Разрешения на просмотр резервирований Azure и управление ими

В этой статье приводятся сведения о принципах действия разрешений для резервирования, а также о том, как пользователи могут просматривать резервирования Azure и управлять ими с помощью портала Azure и Azure PowerShell.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Пользователи, которые по умолчанию могут управлять резервированием

По умолчанию просматривать резервирования и управлять ими могут следующие пользователи:

  • В заказ на резервирование добавляется покупатель резервирования и администратор учетной записи в подписке для выставления счетов, которая использовалась для покупки резервирования.
  • Администраторы выставления счетов по Соглашению Enterprise и Клиентскому соглашению Майкрософт.
  • Пользователи с повышенными правами доступа для управления всеми подписками и группами управления Azure.
  • Администратор резервирования для резервирований в клиенте (каталоге) Microsoft Entra
  • Читатель резервирования с доступом только для чтения к резервированиям в своем клиенте (каталоге) Microsoft Entra

Жизненный цикл резервирования не зависит от подписки Azure, поэтому резервирование не является ресурсом в подписке Azure. Резервирование представляет собой ресурс уровня клиента с собственными разрешениями RBAC Azure, и не зависит от подписок. После покупки резервирования не наследуют разрешения от подписок.

Просмотр резервирований и управление ими

Если вы являетесь администратором выставления счетов, выполните следующие действия, чтобы просмотреть все резервирования и транзакции резервирований и управлять ими на портале Azure.

  1. Войдите на портал Azure и выберите Управление затратами + выставление счетов.
    • Если вы являетесь администратором EA, в левом меню выберите Области выставления счетов. Затем выберите одну область в соответствующем списке.
    • Если вы являетесь владельцем профиля выставления счетов по Клиентскому соглашению Майкрософт, в левом меню выберите Профили выставления счетов. Выберите один профиль в соответствующем списке.
  2. В меню слева выберите Продукты и службы>Резервирования.
  3. Отобразится полный список резервирований для вашей регистрации EA или профиля выставления счетов.
  4. Чтобы принять в собственность резервирование, администратор выставления счетов может выбрать одно или несколько резервирований, нажав Предоставить доступ, а затем выбрав Предоставить доступ в появившемся окне. Для Клиентское соглашение Майкрософт пользователь должен находиться в том же клиенте Microsoft Entra (каталоге), что и резервирование.

Добавление администраторов выставления счетов

Добавьте пользователя в качестве администратора выставления счетов по Соглашению Enterprise или Клиентскому соглашению Майкрософт на портале Azure.

  • Для варианта с Соглашением Enterprise назначьте пользователям роль Администратор предприятия, чтобы они могли просматривать заказы на резервирование, относящиеся к Соглашению Enterprise, и управлять ими. Администраторы предприятия могут просматривать резервирования и управлять ими в Управлении затратами и выставлении счетов.
    • Пользователи с ролью Администратор предприятия (только чтение) могут только просматривать резервирования в Управлении затратами и выставлении счетов.
    • Администраторы отделов и владельцы учетных записей смогут просматривать резервирования, только если им явно разрешить это с помощью управления доступом (IAM). Дополнительные сведения см. в статье Управление ролями в Azure Enterprise.
  • В случае с Клиентским соглашением Майкрософт пользователи с ролью владельца или участника профиля выставления счетов могут управлять всеми покупками резервирований, выполненными с помощью профиля выставления счетов. Читатели профиля выставления счетов и менеджеры счетов могут просматривать все резервирования, оплаченные с помощью профиля выставления счетов. Но эти пользователи не могут вносить изменения в резервирования. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

Просмотр резервирований с помощью прав доступа Azure RBAC

Если вы приобрели резервирование или вас добавили в резервирование, выполните следующие действия для просмотра резервирований и управления ими на портале Azure.

  1. Войдите на портал Azure.
  2. Выберите Все службы>Резервирования, чтобы отобразить список доступных вам резервирований.

Управление подписками и группами управления с повышенными правами доступа

Вы можете повысить права доступа пользователя для управления всеми подписками и группами управления Azure .

После повышения прав доступа:

  1. Перейдите в раздел Все службы>Резервирование, чтобы просмотреть все резервирования в клиенте.
  2. Чтобы внести изменения в резервирование, добавьте себя в качестве владельца заказа на резервирование с помощью Системы управления идентификацией и доступом (IAM).

Предоставление доступа к отдельным резервированиям

Пользователи с правами владельца для резервирования и администраторы выставления счетов могут делегировать управление доступом для отдельного заказа на резервирование на портале Azure.

Разрешить другим пользователям управлять резервированиями можно двумя способами.

  • Делегируйте управление доступом для отдельного заказа на резервирование, назначив пользователю роль владельца в области действия ресурса, который связан с заказом на резервирование. Если вы хотите предоставить ограниченный доступ, выберите другую роль.
    Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

  • Добавьте пользователя в качестве администратора выставления счетов по Соглашению Enterprise или Клиентскому соглашению Майкрософт:

    • Для варианта с Соглашением Enterprise назначьте пользователям роль Администратор предприятия, чтобы они могли просматривать заказы на резервирование, относящиеся к Соглашению Enterprise, и управлять ими. Пользователи с ролью Администратор предприятия (только чтение) могут только просматривать резервирования. Администраторы отделов и владельцы учетных записей смогут просматривать резервирования, только если им явно разрешить это с помощью управления доступом (IAM). Дополнительные сведения см. в статье Управление ролями в Azure Enterprise.

      Администраторы предприятия могут становиться владельцами заказа на резервирование и добавлять в него других пользователей с помощью управления доступом (IAM).

    • В случае с Клиентским соглашением Майкрософт пользователи с ролью владельца или участника профиля выставления счетов могут управлять всеми покупками резервирований, выполненными с помощью профиля выставления счетов. Читатели профиля выставления счетов и менеджеры счетов могут просматривать все резервирования, оплаченные с помощью профиля выставления счетов. Но эти пользователи не могут вносить изменения в резервирования. Дополнительные сведения см. в разделе Роли и задачи профиля выставления счетов.

Предоставление доступа с помощью PowerShell

Пользователи, имеющие доступ владельца к заказам на резервирование, пользователи с повышенными правами доступа и администраторы доступа пользователей могут делегировать управление доступом для всех заказов на резервирование, к которым у них есть доступ.

Доступ, предоставленный с помощью PowerShell, не отражается на портале Azure. Вместо этого для просмотра назначенных ролей используйте команду get-AzRoleAssignment в следующем разделе.

Назначение роли владельца для всех резервирований

Используйте приведенный ниже сценарий Azure PowerShell, чтобы предоставить пользователю доступ Azure RBAC ко всем заказам на резервирование в его клиенте (каталоге) Microsoft Entra.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

При использовании скрипта PowerShell для назначения роли владения и ее успешного запуска сообщение об успешном выполнении не возвращается.

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

  • Тип: строка
  • Псевдонимы: ID, PrincipalId
  • Позиция: имя
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: да
  • Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: нет
  • Принимает подстановочные знаки: нет

Доступ на уровне арендатора

Права администратора доступа пользователей необходимы, прежде чем предоставить пользователям или группам роли "Администратор резервирования" и "Читатель резервирования" на уровне клиента. Чтобы получить права администратора доступа пользователей на уровне арендатора, выполните действия для Повышения прав доступа.

Добавление роли администратора резервирования или роли читателя резервирований на уровне клиента

Только глобальные администраторы могут назначать эти роли из портал Azure.

  1. Войдите на портал Azure и перейдите к разделу Резервирования.
  2. Выберите резервирование, к которому у вас есть доступ.
  3. В верхней части страницы выберите пункт Назначение ролей.
  4. Выберите вкладку Роли.
  5. Чтобы внести изменения, добавьте пользователя в качестве администратора резервирования или средства чтения резервирования с помощью управления доступом.

Добавьте роль администратора резервирования на уровне арендатора с помощью скрипта Azure PowerShell

Используйте приведенный ниже сценарий Azure PowerShell, чтобы добавить роль администратора резервирования на уровне арендатора с помощью PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

  • Тип: строка
  • Псевдонимы: ID, PrincipalId
  • Позиция: имя
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: да
  • Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: нет
  • Принимает подстановочные знаки: нет

Назначьте роль читателя резервирования на уровне арендатора с помощью скрипта Azure PowerShell

Используйте приведенный ниже сценарий Azure PowerShell, чтобы назначить роль читателя резервирования на уровне арендатора с помощью PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Параметры

-ObjectId Microsoft Entra ObjectId пользователя, группы или субъекта-службы.

  • Тип: строка
  • Псевдонимы: ID, PrincipalId
  • Позиция: имя
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: да
  • Принимает подстановочные знаки: нет

-TenantId: уникальный идентификатор арендатора.

  • Тип: строка
  • Позиция: 5
  • Значение по умолчанию: нет
  • Принимает входные данные конвейера: нет
  • Принимает подстановочные знаки: нет

Следующие шаги