通过

查看和管理Azure预留的权限

本文介绍如何在Azure中使用预留权限,以及授权用户如何在Azure portal和Azure PowerShell中查看和管理Azure预留。

注释

建议使用 Azure Az PowerShell 模块与Azure交互。 请参阅 Install Azure PowerShell 来开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 Migrate Azure PowerShell从 AzureRM 迁移到 Az

默认情况下可以管理预留的用户

默认情况下,以下用户可以查看和管理预留:

  • 预订服务的用户
  • 用于购买预留的计费订阅的账户管理员
  • Enterprise Agreement和Microsoft Customer Agreement计费管理员
  • 具有提升的访问权限以管理所有 Azure 订阅和管理组的用户
  • 具有预留管理员或预留参与者角色的用户在其 Microsoft Entra 租户(目录)中的预留管理。

具有预订读取者角色的用户可以在其 Microsoft Entra 租户(目录)中对预订获得只读访问权限。

预留生命周期独立于Azure订阅。 预留不是Azure订阅下的资源。 它是租户级别的资源,具有独立于订阅的基于角色的访问控制权限。 购买后,预留不会从订阅中继承权限。

查看和管理预留

用户查看、管理和委托预留权限的能力取决于两种授权方法:

  • 计费管理员角色
  • 预留资源角色访问控制(RBAC)角色

计费管理员角色

可以使用内置的账单管理角色来查看、管理和委托与预留相关的权限。 若要详细了解 Microsoft Customer Agreement 和 Enterprise Agreement 计费角色,请分别参阅 了解 Azure 中的 Microsoft Customer Agreement 管理角色 以及 管理 Azure Enterprise Agreement 角色

执行预订操作所需的计费管理员角色

查看预留

  • Microsoft Customer Agreement:具有计费配置文件读取者角色或更高角色的用户
  • Enterprise Agreement:具有企业管理员(只读)权限或更高级别的用户
  • Microsoft Partner Agreement:不支持

管理预订(权限委派用于完整计费档案或注册信息)

  • Microsoft Customer Agreement:拥有计费配置文件贡献者角色或更高级别权限的用户
  • Enterprise Agreement:具有Enterprise Agreement管理员角色或以上的用户
  • Microsoft Partner Agreement:不支持

委托预留权限

  • Microsoft Customer Agreement:拥有计费配置文件贡献者角色或更高级别权限的用户
  • Enterprise Agreement:具有Enterprise Agreement购买者角色或更高角色的用户
  • Microsoft Partner Agreement:不支持

若要购买预留,企业协议管理员或计费配置文件所有者必须至少具有一个企业协议或Microsoft客户协议订阅的“所有者”或“预留购买者”访问权限。 此选项对于希望集中团队购买预留的企业非常有用。 有关详细信息,请参阅 购买Azure预留

以计费管理员身份查看和管理预订

如果你是计费角色用户,请按照以下步骤查看和管理Azure portal中的所有预留和预留交易。

  1. 登录到 Azure portal 并转到 Cost Management + Billing
    • 如果你有Enterprise Agreement帐户,请在服务菜单中选择计费范围。 然后选择其中一个计费范围。
    • 如果你有Microsoft Customer Agreement帐户,请在服务菜单中选择计费配置文件。 然后,选择其中一个计费配置文件。
  2. 在服务菜单上,选择 “产品 + 服务>预留 + 混合权益”。 将在这里显示企业协议注册或 Microsoft 客户协议计费配置文件的所有预订的完整列表。

具有 Billing 角色的用户可以通过选择一个或多个预留来取得预留的所有权,然后在出现的窗口中选择“授予访问权限”。 如果您拥有Microsoft Customer Agreement帐户,则用户应与预订位于同一Microsoft Entra租户(目录)中。

添加计费管理员

将用户添加为 Azure 门户中的 Enterprise Agreement 或 Microsoft Customer Agreement 的计费管理员。

  • Enterprise Agreement:具有企业管理员角色的用户可以查看和管理应用于Enterprise Agreement的所有预留订单。 具有企业管理员角色的用户可以在 成本管理 + 计费中查看和管理预留。
    • 具有企业管理员(只读)角色的用户只能查看 成本管理 + 计费中的预留。
    • 部门管理员和账户持有者无法查看预留,除非您使用访问控制 (IAM) 选项将其显式添加到预留中。 有关详细信息,请参阅 管理 Azure 企业角色
  • Microsoft Customer Agreement:具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以使用计费配置文件管理所有预留购买。
    • 计费配置文件的查看者和发票管理员可以查看通过计费配置文件支付的所有预订。 但是,他们不能对预留进行更改。 有关详细信息,请参阅计费概况角色和任务

Azure预留 RBAC 角色

Azure 提供四个预留项目特定的、具有不同权限级别的 RBAC 角色:

  • 预留管理员:具有此角色的用户可以在其Microsoft Entra 租户(目录)中管理一个或多个预留。 他们还可以向其他用户委派 RBAC 角色
  • 预订购买者:具有此角色的用户可以使用指定的订阅(即使不是订阅所有者)进行预订购买。
  • 预留参与者:具有此角色的用户可以在其Microsoft Entra 租户(目录)中管理一个或多个预留,但不能将 RBAC 角色委派给其他用户。
  • 保留项目只读者:具有此角色的用户在其 Microsoft Entra 租户(目录)中对一个或多个保留项目具有只读访问权限。

这些角色可以限定为特定资源实体(例如订阅或预留)或Microsoft Entra 租户。 若要了解有关 RBAC 的详细信息,请参阅 什么是基于角色的 access control(RBAC)?

Azure 预留操作所需的 RBAC 角色

查看预留

  • 租户范围:具有预订查看者角色或更高角色的用户
  • 预留范围:内置读取角色或更高级别

管理预留

  • 租户范围:具有“预留参与者”角色或更高角色的用户
  • 保留范围:内置贡献者或所有者角色,或预留项贡献者或更高级别

委托预留权限

  • Tenant scope:您需要 User Access Administrator 权限,才能为租户中的所有预留授予 RBAC 角色。 若要获取这些权限,请按照 提升访问权限步骤进行操作。
  • 保留范围:具有预留管理员或用户Access管理员角色的用户。

此外,使用订阅购买预留时成为订阅所有者的用户还可以查看、管理和委托已购买预留的权限。

使用 RBAC 访问权限查看和管理预留

如果你有与预留相关的 RBAC 角色(预留管理员、购买者、参与者或读者),或者你购买了预留,或被添加为预留的所有者,请按照以下步骤在 Azure 门户中查看和管理预留:

  1. 登录到Azure portal。
  2. 选择主页>预订,以列出您有权限访问的预留。

小窍门

如果看不到预订信息,请确保使用具备相应权限的帐户登录。 对于跨租户方案,请确保你位于正确的租户上下文中。

授权预留 RBAC 角色

在本部分中,你将了解如何:

  • 将“预留购买者”角色委托给特定的订阅。
  • 将预留管理员角色、参与者角色或读者角色指定给特定预留。
  • 将预留管理员、参与者或读者角色分配给所有预留。

通过 RBAC 角色购买、管理或查看预订的用户和组,必须从 Home>Reservation 访问预订。

注释

企业管理员可以拥有预留订单的所有权。 他们可以使用 Access control (IAM) 选项将其他用户添加到预留。

将预留购买者角色委托给特定订阅

将预留购买者角色委派给特定订阅之前,请先确保你具有提升访问权限。 然后,按照以下步骤进行:

  1. 转到 主页>预订,查看租户中的所有预订。
  2. 若要修改预留,请使用 Access control (IAM) 选项将自己添加为预留订单的所有者。

将预留管理员、参与者或读者角色委派给特定预留

若要将管理员、参与者或读者角色委托给特定预留,请按照以下步骤操作。

  1. 转到 主页>预订
  2. 选择预订。
  3. 在服务菜单中选择 Access control (IAM)
  4. 选择 “添加”,然后从顶部导航栏中选择 “添加角色分配 ”。

将预留管理员、参与者或读者角色委派给所有预留

在租户级别授予 RBAC 角色需要用户访问管理员权限。 若要获取用户访问管理员权限,请按照步骤提升访问权限

将管理员、参与者或读者角色分配给租户中的所有预留资源:

  1. 转到 主页>预订
  2. 从顶部导航栏中选择 “角色分配 ”,然后选择所需的角色。

向单个预订授予访问权限

拥有“预留所有者”访问权限和“帐单管理员”权限的用户可以在 Azure 门户中委托单个预留订单的访问管理。

若要允许其他人管理预留,可通过两种方式实现:

  • 通过在预留订单的资源范围内,将所有者角色分配给用户,来委托管理针对单个预留订单的访问。 如果您希望提供有限的访问权限,请选择其他角色。 有关详细步骤,请参阅通过 Azure 门户分配 Azure 角色

  • 将某用户添加为企业协议或 Microsoft 客户协议的计费管理员:

    • Enterprise Agreement:具有企业管理员角色的用户可以查看和管理应用于Enterprise Agreement的所有预留订单。 具有企业管理员(只读)角色的用户只能查看预留。 部门管理员和账户持有者无法查看预留,除非您使用访问控制 (IAM) 选项将其显式添加到预留中。 有关详细信息,请参阅 管理 Azure 企业角色
    • Microsoft Customer Agreement:具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以使用计费配置文件管理所有预留购买。 计费配置文件的查看者和发票管理员可以查看通过计费配置文件支付的所有预订。 但是,他们不能对预留进行更改。 有关详细信息,请参阅计费概况角色和任务

注释

企业管理员可以拥有预留订单的所有权。 他们可以使用 Access control (IAM) 选项将其他用户添加到预留。

使用 PowerShell 授予访问权限

拥有预留订单所有者访问权限的用户、拥有提升的访问权限的用户以及具有“用户访问管理员”角色的用户,可以委托他们有权访问的所有预留订单的访问管理。

在 Azure 门户中未显示你使用 PowerShell 授予的访问权限。 而是使用 get-AzRoleAssignment 命令查看分配的角色。

有关使用 PowerShell 授予访问权限的详细信息,请参阅 使用 PowerShell 向预留授予 RBAC 访问权限

相关内容

  • Last updated on