупать планы экономии или обменивать резервирование небиллинговым администраторам и владельцам, не являющимся подписчиками.
  • Необходимо разрешить покупку плана экономии администраторам, не работающим с выставлением счетов. Для получения дополнительной информации см. разрешения на покупку плана экономии Azure.
• Участник плана сбережений: Позволяет управлять одним или несколькими планами сбережений в арендаторе, но не позволяет делегировать роли RBAC другим пользователям.
• Читатель планов сбережений: позволяет доступ только для чтения к одному или нескольким планам экономии в арендном пространстве.

Эти роли могут быть ограничены определенной сущностью ресурса (например, подпиской или планом экономии) или клиентом Microsoft Entra (каталогом). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей Azure (Azure RBAC)?

Роли плана экономии RBAC, необходимые для действий плана экономии

• Просмотр планов экономии:
  • Область арендатора: пользователи с правами на просмотр планов экономии или выше.
  • Область действия плана экономии: встроенное средство чтения или новее.
• Управление планами экономии:
  • Область арендатора: пользователи с ролью участника плана экономии или выше.
  • Область охвата плана экономии: встроенные роли участника или владельца, или участник плана экономии или выше.
• Делегирование разрешений плана сбережений
  • Область арендатора: администратор доступа пользователей необходим для предоставления ролей RBAC всем планам экономии в арендаторе. Чтобы получить эти права, выполните действия по повышению доступа .
  • Область плана экономии: администратор плана экономии или администратор доступа пользователей.

Кроме того, пользователи, которые имели роль владельца подписки, когда подписка использовалась для приобретения плана сбережений, могут также просматривать, управлять и делегировать разрешения для приобретенного плана сбережений.

Просмотр планов экономии с доступом RBAC

Если у вас есть роли RBAC для конкретного плана экономии (администратор, покупатель, участник или читатель), вы приобрели планы экономии или вас добавили в качестве владельца в планы экономии, выполните следующие действия, чтобы просмотреть и управлять планами экономии в портале Azure.

1. Войдите на портал Azure.
2. Выберите планы экономии дома>, чтобы вывести список планов экономии, к которым у вас есть доступ.

Добавление ролей RBAC для пользователей и групп

Дополнительные сведения о делегировании ролей RBAC для планов экономии см. в статье Делегирование ролей RBAC плана экономии.

Администраторы предприятия могут взять на себя ответственность за заказ на сберегательный план. Они могут добавлять других пользователей в план экономии с помощью Управление доступом (IAM).

Предоставление доступа с помощью PowerShell

Пользователи, имеющие доступ владельца к заказам на сберегательный план, пользователи с повышенными правами доступа и администраторы доступа пользователей могут делегировать управление доступом ко всем заказам плана экономии, к которым у них есть доступ.

Доступ, предоставленный с помощью PowerShell, не отображается в портал Azure. Вместо этого для просмотра назначенных ролей используйте команду get-AzRoleAssignment в следующем разделе.

Назначение роли владельца для всех планов экономии

Чтобы предоставить пользователю доступ Azure RBAC ко всем заказам по плану экономии в клиенте Microsoft Entra (каталог), используйте следующий сценарий Azure PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

При использовании скрипта PowerShell для назначения роли владельца и его успешного выполнения сообщение об успешности выполнения не отображается.

Параметры

• ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы

  • Тип: строка
  • Псевдонимы: Id, PrincipalId
  • Положение: Назначенное
  • Значение по умолчанию: None
  • Прием входных данных конвейера: Да
  • Примите подстановочные знаки: False

• TenantId: уникальный идентификатор клиента

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: None
  • Прием конвейерного ввода: Ложь
  • Примите подстановочные знаки: False

Добавление роли администратора плана экономии на уровне клиента с помощью скрипта Azure PowerShell

Чтобы добавить роль администратора плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Параметры

• ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы

  • Тип: строка
  • Псевдонимы: Id, PrincipalId
  • Положение: Назначенное
  • Значение по умолчанию: None
  • Прием входных данных конвейера: Да
  • Примите подстановочные знаки: False

• TenantId: уникальный идентификатор клиента

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: None
  • Прием конвейерного ввода: Ложь
  • Примите подстановочные знаки: False

Назначение роли участника плана экономии на уровне клиента с помощью скрипта Azure PowerShell

Чтобы назначить роль участника плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Параметры

• ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или служебного принципала

  • Тип: строка
  • Псевдонимы: Id, PrincipalId
  • Положение: Назначенное
  • Значение по умолчанию: None
  • Прием входных данных конвейера: Да
  • Примите подстановочные знаки: False

• TenantId: уникальный идентификатор клиента

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: None
  • Прием конвейерного ввода: Ложь
  • Примите подстановочные знаки: False

Назначение роли читателя планов экономии на уровне клиента с помощью скрипта Azure PowerShell

Чтобы назначить роль читателя плана экономии на уровне клиента с помощью PowerShell, используйте следующий сценарий Azure PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Параметры

• ObjectId: идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы

  • Тип: строка
  • Псевдонимы: Id, PrincipalId
  • Положение: Назначенное
  • Значение по умолчанию: None
  • Прием входных данных конвейера: Да
  • Примите подстановочные знаки: False

• TenantId: уникальный идентификатор клиента

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: None
  • Прием конвейерного ввода: Ложь
  • Примите подстановочные знаки: False

Следующие шаги

• Управление планами экономии Azure