分配对成本管理数据的访问权限
具有 Azure Enterprise (EA) 协议的用户在 Azure 门户中被授予了一些权限的组合,这些权限定义了用户对成本管理数据的访问级别。 对于其他 Azure 帐户类型的用户,使用 Azure 基于角色的访问控制 (RBAC) 来定义用户对成本管理数据的访问级别更为简单。 本文介绍如何分配对成本管理数据的访问权限。 为用户分配权限组合后,该用户可以根据其访问范围及其在 Azure 门户中选择的范围查看成本管理中的数据。
用户所选的范围将用于整个成本管理,以提供数据整合并控制对成本信息的访问。 使用范围时,用户不会多选它们。 而应选择一个子范围要汇总到的较大范围,然后筛选到要查看的范围。 理解数据整合很重要,因为有些人不应该访问子范围所属的父范围。
成本管理范围
成本管理支持各种 Azure 帐户类型。 若要查看支持的帐户类型的完整列表,请参阅了解成本管理数据。 帐户的类型确定可用范围。
Azure EA 订阅范围
若要查看 Azure EA 订阅的成本数据,用户必须至少具有以下一个或多个范围的读取权限。
范围 | 定义位置 | 查看数据所需的访问权限 | 先决条件 EA 设置 | 将数据合并到 |
---|---|---|---|---|
计费帐户¹ | https://portal.azure.cn | • 企业管理员 • 注册读者(Enterprise 管理员只读) |
无 | 企业协议中的所有订阅 |
部门 | https://portal.azure.cn | 部门管理员 | DA 视图费用已启用 | 属于一个合约帐户的所有订阅,该帐户已关联到部门 |
注册帐户² | https://portal.azure.cn | 帐户所有者 | AO 视图费用已启用 | 注册帐户的所有订阅 |
管理组 | https://portal.azure.cn | 成本管理读取者(或参与者) | AO 视图费用已启用 | 管理组下的所有订阅 |
订阅 | https://portal.azure.cn | 成本管理读取者(或参与者) | AO 视图费用已启用 | 订阅中的所有资源/资源组 |
资源组 | https://portal.azure.cn | 成本管理读取者(或参与者) | AO 视图费用已启用 | 资源组中的所有资源 |
¹ 计费帐户还称为“企业协议”或“合约”。
² 合约帐户还称为“帐户所有者”。
企业管理员可以在 Azure 门户中分配计费帐户、部门和注册帐户范围。 有关详细信息,请参阅直接企业协议的 Azure 门户管理。
其他 Azure 帐户范围
若要查看其他 Azure 订阅的成本数据,用户必须至少具有以下一个或多个范围的读取权限:
- 管理组
- 订阅
- 资源组
在合作伙伴将客户加入 Microsoft 客户协议后,将有各种范围可用。 在 CSP 合作伙伴为其云解决方案提供商 (CSP) 客户启用成本管理功能后,客户即可使用该功能。 有关详细信息,请参阅面向合作伙伴的成本管理入门。
启用对 Azure 门户中的成本的访问
如果你拥有 Microsoft 客户协议 (MCA) 或企业协议,则可以在 Azure 门户中启用对成本的访问。 所需设置因范围而异。 使用以下信息在 Azure 门户中启用对成本的访问。
启用对成本的 MCA 访问
Azure 费用设置用于启用对 MCA 订阅成本的访问。 该设置在 Azure 门户中的计费帐户范围处提供。 必须具有计费对象信息所有者权限才能启用该设置。 否则,你不会看到该设置。
若要启用该设置,请执行以下步骤:
- 使用具有计费对象信息所有者权限的帐户登录到 Azure 门户。
- 选择“成本管理 + 计费”菜单项。
- 选择“计费范围”查看可用计费范围和计费帐户的列表。
- 从可用计费帐户列表中选择你的计费帐户。
- 在左侧导航窗格中,选择“计费对象信息”。
- 选择计费配置文件。
- 在左侧导航窗格中,选择“策略”。
- 将“Azure 费用”设置配置为“是”。
启用对成本的 EA 访问
部门范围要求将“部门管理员可以查看费用”(“DA 查看费用”)选项设置为“打开”。 在 Azure 门户中配置该选项。 所有其他范围都要求将“帐户所有者可以查看费用”(帐户所有者 (AO) 查看费用)选项设置为“打开”。 必须具有企业管理员角色才能启用该设置。 否则,你不会看到该设置。
若要在 Azure 门户中启用选项:
- 使用企业管理员帐户登录到 Azure 门户。
- 选择“成本管理 + 计费”菜单项。
- 选择“计费范围”查看可用计费范围和计费帐户的列表。
- 从可用计费帐户列表中选择你的计费帐户。
- 在“设置”下选择“策略”菜单项,然后配置设置 。
启用视图费用选项后,大多数范围还需要 Azure 门户中的 Azure 基于角色的访问控制 (Azure RBAC) 权限配置。
企业管理员角色
默认情况下,企业管理员可以访问计费帐户(企业协议/注册)和所有其他范围(子范围)。 企业管理员为其他用户分配对这些范围的访问权限。 考虑到业务连续性,最好始终保持有两位用户具有企业管理员访问权限。 以下部分提供示例来演示企业管理员如何为其他用户分配对这些范围的访问权限。
分配计费帐户范围的访问权限
访问计费帐户范围需要企业管理员权限。 企业管理员可以查看整个 EA 注册或多个注册的成本。 企业管理员可以将对计费帐户范围的访问权限分配给另一个具有只读访问权限的用户。 有关更多信息,请参阅添加另一个企业管理员。
用户可能需要 30 分钟才能访问成本管理中的数据。
分配部门范围访问权限
访问部门范围需要部门管理员(DA 查看费用)访问权限。 部门管理员可以查看与一个或多个部门关联的成本和使用情况数据。 部门数据包含属于关联至该部门的合约帐户的所有订阅。
企业管理员可以分配部门管理员访问权限。 有关详细信息,请参阅添加部门管理员。
分配合约帐户范围的访问权限
访问注册帐户范围需要帐户所有者(AO 查看费用)访问权限。 帐户所有者可以查看与从该合约帐户创建的订阅关联的成本和使用情况数据。 企业管理员可以分配帐户所有者访问权限。 有关详细信息,请参阅在 Azure 门户中添加帐户所有者。
分配管理组范围的访问权限
若要查看管理组范围,至少需要成本管理读取者(或参与者)权限。 可以在 Azure 门户中配置对管理组的访问权限。 你必须至少对管理组具有“用户访问权限管理员”(或“所有者”)权限才能为其他人启用访问权限。 对于 Azure EA 帐户,还必须启用 AO 查看费用设置。
可以向管理组范围内的用户分配成本管理读取者(或参与者)角色。 有关详细信息,请参阅使用 Azure 门户分配 Azure 角色。
分配订阅范围的访问权限
若要访问订阅,至少需要成本管理读取者(或参与者)权限。 可以在 Azure 门户中配置对订阅的访问权限。 你必须至少对订阅具有“用户访问权限管理员”(或“所有者”)权限才能为其他人启用访问权限。 对于 Azure EA 帐户,还必须启用 AO 查看费用设置。
可以向订阅范围内的用户分配成本管理读取者(或参与者)角色。 有关详细信息,请参阅使用 Azure 门户分配 Azure 角色。
分配资源组范围的访问权限
若要访问资源组,至少需要成本管理读取者(或参与者)权限。 可以在 Azure 门户中配置对资源组的访问权限。 你必须至少对资源组具有“用户访问权限管理员”(或“所有者”)权限才能为其他人启用访问权限。 对于 Azure EA 帐户,还必须启用 AO 查看费用设置。
可以向资源组范围内的用户分配成本管理读取者(或参与者)角色。 有关详细信息,请参阅使用 Azure 门户分配 Azure 角色。
跨租户身份验证问题
目前,成本管理对跨租户身份验证的支持有限。 在某些情况下,当你尝试跨租户进行身份验证时,可能会在成本分析中收到“访问被拒绝” 错误。 如果你为另一租户的订阅配置 Azure 基于角色的访问控制 (Azure RBAC),然后尝试查看成本数据,则可能会出现此问题。
若要解决此问题,请执行以下操作:在配置跨租户 Azure RBAC 后,请等待一小时。 然后,尝试在两个租户中查看成本分析中的成本或者向用户授予成本管理访问权限。
后续步骤
- 如果还没有阅读成本管理的第一个快速入门,请于开始分析成本阅读。