Cost Management のデータへのアクセス許可を割り当てる
Azure Enterprise Agreement を使用するユーザーの場合は、Azure portal とエンタープライズ (EA) ポータルで付与されたアクセス許可の組み合わせによって、Cost Management のデータへのアクセス レベルが定義されます。 他の種類の Azure アカウントを使用するユーザーの場合、、Azure のロールベースのアクセス制御 (RBAC) を使用すると、Cost Management のデータに対するユーザーのアクセス レベルの定義をより簡単に行うことができます。 この記事では、Cost Management のデータにアクセス許可を割り当てる方法について説明します。 アクセス許可の組み合わせが割り当てられると、ユーザーにはそのアクセス スコープと、Azure portal で選択したスコープに基づく Cost Management のデータが表示されます。
ユーザーが選択したスコープは、データの統合とコスト情報へのアクセスの制御のために、Cost Management 全体を通して使用されます。 スコープを使用する場合、ユーザーは複数のスコープを選択しません。 代わりに、子スコープがロール アップするよりも大きなスコープを選択してから、表示したい内容をフィルターで絞り込みます。 一部のユーザーは子スコープがロール アップする親スコープにアクセスすべきではないため、データの統合について理解しておくことが重要です。
Azure のロールベースのアクセス制御 (Azure RBAC) を使用してコストと料金を表示するためにアクセスを割り当てる方法については、Cost Management のアクセス制御に関するビデオをご覧ください。 他の動画を視聴するには、Cost Management の YouTube チャンネルにアクセスしてください。
Cost Management のスコープ
Cost Management ではさまざまな種類の Azure アカウントを使用できます。 サポートされているアカウントの種類の完全な一覧については、「Understand Cost Management data (Cost Management データの概要)」を参照してください。 アカウントの種類により、使用可能なスコープが決まります。
Azure EA サブスクリプションのスコープ
Azure EA サブスクリプションのコスト データを表示するには、次に示す 1 つ以上のスコープへの読み取りアクセス許可が必要です。
| スコープ | 定義場所 | データの表示に必要なアクセス許可 | 前提条件となる EA 設定 | データの統合先 |
|---|---|---|---|---|
| 課金アカウント¹ | https://portal.azure.com | • エンタープライズ管理者 • 登録閲覧者 (読み取り専用のエンタープライズ管理者) |
なし | マイクロソフト エンタープライズ契約のすべてのサブスクリプション |
| 部署 | https://portal.azure.com | 部門管理者 | DA ビューの請求額の有効化 | 部署にリンクされている、登録アカウントに属しているすべてのサブスクリプション |
| 登録アカウント² | https://portal.azure.com | アカウント所有者 | AO ビューの請求額の有効化 | 登録アカウントのすべてのサブスクリプション |
| 管理グループ | https://portal.azure.com | Cost Management 閲覧者 (または共同作成者) | AO ビューの請求額の有効化 | 管理グループ下のすべてのサブスクリプション |
| サブスクリプション | https://portal.azure.com | Cost Management 閲覧者 (または共同作成者) | AO ビューの請求額の有効化 | サブスクリプションに含まれているすべてのリソース/リソース グループ |
| Resource group | https://portal.azure.com | Cost Management 閲覧者 (または共同作成者) | AO ビューの請求額の有効化 | リソース グループに含まれるすべてのリソース |
¹ 課金アカウントは、"マイクロソフト エンタープライズ契約" または "登録" とも呼ばれます。
² 登録アカウントは、"アカウント所有者" とも呼ばれます。
エンタープライズ管理者は、Azure portal から課金アカウント、部門、および加入契約アカウントのスコープを割り当てることができます。 詳細については、「Azure portal での直接 Enterprise Agreement の管理」を参照してください。
その他の Azure アカウントのスコープ
他の Azure サブスクリプションのコスト データを表示するには、次に示す 1 つ以上のスコープへの読み取りアクセス許可が必要です。
- 管理グループ
- サブスクリプション
- Resource group
パートナーによって顧客が Microsoft 顧客契約にオンボードされた後は、さまざまなスコープが利用可能です。 クラウド ソリューション プロバイダー (CSP) のお客様は、CSP パートナーによって有効化された場合は Cost Management の機能を使用できます。 詳細については、「パートナー向け Cost Management の概要」を参照してください。
Azure portal でのコストへのアクセスを有効にする
部署スコープを使用するには、 [部署管理者は料金を表示できる] (DA ビューの請求額) オプションが [オン] に設定されている必要があります。 Azure portal でこのオプションを構成します。 その他すべてのスコープでは、[アカウント オーナーは料金を表示できます] (アカウント オーナー (AO) が料金を表示する) オプションが [オン] に設定されている必要があります。
Azure portal でオプションを有効にするには、次の手順に従います。
- Azure portal にエンタープライズ管理者アカウントでサインインします。
- [コストの管理と請求] メニュー項目を選択します。
- [課金スコープ] を選択して、使用可能な課金スコープと課金アカウントを一覧表示します。
- 使用可能な課金アカウントの一覧から [課金アカウント] を選択します。
- [設定] の [ポリシー] メニュー項目を選択して、その設定を構成します。
![[ポリシー] ページとオプションを示すスクリーンショット。](media/assign-access-acm-data/azure-portal-policies-view-charges.png)
ビューの請求額オプションを有効にすると、Azure portal で、ほとんどのスコープについて Azure のロールベースのアクセス制御 (Azure RBAC) のアクセス許可の構成も必要になります。
エンタープライズ管理者のロール
既定では、エンタープライズ管理者は、請求先アカウント (マイクロソフト エンタープライズ契約またはマイクロソフト エンタープライズ加入契約) と、子スコープであるその他すべてのスコープにアクセスできます。 他のユーザーのスコープへのアクセス許可は、エンタープライズ管理者が割り当てます。 ビジネス継続性のためのベスト プラクティスとして、エンタープライズ管理者のアクセス許可を持つユーザーは常に 2 人必要です。 次のセクションは、エンタープライズ管理者が他のユーザーのスコープへのアクセス許可を割り当てる方法の例です。
請求先アカウント スコープのアクセス許可を割り当てる
課金アカウント スコープへのアクセスには、エンタープライズ管理者権限が必要です。 エンタープライズ管理者は、EA の登録または複数の登録全体のコストを表示することができます。 エンタープライズ管理者は、読み取り専用アクセス権を持つ別のユーザーに課金アカウント スコープへのアクセス権を割り当てることができます。 詳細については、「別のエンタープライズ管理者を追加する」を参照してください。
ユーザーが Cost Management のデータにアクセスできるまで最大 30 分かかる場合があります。
部署のスコープへのアクセス許可を割り当てる
部門スコープにアクセスするには、部門管理者 (DA による料金の参照) のアクセス権が必要です。 部署管理者は、部署 (複数可) に関連するコストと使用量のデータを表示することができます。 部署のデータには、部署にリンクされている、登録アカウントに属しているすべてのサブスクリプションが含まれます。
エンタープライズ管理者は、部門管理者のアクセス権を割り当てることができます。 詳細については、「部門管理者を追加する」を参照してください。
登録アカウントのスコープへのアクセス許可を割り当てる
加入契約アカウント スコープにアクセスするには、アカウント オーナー (AO による料金の参照) のアクセス権が必要です。 アカウント所有者は、登録アカウントから作成されたサブスクリプションに関連付けられているコストと使用量のデータを表示できます。 エンタープライズ管理者は、アカウント オーナーのアクセス権を割り当てることができます。 詳細については、Azure portal でアカウント所有者を追加する方法に関するセクションを参照してください。
管理グループのスコープへのアクセス許可を割り当てる
管理グループのスコープを表示するアクセスには、少なくとも Cost Management 閲覧者 (または閲覧者) のアクセス許可が必要です。 管理グループへのアクセス許可は、Azure portal で構成できます。 他のユーザーのアクセスを許可するには、管理グループに対して少なくともユーザー アクセス管理者 (または所有者) のアクセス許可を持っている必要があります。 さらに、Azure EA アカウントの場合は、[AO による料金の参照] の設定も有効化する必要があります。
管理グループ スコープで Cost Management 閲覧者 (または閲覧者) ロールをユーザーに割り当てることができます。 詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。
サブスクリプションのスコープへのアクセス権を割り当てる
サブスクリプションにアクセスするには、少なくとも Cost Management 閲覧者 (または閲覧者) のアクセス許可が必要です。 サブスクリプションへのアクセス許可は、Azure portal で構成できます。 他のユーザーのアクセスを許可するには、サブスクリプションに対して少なくともユーザー アクセス管理者 (または所有者) のアクセス許可を持っている必要があります。 さらに、Azure EA アカウントの場合は、[AO による料金の参照] の設定も有効化する必要があります。
サブスクリプション スコープで Cost Management 閲覧者 (または閲覧者) ロールをユーザーに割り当てることができます。 詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。
リソース グループのスコープへのアクセス許可を割り当てる
リソース グループにアクセスするには、少なくとも Cost Management 閲覧者 (または閲覧者) のアクセス許可が必要です。 リソース グループへのアクセス許可は、Azure portal で構成できます。 他のユーザーのアクセスを許可するには、リソース グループに対して少なくともユーザー アクセス管理者 (または所有者) のアクセス許可を持っている必要があります。 さらに、Azure EA アカウントの場合は、[AO による料金の参照] の設定も有効化する必要があります。
リソース グループ スコープで Cost Management 閲覧者 (または閲覧者) ロールをユーザーに割り当てることができます。 詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。
テナント間の認証の問題
現在、Cost Management では、テナント間の認証のサポートが制限されています。 テナント間で認証しようとした場合、状況によっては、コスト分析でアクセス拒否エラーが表示される場合があります。 この問題は、別のテナントのサブスクリプションに Azure のロールベースのアクセス制御 (Azure RBAC) を構成した後でコストのデータを表示しようとした場合に発生する可能性があります。
"回避策は次のとおりです": テナント間の Azure RBAC を構成した後、1 時間待機します。 その後、コスト分析でコストを表示するか、両方のテナントのユーザーに Cost Management へのアクセス権を付与します。
次のステップ
- Cost Management の最初のクイック スタートをまだ参照していない場合は、「コスト分析の開始」をご覧ください。