Permissões para ver e gerenciar reservas do Azure
Este artigo explica como as permissões de reserva funcionam e como os usuários podem ver e gerenciar reservas do Azure no portal do Azure e com o Azure PowerShell.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Quem pode gerenciar uma reserva por padrão
Por padrão, os seguintes usuários podem ver e gerenciar reservas:
- A pessoa que compra uma reserva e o administrador da conta da assinatura para cobrança usada para comprar a reserva são adicionadas ao pedido de reserva.
- Administradores de cobrança do Contrato Enterprise e do Contrato de Cliente da Microsoft.
- Usuários com acesso elevado para gerenciar todas as assinaturas e os grupos de gerenciamento do Azure
- Um administrador de reserva para reservas em seu locatário (diretório) do Microsoft Entra
- Um leitor de reserva tem acesso de somente leitura a reservas em seu locatário (diretório) do Microsoft Entra
O ciclo de vida da reserva é independente de uma assinatura do Azure. Portanto, a reserva não é um recurso na assinatura do Azure. Em vez disso, é um recurso no nível dos locatários com uma permissão própria do RBAC do Azure separada das assinaturas. As reservas não herdam permissões das assinaturas após a compra.
Exibir e gerenciar reservas
Se você é um administrador de cobrança, use as etapas a seguir para ver e gerenciar todas as reservas e as transações de reserva no portal do Azure.
- Entre no portal do Azure e navegue até Gerenciamento de Custos e Cobrança do Azure.
- Se você for um administrador de EA, no menu à esquerda, selecione Escopos de cobrança e, na lista de escopos de cobrança, selecione um.
- Se você for proprietário do perfil de cobrança do Contrato de Cliente da Microsoft, no menu à esquerda, selecione Perfis de cobrança. Na lista de perfis de cobrança, selecione um.
- No menu à esquerda, selecione Produtos + serviços>Reservas.
- A lista completa de reservas para seu registro ou perfil de cobrança do EA é mostrada.
- Os administradores de cobrança podem apropriar-se de uma reserva selecionando-a e escolhendo uma ou múltiplas reservas, selecionando Conceder acesso e Conceder acesso novamente na janela que é exibida. Para um Contrato de Cliente da Microsoft, o usuário deve estar no mesmo locatário (diretório) do Microsoft Entra que a reserva.
Adicionar Administradores de cobrança
Adicione um usuário como Administrador de cobrança a um Contrato Enterprise ou um Contrato de Cliente da Microsoft no portal do Azure.
- Para um Contrato Enterprise, adicione usuários com a função Administrador Corporativo para ver e gerenciar todos os pedidos de reserva que se aplicam ao Contrato Enterprise. Os administradores corporativos podem ver e gerenciar reservas no Gerenciamento de Custos e Cobrança.
- Os usuários com a função Administrador Corporativo (somente leitura) só podem ver a reserva em Gerenciamento de Custos e Cobrança.
- Os administradores de departamento e os proprietários da conta não podem ver as reservas a menos que sejam explicitamente adicionados a elas por meio do Controle de acesso (IAM). Para obter mais informações, confira Como gerenciar funções corporativas do Azure.
- Para um Contrato de Cliente da Microsoft, os usuários com a função proprietário ou colaborador do perfil de cobrança podem gerenciar todas as compras de reserva feitas usando o perfil de cobrança. Os leitores do perfil de cobrança e os gerenciadores de faturas podem ver todas as reservas pagas com o perfil de cobrança. No entanto, eles não podem fazer alterações nas reservas. Para obter mais informações, confira Funções e tarefas do perfil de cobrança.
Exibir as reservas com acesso ao RBAC do Azure
Se você comprou a reserva ou foi adicionado a uma reserva, siga as etapas abaixo para ver e gerenciar reservas no portal do Azure.
- Entre no portal do Azure.
- Selecione Todos os serviços>Reserva para listar as reservas às quais você tem acesso.
Gerenciar assinaturas e grupos de gerenciamento com acesso elevado
Você pode elevar o acesso de um usuário para gerenciar todas as assinaturas e os grupos de gerenciamento do Azure.
Depois que você tiver o acesso elevado:
- Navegue até Todos os Serviços>Reserva para ver todas as reservas que estão no locatário.
- Para fazer modificações na reserva, adicione a si mesmo como um proprietário da ordem de reserva usando o controle de acesso (IAM).
Conceder acesso a reservas individuais
Os usuários que têm acesso de proprietário nas reservas e os administradores de cobrança podem delegar o gerenciamento de acesso para uma ordem de reserva individual no portal do Azure.
Para permitir que outras pessoas gerenciem reservas, você tem duas opções:
Delegar o gerenciamento de acesso para um pedido de reserva individual atribuindo a função de Proprietário a um usuário no escopo do recurso do pedido de reserva. Se quiser permitir acesso limitado, escolha outra função.
Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.Adicione um usuário como Administrador de cobrança a um Contrato Enterprise ou um Contrato de Cliente da Microsoft:
Para um Contrato Enterprise, adicione usuários com a função Administrador Corporativo para ver e gerenciar todos os pedidos de reserva que se aplicam ao Contrato Enterprise. Os usuários com a função Administrador Corporativo (somente leitura) só podem ver a reserva. Os administradores de departamento e os proprietários da conta não podem ver as reservas a menos que sejam explicitamente adicionados a elas por meio do Controle de acesso (IAM). Para obter mais informações, confira Como gerenciar funções corporativas do Azure.
Os administradores corporativos podem se apropriar de um pedido de reserva e adicionar outros usuários a uma reserva usando o Controle de acesso (IAM).
Para um Contrato de Cliente da Microsoft, os usuários com a função proprietário ou colaborador do perfil de cobrança podem gerenciar todas as compras de reserva feitas usando o perfil de cobrança. Os leitores do perfil de cobrança e os gerenciadores de faturas podem ver todas as reservas pagas com o perfil de cobrança. No entanto, eles não podem fazer alterações nas reservas. Para obter mais informações, confira Funções e tarefas do perfil de cobrança.
Conceder acesso com o PowerShell
Os usuários que têm acesso de proprietário para pedidos de reservas, usuários com acesso elevado e Administradores de Acesso do Usuário podem delegar o gerenciamento de acesso para todos os pedidos de reserva aos que têm acesso.
O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment
comando na seção a seguir para exibir as funções atribuídas.
Atribuir a função de proprietário para todas as reservas
Use o script Azure PowerShell a seguir para dar a um usuário acesso RBAC do Azure a todos os pedidos de reservas em seu locatário (diretório) do Microsoft Entra.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Quando você usa o script do PowerShell para atribuir a função de propriedade e ela é executada com êxito, uma mensagem de êxito não é retornada.
Parâmetros
-ObjectId ObjectId do Microsoft Entra do usuário, grupo ou entidade de serviço.
- Tipo: String
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceita caracteres curinga: False
-TenantId Identificador exclusivo do locatário.
- Tipo: String
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceita caracteres curinga: False
Acesso no nível do locatário
Os direitos do Administrador de Acesso do Usuário são necessários para que você possa conceder aos usuários ou grupos as funções de Administrador de Reserva e Leitor de Reserva no nível do locatário. Para obter os direitos do Administrador de Acesso do Usuário no nível do locatário, siga as etapas para Elevar acesso.
Adicionar uma função de Administrador de Reserva ou Leitor de Reserva no nível do locatário
Somente Administradores Globais podem atribuir essas funções no portal do Azure.
- Entre no portal do Azure e navegue até Reservas.
- Selecione uma reserva à qual você deve acessar.
- Na parte superior da página, selecione Atribuição de função.
- Selecione a guia Funções.
- Para fazer alterações, adicione o usuário como administrador de reserva ou leitor de reserva usando o controle de acesso.
Adicionar uma função de Administrador de Reserva no nível do locatário usando o script do Azure PowerShell
Use o script Azure PowerShell a seguir para adicionar uma função de Administrador de Reserva no nível do locatário com o PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parâmetros
-ObjectId ObjectId do Microsoft Entra do usuário, grupo ou entidade de serviço.
- Tipo: String
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceita caracteres curinga: False
-TenantId Identificador exclusivo do locatário.
- Tipo: String
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceita caracteres curinga: False
Atribuir uma função de Administrador de Reserva no nível do locatário usando o script do Azure PowerShell
Use o script Azure PowerShell a seguir para atribuir uma função de Administrador de Reserva no nível do locatário com o PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parâmetros
-ObjectId ObjectId do Microsoft Entra do usuário, grupo ou entidade de serviço.
- Tipo: String
- Aliases: Id, PrincipalId
- Posição: Nomeado
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: True
- Aceita caracteres curinga: False
-TenantId Identificador exclusivo do locatário.
- Tipo: String
- Posição: 5
- Valor padrão: Nenhum
- Aceitar entrada de pipeline: False
- Aceitar caracteres curinga: False