Como gerir subscrições do Azure com o Azure CLI

O Azure CLI ajuda-o a gerir a subscrição do Azure, a criar grupos de gestão e a bloquear subscrições. Pode ter várias subscrições dentro do Azure. Você pode fazer parte de mais de uma organização ou sua organização pode dividir o acesso a certos recursos através de agrupamentos. O CLI Azure suporta a seleção de uma subscrição global e por comando.

Para obter informações detalhadas sobre subscrições, faturação e gestão de custos, veja a documentação sobre a gestão da faturação e dos custos.

Inquilinos, utilizadores e subscrições

Um inquilino é a entidade do Azure Active Directory que abrange uma organização no seu todo. Um inquilino tem uma ou mais subscrições e utilizador. Um utilizador é um indivíduo e está associado a apenas um inquilino, a organização a que pertence. Os utilizadores são as contas que iniciam sessão no Azure para criar, gerir e utilizar recursos. Um utilizador pode ter acesso a várias subscrições, que são os contratos com a Microsoft para utilizar serviços cloud, incluindo o Azure. Cada recurso está associado a uma subscrição.

Comandos numa subscrição do Azure

Muitos comandos Azure CLI atuam dentro de uma subscrição. Pode sempre especificar em que subscrição trabalhar utilizando o parâmetro de subscrição no seu comando. Este parâmetro é opcional. Se não especificar uma subscrição, o comando utiliza a sua subscrição atual e ativa.

Para ver a subscrição que está a utilizar ou para obter uma lista de subscrições disponíveis, executar o programa de conta az ou o comando da lista de contas az:

# get the current default subscription using show
az account show --output table

# get the current default subscription using list
az account list --query "[?isDefault]"

# get a list of subscriptions except for the default subscription
az account list --query "[?isDefault == \`false\`]"

# get the details of a specific subscription
az account show --subscription MySubscriptionName

Dica

O --output parâmetro é um parâmetro global, disponível para todos os comandos. O valor da tabela apresenta a saída num formato amigável. Para obter mais informações, consulte os formatos de saída para comandos Azure CLI.

As assinaturas contêm grupos de recursos. Um grupo de recursos Azure é um contentor que detém recursos relacionados para uma solução Azure. Se o seu comando funcionar com recursos na sua subscrição ativa, não precisa de especificar --subscription .

Este comando cria uma conta de armazenamento no grupo de recursos especificado:

az storage account create --resource-group StorageGroups --name storage136 \
    --location eastus --sku Standard_LRS

Se o grupo de armazenamento não fizer parte da subscrição ativa atual, este comando falha.

Se necessário, altere a subscrição ativa, conforme descrito na secção seguinte, ou especifique a subscrição no comando:

az storage account create --resource-group StorageGroups --subscription "My Demos" \
    --name storage136 --location eastus --sku Standard_LRS

Alterar a subscrição ativa

Pode alterar a sua subscrição ativa utilizando o comando conjunto de conta az.

Obtenha uma lista das subscrições com o comando az account list:

az account list --output table

Este comando lista todas as subscrições a que pode aceder. A sua subscrição ativa está marcada como True na IsDefault coluna. Se não vir uma subscrição que espera, adicione o --refresh parâmetro para obter a lista mais atual de subscrições.

Para mudar para uma subscrição diferente, utilize a conta az definida com o ID de subscrição ou nome para o que pretende mudar.

az account set --subscription "My Demos"

As suas subscrições têm um nome e um ID, que é um GUID. Pode usar qualquer um para estes comandos. Se utilizar um nome que inclua espaços, utilize aspas.

Se voltar a executar o comando da lista de conta az, a IsDefault coluna mostra a sua subscrição ativa atual.

Criar grupos de gestão Azure

Os grupos de gestão Azure contêm subscrições. Os grupos de gestão fornecem uma forma de gerir o acesso, políticas e o cumprimento dessas subscrições. Para mais informações, consulte os grupos de gestão Azure.

Utilize os comandos do grupo de gestão de conta az para criar e gerir grupos de gestão Azure.

Pode criar um grupo de gestão para várias das suas subscrições utilizando o comando de criação de grupo de gestão de conta az:

az account management-group create --name Contoso01

Para ver todos os seus grupos de gestão, utilize o comando da lista de grupos de gestão de conta az:

az account management-group list

Adicione subscrições ao seu novo grupo utilizando o comando de complemento de subscrição do grupo de gestão de conta az:

az account management-group subscription add --name Contoso01 --subscription "My Demos"
az account management-group subscription add --name Contoso01 --subscription "My Second Demos"

Para remover uma subscrição, utilize o comando de remoção de subscrição do grupo de gestão de conta az:

az account management-group subscription remove --name Contoso01 --subscription "My Demos"

Para remover um grupo de gestão, executar o comando az conta-management-group delete:

az account management-group delete --name Contoso01

Remover uma subscrição ou eliminar um grupo de gestão não apaga ou desativa uma subscrição.

Definir um bloqueio de assinatura Azure

Como administrador, poderá ter de bloquear uma subscrição para evitar que os utilizadores a apaguem ou modifiquem. Para obter mais informações, consulte os recursos de bloqueio para evitar alterações inesperadas.

No Azure CLI, utilize os comandos de bloqueio de conta az. Por exemplo, o comando de criação de bloqueio de conta az pode impedir que os utilizadores apaguem uma subscrição:

az account lock create --name "Cannot delete subscription" --lock-type CanNotDelete

Nota

É necessário ter permissões adequadas para criar ou alterar fechaduras.

Para ver as fechaduras atuais na sua subscrição, utilize o comando da lista de bloqueio de conta az:

az account lock list --output table

Se fizer uma leitura apenas de conta, o resultado assemelha-se a atribuir permissões da função Reader a todos os utilizadores. Para saber sobre a definição de permissões para utilizadores e funções individuais, consulte Adicionar ou remover atribuições de funções Azure utilizando O Azure CLI.

Para ver detalhes para uma fechadura, utilize o comando de bloqueio de conta az:

az account lock show --name "Cannot delete subscription"

Pode remover um bloqueio utilizando o comando de exclusão de fechadura de conta az:

az account lock delete --name "Cannot delete subscription"

Ver também