Udělení přístupu k vytváření předplatných Azure Enterprise (starší verze)
Jako zákazník Azure se smlouvou Enterprise (EA) můžete jinému uživateli nebo instančnímu objektu poskytnout oprávnění pro vytváření předplatných fakturovaných na váš účet. V tomto článku se dozvíte, jak používat řízení přístupu na základě role v Azure (Azure RBAC) ke sdílení možností vytváření předplatných a jak auditovat vytváření předplatných. Pro účet, který chcete sdílet, musíte mít roli vlastníka.
Poznámka:
- Toto rozhraní API funguje jenom se staršími rozhraními API pro vytváření předplatných.
- Pokud nemáte konkrétní potřebu používat starší rozhraní API, měli byste použít informace pro nejnovější verzi GA o nejnovější verzi rozhraní API. Viz Přiřazení rolí registračního účtu – Udělení oprávnění k vytváření předplatných EA pomocí nejnovějšího rozhraní API.
- Pokud migrujete na novější rozhraní API, musíte znovu udělit oprávnění vlastníka s využitím verze 2019-10-01-preview. Předchozí konfigurace, která využívá následující rozhraní API, se automaticky nepřevede na použití s novějšími rozhraními API.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Udělit přístup
Pokud uživatelé chtějí vytvářet předplatná v rámci registračního účtu, musí pro tento účet mít roli vlastníka Azure RBAC. Uživateli nebo skupině uživatelů můžete udělit roli vlastníka Azure RBAC pro registrační účet pomocí následujících kroků:
Získejte ID objektu registračního účtu, pro který chcete udělit přístup:
Abyste mohli ostatním udělit roli vlastníka Azure RBAC v rámci registračního účtu, musíte mít pro tento účet roli vlastníka účtu nebo vlastníka Azure RBAC.
Požádejte o výpis všech registračních účtů, ke kterým máte přístup:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-previewAzure odpoví výpisem všech registračních účtů, ke kterým máte přístup:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }K určení účtu, ke kterému chcete přidělit roli vlastníka Azure RBAC, použijte vlastnost
principalName. Zkopírujtenametohoto účtu. Pokud například chcete přístup vlastníka Azure RBAC udělit registračnímu účtu SignUpEngineering@contoso.com, zkopírujeteaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Je to ID objektu registračního účtu. Tuto hodnotu někam vložte, abyste ji mohli použít v dalším kroku jakoenrollmentAccountObjectId.K určení účtu, ke kterému chcete přidělit roli vlastníka Azure RBAC, použijte vlastnost
principalName. Zkopírujtenametohoto účtu. Pokud například chcete přístup vlastníka Azure RBAC udělit registračnímu účtu SignUpEngineering@contoso.com, zkopírujeteaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Je to ID objektu registračního účtu. Tuto hodnotu někam vložte, abyste ji mohli použít v dalším kroku jakoenrollmentAccountObjectId.Získejte ID objektu uživatele nebo skupiny, kterým chcete poskytnout roli vlastníka Azure RBAC:
- Na webu Azure Portal vyhledejte Microsoft Entra ID.
- Pokud chcete udělit přístup pro uživatele, v nabídce na levé straně vyberte Uživatelé. Pokud chcete udělit přístup ke skupině, vyberte Skupiny.
- Vyberte uživatele nebo skupinu, kterým chcete poskytnout roli vlastníka Azure RBAC.
- Pokud jste vybrali uživatele, najdete ID objektu na stránce profilu. Pokud jste vybrali skupinu, ID objektu bude uvedené na stránce přehledu. Výběrem ikony napravo od textového pole zkopírujte ObjectID. Někam ho vložte, abyste ho mohli použít v dalším kroku jako
userObjectId.
Uživateli nebo skupině udělte roli vlastníka Azure RBAC pro registrační účet:
Pomocí hodnot, které jste shromáždili v prvních dvou krocích, udělte uživateli nebo skupině roli vlastníka Azure RBAC pro registrační účet.
Spusťte následující příkaz a nahraďte přitom
<enrollmentAccountObjectId>hodnotouname, kterou jste zkopírovali v prvním kroku (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Místo<userObjectId>použijte ID objektu, které jste zkopírovali v druhém kroku.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }Když se role vlastníka úspěšně přiřadí v rozsahu registračního účtu, Azure odpoví informacemi o přiřazení role:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Audit, kdo vytvořil odběry, s využitím protokolů aktivit
Pokud chcete sledovat předplatná vytvořená přes toto rozhraní API, použijte rozhraní API pro protokoly aktivit tenanta. Ke sledování vytváření předplatných není možné použít PowerShell, rozhraní příkazového řádku ani Azure Portal.
Jako správce tenanta Microsoft Entra zvyšte úroveň přístupu a potom přiřaďte uživateli auditování roli Čtenář nad rozsah
/providers/microsoft.insights/eventtypes/management. Tento přístup je k dispozici v rámci rolí Čtenář a Přispěvatel monitorování a vlastních rolí.Jako uživatel provádějící audit můžete aktivity vytváření předplatných zobrazit voláním rozhraní API pro protokoly aktivit tenanta. Příklad:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Pokud chcete toto rozhraní API pohodlně volat z příkazového řádku, vyzkoušejte ARMClient.
Související obsah
- Teď když má uživatel nebo instanční objekt oprávnění k vytvoření předplatného, můžete tuto identitu použít k programovému vytváření předplatných Azure Enterprise.
- Příklad vytváření předplatných pomocí rozhraní .NET najdete v ukázkovém kódu na GitHubu.
- Další informace o Azure Resource Manageru a jeho rozhraních API najdete v tématu Přehled Azure Resource Manageru.
- Další informace o správě velkého počtu předplatných pomocí skupin pro správu najdete v tématu věnovaném uspořádání prostředků pomocí skupin pro správu v Azure.
- Pokud si chcete projít kompletní doprovodné materiály k osvědčeným postupům pro zásady správného řízení pro předplatná ve velkých organizacích, přečtěte si téma Základní kostra Azure Enterprise – zásady správného řízení pro předplatná