Atribuir acesso a dados do Gerenciamento de Custos
Para usuários com contratos Azure Enterprise, uma combinação de permissões concedidas no portal do Azure e no portal do EA (Contrato Enterprise) define o nível de acesso de um usuário aos dados do Gerenciamento de Custos. Para usuários com outros tipos de conta do Azure, definir o nível de acesso de um usuário aos dados de Gerenciamento de Custos é mais simples usando o RBAC (controle de acesso baseado em função) do Azure. Este artigo orienta você pela atribuição de acesso aos dados do Gerenciamento de Custos. Depois que a combinação de permissões é atribuída, os dados das exibições do usuário no Gerenciamento de Custos com base no escopo ao qual eles têm acesso e no escopo que eles selecionam no portal do Azure.
O escopo que um usuário seleciona é usado em todo o Gerenciamento de Custos para fornecer a consolidação de dados e para controlar o acesso a informações de custo. Quando os escopos são usados, os usuários não os selecionam com várias seleções. Em vez disso, eles selecionam um escopo mais amplo que em que os escopos filho se acumulam, para depois filtrarem o que desejam exibir. A consolidação de dados é importante para entender por que algumas pessoas não devem ter acesso a um escopo pai acumulado por escopos filho.
Assista ao vídeo Gerenciamento de Custos controlando acesso para saber como atribuir acesso para exibir custos e encargos com o Azure RBAC (controle de acesso baseado em função). Para assistir a outros vídeos, visite o Canal do YouTube do Gerenciamento de Custos. Este vídeo menciona o portal do EA do Azure, que está desativado. No entanto, a funcionalidade equivalente disponível no portal do Azure também é discutida.
Escopos do Gerenciamento de Custos
O gerenciamento de custos dá suporte a vários tipos de conta do Azure. Para exibir a lista completa dos tipos de contas compatíveis, confira Entender os dados do Gerenciamento de Custos. O tipo de conta determina os escopos disponíveis.
Escopos de assinatura do Azure EA
Para exibir dados de custo de assinaturas do Azure EA, um usuário precisará ter acesso de leitura a pelo menos um ou mais dos escopos a seguir.
| Escopo | Definido em | Acesso necessário para exibir dados | Configuração de pré-requisito de EA | Consolida os dados para |
|---|---|---|---|---|
| Conta de cobrança¹ | https://portal.azure.com | • Administrador Corporativo • Leitor de registro (Administrador corporativo, somente leitura) |
Nenhum | Todas as assinaturas do contrato empresarial |
| department | https://portal.azure.com | Administrador de departamento | Encargos de exibição do administrador de departamento habilitados | Todas as assinaturas que pertencem a uma conta de registro que esteja vinculada ao departamento |
| Conta de registro² | https://portal.azure.com | Proprietário da conta | Encargos de exibição do proprietário da conta habilitados | Todas as assinaturas da conta de registro |
| Grupo de gerenciamento | https://portal.azure.com | Leitor (ou Colaborador) do Gerenciamento de Custos | Encargos de exibição do proprietário da conta habilitados | Todas as assinaturas abaixo do grupo de gerenciamento |
| Subscription | https://portal.azure.com | Leitor (ou Colaborador) do Gerenciamento de Custos | Encargos de exibição do proprietário da conta habilitados | Todos os recursos/grupos de recursos na assinatura |
| Resource group | https://portal.azure.com | Leitor (ou Colaborador) do Gerenciamento de Custos | Encargos de exibição do proprietário da conta habilitados | Todos os recursos no grupo de recursos |
¹ A conta de cobrança é também chamada de Registro ou Contrato Enterprise.
² A conta de registro é também chamada de proprietário da conta.
Os administradores corporativos podem atribuir a conta de cobrança, o departamento e o escopo da conta de registro no portal do Azure. Para obter mais informações, consulte Administração do Portal do Azure para Contratos Enterprise diretos.
Outros escopos da conta do Azure
Para exibir dados de custo de outras assinaturas do Azure, um usuário precisará ter acesso de leitura a pelo menos um ou mais dos seguintes escopos:
- Grupo de gerenciamento
- Subscription
- Resource group
Vários escopos estão disponíveis após os parceiros integrarem clientes a um Contrato de Cliente da Microsoft. Os clientes CSP (provedores de solução de nuvem) podem usar os recursos de Gerenciamento de Custos quando habilitados pelo parceiro CSP. Para obter mais informações, confira Introdução ao Gerenciamento de Custos para parceiros.
Habilitar o acesso aos custos no portal do Azure
O escopo do departamento requer que a opção Os administradores do departamento podem ver os encargos (AD ver encargos) esteja definida como Ativo. Configure a opção no portal do Azure. Todos os outros escopos exigem que a opção Proprietários da conta podem exibir encargos (Proprietário da conta (AO) exibir encargos) definida como Ativado.
Para habilitar uma opção no portal do Azure:
- Entrar no portal do Azure em com uma conta de administrador corporativo.
- Selecione o item de menu Gerenciamento de Custos + Cobrança.
- Selecione Escopos de cobrança para exibir uma lista de escopos de cobrança e contas de cobrança disponíveis.
- Selecione a sua Conta de Cobrança na lista de contas de cobrança disponíveis.
- Em Configurações, selecione o item de menu Políticas e, em seguida, defina a configuração.
Depois que as opções de exibição de preço estiverem habilitadas, a maioria dos escopos também exigirá configuração de permissão do Azure RBAC (controle de acesso baseado em função) no portal do Microsoft Azure.
Função de administrador corporativo
Por padrão, um administrador corporativo tem acesso à conta de cobrança (Contrato Enterprise/registro) e a todos os outros escopos, que são escopos-filho. O administrador corporativo atribui acesso a escopos para outros usuários. Como prática recomendada para continuidade dos negócios, você deve sempre ter dois usuários com acesso de administrador corporativo. As seções a seguir são exemplos passo a passo do administrador corporativo atribuindo acesso a escopos para outros usuários.
Atribuir acesso ao escopo da conta de cobrança
O acesso ao escopo da conta de cobrança requer permissão de administrador corporativo. O administrador corporativo pode exibir os custos em todo registro de EA ou em vários registros. O administrador da empresa pode atribuir acesso ao escopo da conta de cobrança a outro usuário com acesso somente leitura. Para obter mais informações, consulte Adicionar outro administrador corporativo.
Pode levar até 30 minutos até que o usuário possa acessar dados no Gerenciamento de Custos.
Atribuir acesso ao escopo do departamento
O acesso ao escopo do departamento requer acesso de administrador do departamento (DA exibir encargos). O administrador de departamento pode exibir os dados de custos e de uso associados com um departamento ou com vários departamentos. Os dados para o departamento incluem todas as assinaturas que pertencem a uma conta de registro vinculada ao departamento.
Os administradores corporativos podem atribuir acesso de administrador de departamento. Para obter mais informações, consulte Adicionar um administrador de departamento.
Atribuir acesso ao escopo da conta de registro
O acesso ao escopo da conta de registro requer acesso ao proprietário da conta (AO exibir encargos). O proprietário da conta pode visualizar os custos e os dados de uso associados às assinaturas criadas a partir dessa conta de inscrição. Os administradores corporativos podem atribuir acesso ao proprietário da conta. Para obter mais informações, consulte Adicionar proprietário da conta no Portal do Azure.
Atribuir acesso ao escopo do grupo de gerenciamento
O acesso para exibir o escopo de grupo de gerenciamento requer pelo menos a permissão do Leitor de Gerenciamento de Custos (ou Leitor). Você pode configurar permissões para um grupo de gerenciamento no portal do Azure. Você deve ter pelo menos a permissão Administrador de Acesso do Usuário (ou Proprietário) para o grupo de gerenciamento para permitir o acesso de outras pessoas. E para contas de Contrato Enterprise do Azure, você também deve habilitar a configuração AO exibir encargos.
Você pode atribuir a função Leitor de Gerenciamento de Custos (ou leitor) a um usuário no escopo do grupo de gerenciamento. Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.
Atribuir acesso ao escopo de assinatura
O acesso a uma assinatura requer pelo menos a permissão do Leitor de Gerenciamento de Custos (ou Leitor). Você pode configurar permissões para uma inscrição no portal do Azure. Você deve ter pelo menos a permissão de Administrador de Acesso do Usuário (ou Proprietário) para a assinatura para permitir o acesso de outras pessoas. E para contas de Contrato Enterprise do Azure, você também deve habilitar a configuração AO exibir encargos.
Você pode atribuir a função Leitor de Gerenciamento de Custos (ou leitor) a um usuário no escopo da assinatura. Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.
Atribuir acesso ao escopo do grupo de recursos
O acesso a um grupo de recursos requer pelo menos a permissão do Leitor de Gerenciamento de Custos (ou Leitor). Você pode configurar permissões para um grupo de recursos no portal do Azure. Você deve ter pelo menos a permissão Administrador de Acesso do Usuário (ou Proprietário) para o grupo de recursos para permitir o acesso de outras pessoas. E para contas de Contrato Enterprise do Azure, você também deve habilitar a configuração AO exibir encargos.
Você pode atribuir a função Leitor de Gerenciamento de Custos (ou leitor) a um usuário no escopo do grupo de recursos. Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.
Problemas de autenticação entre locatários
Atualmente, o Gerenciamento de Custos fornece suporte limitado para autenticação entre locatários. Em algumas circunstâncias, quando tenta autenticar entre locatários, você pode receber um erro de Acesso negado na análise de custo. Esse problema poderá ocorrer se você configurar o Azure RBAC (controle de acesso baseado em função) para a assinatura de outro locatário e, em seguida, tentar exibir dados de custo.
Para contornar o problema: depois de configurar o Azure RBAC entre locatários, aguarde uma hora. Em seguida, tente exibir os custos na análise de custos ou conceder acesso de Gerenciamento de Custos aos usuários em ambos os locatários.
Próximas etapas
- Se você ainda não leu o primeiro início rápido do Gerenciamento de Custos, leia-o em Começar a analisar os custos.