查看和管理 Azure 预留项的权限

本文介绍预留权限在 Azure 中的工作原理，以及授权用户在 Azure 门户中以及 Azure PowerShell 中如何查看和管理 Azure 预留。

默认情况下可以管理预留的用户

默认情况下，以下用户可以查看和管理预留：

• 预订服务的用户
• 用于购买预留的计费订阅的账户管理员
• 企业协议和Microsoft客户协议计费管理员
• 具有提升访问权限以管理所有 Azure 订阅和管理组的用户
• 具有预留管理员或预留参与者角色的用户在其 Microsoft Entra 租户（目录）中的预留管理。

具有预留读取者角色的用户对其Microsoft Entra 租户（目录）中的预留具有只读访问权限。

预留生命周期独立于 Azure 订阅。 预留不是 Azure 订阅下的资源。 它是一个租户级资源，具有独立于订阅的基于角色的访问控制权限。 在购买后，预留项不会从订阅继承权限。

查看和管理预留

用户查看、管理和委托预留权限的能力取决于两种授权方法：

• 计费管理员角色
• 基于角色的预留访问控制 （RBAC） 角色

计费管理员角色

可以使用内置计费管理员角色查看、管理和委托预留权限。 若要详细了解Microsoft客户协议和企业协议计费角色，请参阅 分别了解 Azure 中的客户协议管理角色 和 管理 Azure 企业协议角色中的Microsoft。

预留作所需的计费管理员角色

查看预留

• Microsoft客户协议：具有计费配置文件读取者角色或更高角色的用户
• 企业协议：具有企业管理员（只读）角色或更高权限的用户
• Microsoft 合作伙伴协议：不受支持

管理预订（权限委派用于完整计费档案或注册信息）

• Microsoft客户协议：具有计费档案贡献者角色或更高角色的用户
• 企业协议：具有企业协议管理员角色或更高角色的用户
• Microsoft 合作伙伴协议：不受支持

委托预留权限

• Microsoft客户协议：具有计费档案贡献者角色或更高角色的用户
• 企业协议：具有企业协议购买者角色或更高角色的用户
• Microsoft 合作伙伴协议：不受支持

若要购买保留，企业协议管理员或计费配置文件所有者必须在至少一个企业协议或Microsoft客户协议订阅中拥有所有者或保留购买者访问权限。 此选项对于希望集中团队购买预留的企业非常有用。 有关详细信息，请参阅 “购买 Azure 预留”。

以计费管理员身份查看和管理预留

如果你是计费角色用户，请按照以下步骤在 Azure 门户中查看和管理所有预留和预留交易。

1. 登录到“Azure 门户”，转到“成本管理 + 计费”。
   • 如果你有企业协议帐户，请选择服务菜单上 的计费范围 。 然后选择其中一个计费范围。
   • 如果你有Microsoft客户协议帐户，请在服务菜单上选择 计费配置文件 。 然后，选择其中一个计费配置文件。
2. 在服务菜单上，选择 “产品 + 服务>预留 + 混合权益”。 将显示企业协议注册或Microsoft客户协议计费配置文件的预留的完整列表。

具有 计费 角色的用户可以通过选择一个或多个预留来获取预留的所有权，然后在出现的窗口中选择 “授予访问权限 ”。 如果您拥有 Microsoft 客户协议帐户，则该用户应位于与预留相同的 Microsoft Entra 租户（目录）中。

添加计费管理员

在 Azure 门户中，将用户作为计费管理员添加到企业协议或 Microsoft 客户协议。

• 企业协议：具有企业管理员角色的用户可以查看和管理适用于企业协议的所有预留订单。 具有企业管理员角色的用户可以在 成本管理 + 计费中查看和管理预留。
  • 具有企业管理员（只读）角色的用户只能查看 成本管理 + 计费中的预留。
  • 部门管理员和帐户所有者无法查看预留， 除非 使用 访问控制（IAM） 选项显式将其添加到预留。 有关详细信息，请参阅 “管理 Azure 企业角色”。
• Microsoft客户协议：具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以使用计费配置文件管理所有预留购买。
  • 计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。 但是，他们不能对预留进行更改。 有关详细信息，请参阅计费概况角色和任务。

Azure 预留 RBAC 角色

Azure 提供四个具有不同权限级别的特定于预留的 RBAC 角色：

• 预留管理员：具有此角色的用户可以在其Microsoft Entra 租户（目录）中管理一个或多个预留。 他们还可以 将 RBAC 角色委托 给其他用户。
• 预留购买者：具有此角色的用户可以使用指定的订阅购买预留，即使他们不是订阅的所有者。
• 预留参与者：具有此角色的用户可以在其Microsoft Entra 租户（目录）中管理一个或多个预留，但不能将 RBAC 角色委派给其他用户。
• 预留读取者：具有此角色的用户对其Microsoft Entra 租户（目录）中的一个或多个预留具有只读访问权限。

这些角色可以限定为特定资源实体（例如订阅或预留）或Microsoft Entra 租户。 若要了解有关 RBAC 的详细信息，请参阅 什么是基于角色的访问控制（RBAC？）。

用于执行预留操作的 Azure 预留 RBAC 角色

查看预留

• 租户范围：具有预订查看者角色或更高角色的用户
• 预留范围：内置读取角色或更高级别

管理预留

• 租户范围：具有“预留参与者”角色或更高角色的用户
• 保留范围：内置贡献者或所有者角色，或预留项贡献者或更高级别

委托预留权限

• 租户范围：需要 用户访问权限管理员 权限才能为租户内的所有预留授予 RBAC 角色。 若要获取这些权限，请遵循 Elevate 访问步骤。
• 预留范围：具有预留管理员或用户访问管理员角色的用户。

此外，使用订阅购买预留时成为订阅所有者的用户还可以查看、管理和委托已购买预留的权限。

使用 RBAC 访问权限查看和管理预留

如果您具有特定于预留的 RBAC 角色（例如预留管理员、购买者、参与者或读者），或者您购买了预留，抑或被分配为预留的所有者，请按照以下步骤在 Azure 门户中查看和管理预留：

1. 登录到 Azure 门户。
2. 选择“首页>预约”，以列出你有权限访问的预约。

委托预留 RBAC 角色

在本部分中，你将了解如何：

• 将预留购买者角色委托给特定订阅。
• 将预留管理员角色、参与者角色或读者角色指定给特定预留。
• 将预留管理员、参与者或读者角色分配给所有预留。

通过 RBAC 角色购买、管理或查看预留的用户和组必须从 主页>预留中访问预留。

将预留购买者角色委托给特定订阅

若要将“预订购买者”角色委托给特定订阅，请先确认您具有相应的访问权限。 然后，按照以下步骤进行：

1. 转到 主页>预订，查看租户中的所有预订。
2. 若要对预留进行修改，请使用 访问控制 （IAM） 选项将自己添加为预留订单的所有者。

将预留管理员、参与者或读者角色委派给特定预留

若要将管理员、参与者或读者角色委托给特定预留，请按照以下步骤操作。

1. 转到 家庭>预订。
2. 选择预留。
3. 在服务菜单上选择 访问控制（IAM ）。
4. 选择 “添加”，然后从顶部导航栏中选择 “添加角色分配 ”。

将预留管理员、参与者或读者角色委派给所有预留

要在租户级别授予 RBAC 角色，您需要用户访问管理员权限。 若要获取用户访问管理员权限， 请按照以下步骤提升访问权限。

将管理员、参与者或读者角色分配给租户中的所有预留资源：

1. 转到 家庭>预订。
2. 从顶部导航栏中选择 “角色分配 ”，然后选择所需的角色。

授予对单个预留的访问权限

对预留拥有所有者访问权限的用户和计费管理员可以在 Azure 门户中委派单个预留订单的访问管理。

若要允许其他人管理预留，可通过两种方式实现：

• 通过将“所有者”角色分配给预留订单资源范围内的用户，为单个预留订单的访问管理委派权限。 如果希望提供有限的访问权限，请选择其他角色。 有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。

• 将用户作为计费管理员添加到企业协议或Microsoft客户协议：

  • 企业协议：具有企业管理员角色的用户可以查看和管理适用于企业协议的所有预留订单。 具有企业管理员（只读）角色的用户只能查看预留。 部门管理员和帐户所有者无法查看预留， 除非 使用 访问控制（IAM） 选项显式将其添加到预留。 有关详细信息，请参阅管理 Azure 企业角色。
  • Microsoft客户协议：具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以使用计费配置文件管理所有预留购买。 计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。 但是，他们不能对预留进行更改。 有关详细信息，请参阅计费概况角色和任务。

使用 PowerShell 授予访问权限

拥有预留订单所有者访问权限的用户、具有提升访问权限的用户和具有“用户访问管理员”角色的用户可以委托他们有权访问的所有预留订单的访问管理。

使用 PowerShell 授予的访问权限不会显示在 Azure 门户中。 而是使用 get-AzRoleAssignment 命令查看分配的角色。

有关使用 PowerShell 授予访问权限的详细信息，请参阅 使用 PowerShell 授予对预留的 RBAC 访问权限。

相关内容

• 管理 Azure 预留
• 了解如何应用预留折扣