通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看和管理 Azure 预留项的权限

本文介绍预留权限在 Azure 中的工作原理,并说明授权用户如何在 Azure 门户和 Azure PowerShell 中查看和管理 Azure 预留项。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 要开始,请参阅安装 Azure PowerShell。 若要了解如何迁移到 Az PowerShell 模块,请参阅将 Azure PowerShell 从 AzureRM 迁移到 Az

默认情况下谁可以管理预留

默认情况下,以下用户可以查看和管理预留:

  • 预留订单中将添加购买预留的人员和用于购买预留的计费订阅的帐户管理员。
  • 企业协议和 Microsoft 客户协议计费管理员。
  • 拥有可管理所有 Azure 订阅和管理组的提升访问权限的用户
  • 负责 Microsoft Entra 租户(目录)中的预留项的预留管理员或预留参与者
  • 预留读取者对其 Microsoft Entra 租户(目录)中的预留项拥有只读访问权限

预留项生命周期独立于 Azure 订阅。 预留项不是 Azure 订阅下的资源,而是一项租户级别资源,其自己的 Azure RBAC 权限与订阅相互独立。 在购买后,预留项不会从订阅继承权限。

查看和管理预留项

有两种不同的授权方法来控制用户查看、管理和委托对预留项的权限。

  • 计费管理员角色
  • 预留项基于角色的访问控制 (RBAC) 角色

计费管理员角色

可以使用内置计费管理员角色查看、管理和委托对预留项的权限。 要详细了解 Microsoft 客户协议和企业协议计费角色,请分别参阅了解 Azure 中的 Microsoft 客户协议管理角色以及管理 Azure 企业协议角色

预留操作所需的计费管理员角色

查看预留项:

  • Microsoft 客户协议:具有计费对象信息读者或更高级别角色的用户
  • 企业协议:具有企业管理员(只读)或更高级别角色的用户
  • Microsoft 合作伙伴协议:不受支持

管理预留项(通过委托完整计费对象信息/注册的权限来实现):

  • Microsoft 客户协议:具有计费对象信息参与者或更高级别角色的用户
  • 企业协议:具有企业协议管理员或更高级别角色的用户
  • Microsoft 合作伙伴协议:不受支持

委托预留项权限:

  • Microsoft 客户协议:具有计费对象信息参与者或更高级别角色的用户
  • 企业协议:具有企业协议购买者或更高级别角色的用户
  • Microsoft 合作伙伴协议:不受支持

EA 管理员或计费对象信息所有者必须在至少一个 EA 或 MCA 订阅上具有所有者访问权限或预留购买者访问权限才能购买预留。 对于希望通过一个核心团队购买预留项的企业而言,该选项非常有用。 有关详细信息,请参阅购买 Azure 预留

以计费管理员的身份查看和管理预留项

如果你是计费角色用户,请按照以下步骤,在 Azure 门户中查看和管理所有预留项和预留交易。

  1. 登录到 Azure 门户,导航到成本管理 + 计费
    • 如果你位于企业协议帐户下,请在左侧菜单中选择“计费范围”,然后在计费范围列表中选择一个范围。
    • 如果使用的是 Microsoft 客户协议帐户,请在左侧菜单中选择“计费对象信息”。 在计费配置文件列表中选择一个计费配置文件。
  2. 在左侧菜单中,选择 “产品和服务>预留 + 混合权益”。 将会显示企业协议注册或 Microsoft 客户协议计费对象信息的预留项完整列表。

计费角色用户可以选择一个或多个预留项,然后在显示的窗口中选择“授予访问权限来”获取预留项的所有权。 若在 Microsoft 客户协议下,用户应与预留项位于同一 Microsoft Entra 租户(目录)中。

添加计费管理员

在 Azure 门户中,将用户作为计费管理员添加到企业协议或 Microsoft 客户协议。

  • 企业协议:添加具有“企业管理员”角色的用户,以查看和管理适用于企业协议的所有预留订单。 企业管理员可以在“成本管理 + 计费”中查看和管理预留项

    • 具有“企业管理员(只读)”角色的用户只能从“成本管理 + 计费”中查看预留项。
    • 除非使用访问控制 (IAM) 将部门管理员和帐户所有者显式添加到预留中,否则他们无法查看相关预留。 有关详细信息,请参阅管理 Azure 企业角色

  • Microsoft 客户协议:具有计费对象信息所有者角色或计费对象信息参与者角色的用户可以管理使用计费对象信息完成的所有预留项购买。

    • 计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。 但是,他们不能对预留进行更改。 有关详细信息,请参阅计费对象信息角色和任务

预留项 RBAC 角色

概述

Azure 提供 4 个具有不同权限级别的预留项特定 RBAC 角色:

  • 预留项管理员:允许管理其 Microsoft Entra 租户(目录)中的一个或多个预留项,以及将 RBAC 角色委派给其他用户。
  • 预留项购买者:允许使用指定订阅购买预留项,即使对于非订阅所有者也是如此。
  • 预留项参与者:允许管理其 Microsoft Entra 租户(目录)中的一个或多个预留项,但不允许将 RBAC 角色委派给其他用户。
  • 预留项读者:允许对其 Microsoft Entra 租户(目录)中的一个或多个预留项进行只读访问。

这些角色可以限定为特定资源实体(例如订阅或预留项)或 Microsoft Entra 租户。 若要详细了解 Azure RBAC,请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?

预留操作所需的预留项 RBAC 角色

查看预留项:

  • 租户范围:具有预留项读者或更高级别角色的用户
  • 预留范围:内置读者或更高级别角色

管理预留项:

  • 租户范围:具有预留项参与者或更高级别角色的用户
  • 预留范围:内置参与者或所有者角色、预留项参与者或更高级别角色的用户

委托预留项权限:

此外,使用订阅购买预留项时拥有订阅所有者角色的用户还可以查看、管理和委托所购买预留项的权限。

使用 RBAC 访问权限查看和管理预留项

如果你有预留项特定 RBAC 角色(预留项管理员、购买者、参与者或读者)、购买的预留,或者作为预留项的所有者添加到预留项,请按照以下步骤在 Azure 门户中查看和管理预留项:

  1. 登录到 Azure 门户
  2. 选择 “主页>预留 ”以列出你有权访问的预留

小窍门

如果看不到预留项,请确保使用具有相应权限的帐户登录。 对于跨租户场景,请确保你位于适当的租户上下文中。

委托预留项 RBAC 角色

在该部分下,你将了解如何:

  • 将预留项购买者角色委托给特定订阅
  • 将预留项管理员、参与者或读者角色委托给特定预留项
  • 将预留项管理员、参与者或读者角色委托给所有预留项

通过 RBAC 角色购买、管理或查看预留的用户和组必须从 主页>预留中执行此作。

企业管理员可以拥有预留订单的所有权。 他们可以使用 访问控制 (IAM) 将其他用户添加到预留项。

将预留项购买者角色委托给特定订阅

要将购买者角色委托给特定订阅,请执行以下操作,并在具有提升访问权限后:

  1. 转到 主页>预留 ,查看租户中的所有预留。
  2. 若要对预留项进行修改,请使用访问控制 (IAM) 将自己添加为预留订单的所有者。

将预留项管理员、参与者或读者角色委派给特定预留项

若要将管理员、参与者或读者角色委托给特定预留项,请执行以下操作:

  1. 转到 主页>预订
  2. 选择所需的预留项。
  3. 在最左侧窗格中,选择“访问控制 (IAM)”
  4. 选择“添加”,然后选择顶部导航栏中的“添加角色分配”

将预留项管理员、参与者或读者角色委派给所有预留项

需要用户访问管理员权限才能在租户级别授予 RBAC 角色。 要获取用户访问管理员权限,请按照提升访问权限的步骤操作:“提升访问权限”步骤

然后,若要将管理员、参与者或读者角色委托给租户中的所有预留项,请执行以下操作:

  1. 转到 主页>预订
  2. 选择顶部导航栏中的“角色分配”

授予对单个预留的访问权限

对预留拥有所有者访问权限的用户和计费管理员可以在 Azure 门户中委派单个预留订单的访问管理。

若要允许其他人管理预留,可通过两种方式实现:

  • 通过向单个预留订单的资源范围内的用户分配“所有者”角色,委托该预留订单的访问权限管理。 如果希望提供有限的访问权限,请选择其他角色。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色

  • 将用户作为计费管理员添加到企业协议或 Microsoft 客户协议:

    • 对于企业协议,请添加具有“企业管理员”角色的用户,以便查看和管理适用于企业协议的所有预留订单。 具有“企业管理员(只读)”角色的用户可以查看预留项。 除非使用访问控制 (IAM) 将部门管理员和帐户所有者显式添加到预留中,否则他们无法查看相关预留。 有关详细信息,请参阅管理 Azure 企业角色

企业管理员可以获得预留订单的所有权,并可以使用访问控制 (IAM) 将其他用户添加到预留

  • 在 Microsoft 客户协议下,具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以管理使用计费配置文件完成的所有预留购买。 计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。 但是,他们不能对预留进行更改。 有关详细信息,请参阅计费对象信息角色和任务

使用 PowerShell 授予访问权限

拥有预留订单的所有者访问权限的用户、拥有提升的访问权限的用户以及用户访问管理员可以委派他们有权访问的所有预留订单的访问管理。

Azure 门户中未显示使用 PowerShell 授予的访问权限。 但是,你可以在以下部分使用 get-AzRoleAssignment 命令来查看分配的角色。

若要详细了解如何使用 PowerShell 授予访问权限,请参阅使用 PowerShell 授予对 Azure 预留的 RBAC 访问权限

Next steps