Concesión de acceso para crear suscripciones de Azure Enterprise (heredado)

Como cliente de Azure del Contrato Enterprise (EA), puede conceder a otro usuario u otra entidad de servicio permisos para crear suscripciones facturadas en su cuenta. En este artículo, aprenderá a usar el control de acceso basado en rol (RBAC) para compartir la capacidad de crear suscripciones y cómo auditar creaciones de suscripciones. Debe tener el rol de propietario en la cuenta que desea compartir.

Nota

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Conceder acceso

Para crear suscripciones en una cuenta de inscripción, los usuarios deben contar con el rol de propietario de Azure RBAC en esa cuenta. Puede conceder a un usuario o a un grupo de usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción si sigue estos pasos:

  1. Obtenga el id. de objeto de la cuenta de inscripción a la que quiere conceder acceso

    Para conceder a otros usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción, debe ser propietario de la cuenta o un propietario de Azure RBAC de la cuenta.

    Solicite mostrar todas las cuentas de inscripción a las que tiene acceso:

    GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
    

    Azure responde con una lista de todas las cuentas de inscripción a las que tiene acceso:

    {
      "value": [
        {
          "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
          "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
          "type": "Microsoft.Billing/enrollmentAccounts",
          "properties": {
            "principalName": "SignUpEngineering@contoso.com"
          }
        },
        {
          "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "type": "Microsoft.Billing/enrollmentAccounts",
          "properties": {
            "principalName": "BillingPlatformTeam@contoso.com"
          }
        }
      ]
    }
    

    Use la propiedad principalName para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elemento name de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaría aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente como enrollmentAccountObjectId.

    Use la propiedad principalName para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elemento name de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaría aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente como enrollmentAccountObjectId.

  2. Obtenga el id. del usuario o grupo al que quiere conceder el rol de propietario de Azure RBAC

    1. En Azure Portal, busque en Microsoft Entra ID.
    2. Si desea conceder acceso a un usuario, seleccione Usuarios en el menú de la izquierda. Para conceder acceso a un grupo, seleccione Grupos.
    3. Seleccione el usuario o grupo al que quiere asignar el rol de propietario de Azure RBAC.
    4. Si ha seleccionado un usuario, encontrará el id. de objeto en la página de perfil. Si ha seleccionado un grupo, el identificador de objeto estará en la página introducción. Copie el valor de ObjectID seleccionando el icono de la derecha del cuadro de texto. Péguelo en algún lugar para poder usarlo en el paso siguiente como userObjectId.
  3. Conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción

    Con los valores que recopiló en los dos primeros pasos, conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción.

    Ejecute el comando siguiente, reemplazando <enrollmentAccountObjectId> por el elemento name copiado en el primer paso (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Reemplace <userObjectId> con el identificador de objeto que ha copiado en el segundo paso.

    PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
    
    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
        "principalId": "<userObjectId>"
      }
    }
    

    Cuando el rol de propietario se asigna correctamente en el ámbito de la cuenta de inscripción, Azure responde con información de la asignación de roles:

    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
        "principalId": "<userObjectId>",
        "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
        "createdOn": "2018-03-05T08:36:26.4014813Z",
        "updatedOn": "2018-03-05T08:36:26.4014813Z",
        "createdBy": "<assignerObjectId>",
        "updatedBy": "<assignerObjectId>"
      },
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
      "type": "Microsoft.Authorization/roleAssignments",
      "name": "<roleAssignmentGuid>"
    }
    

Auditoría que ha creado suscripciones con registros de actividad

Para realizar el seguimiento de las suscripciones creadas a través de esta API, use la API de registro de actividad de inquilinos. Actualmente no es posible usar PowerShell, la CLI ni Azure Portal para realizar el seguimiento de la creación de suscripciones.

  1. Como administrador de inquilinos del inquilino de Microsoft Entra, eleve los privilegios de acceso y asigne un rol de lector al usuario de auditoría con el ámbito /providers/microsoft.insights/eventtypes/management. Este acceso está disponible en el rol Lector, el rol Colaborador de supervisión o un rol personalizado.

  2. Como usuario de auditoría, llame a la API de registro de actividad de inquilinos para ver las actividades de creación de suscripciones. Ejemplo:

    GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
    

Para llamar cómodamente a esta API desde la línea de comandos, pruebe ARMClient.