Назначение доступа к данным Cost Management
Для пользователей c Соглашениями Enterprise Azure уровень доступа к данными Управления затратами Azure определяется сочетанием разрешений, предоставляемых на портале Azure и портале Enterprise (EA) Portal. Для пользователей с другими типами учетных записей Azure определение уровня доступа пользователя к данным управления затратами проще с помощью управления доступом на основе ролей Azure (RBAC). В этой статье описано, как назначить доступ к данным Управления затратами. После назначения требуемого сочетания разрешений пользователь сможет просматривать данные в службе "Управление затратами" в пределах области доступа и области действия, которую он выбирает на портале Azure.
Выбранная пользователем область распространяется на всю среду Управления затратами, чтобы обеспечить консолидацию данных и ограничить доступ к сведениям о затратах. При использовании область пользователи не выбирают их несколькими пользователями. Вместо этого можно выбрать более обширную область, в которую входят дочерние области, а затем отфильтровать просматриваемые данные. Мы рекомендуем хорошо разобраться с концепцией консолидации данных, так как некоторым пользователям не нужно предоставлять доступ к родительской области, в которую входят дочерние области.
Просмотрите видео о контроле доступа в службе "Управление затратами", чтобы получить сведения о назначении доступа для просмотра затрат и расходов с помощью управления доступом на основе ролей в Azure (Azure RBAC). Чтобы просмотреть другие видео, посетите канал YouTube, посвященный службе "Управление затратами". Это видео упоминание портале Azure EA, который не используется. Однако также рассматриваются эквивалентные функциональные возможности, доступные в портал Azure.
Области Управления затратами
Управление затратами поддерживает различные типы учетных записей Azure. Полный список поддерживаемых типов учетных записей см. в статье Understand Cost Management data (Интерпретация данных службы "Управление затратами"). Тип учетной записи определяет доступные области.
Области подписки Azure EA
Чтобы просмотреть данные о расходах для подписок Azure EA, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
| Область применения | Определена по адресу | Требуемый уровень доступа для просмотра данных | Предварительные требования по параметрам EA | Консолидация данных |
|---|---|---|---|---|
| Учетная запись выставления счетов | https://portal.azure.com | • Корпоративная Администратор • Средство чтения регистрации (только для чтения администратора Enterprise) |
нет | Все подписки по Соглашению Enterprise |
| Отдел | https://portal.azure.com | Администратор подразделения | Возможность просмотра затрат для администратора отдела включена | Все подписки, принадлежащие к учетной записи регистрации, связанной с подразделением |
| Учетная запись регистрации | https://portal.azure.com | Владелец учетной записи | Возможность просмотра затрат для владельца учетной записи включена | Все подписки из учетной записи регистрации |
| Группа управления | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все подписки в группе управления |
| Отток подписок | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы и группы ресурсов в подписке |
| Группа ресурсов | https://portal.azure.com | Читатель Управления затратами (или Участник Управления затратами) | Возможность просмотра затрат для владельца учетной записи включена | Все ресурсы в группе ресурсов |
¹ Учетная запись выставления счетов также называется Соглашение Enterprise или регистрацией.
2. Учетная запись регистрации также называется владельцем учетной записи.
Администраторы предприятия могут назначать учетную запись выставления счетов, отдел и учетную запись регистрации область в портал Azure. Подробнее см. в статье Администрирование портала Azure для прямых соглашений Enterprise.
Другие области учетной записи Azure
Чтобы просмотреть данные о расходах для других подписок Azure, пользователю нужен по меньшей мере доступ на чтение к одной или нескольким из следующих областей.
- Группа управления
- Подписка
- Группа ресурсов
После присоединения пользователей партнерами к Клиентскому соглашению Майкрософт станут доступными различные области применения. Клиенты поставщиков облачных решений (CSP) могут использовать функции управления затратами, если они включены партнером CSP. Дополнительные сведения см. в статье Начало работы с Управлением затратами для партнеров.
Предоставление доступа к данным о затратах на портале Azure
Для области подразделения нужно включить параметр Администраторы отделов могут просматривать расходы (DA view charges). Настройте параметр в портал Azure. Для всех остальных область требуется, чтобы владельцы учетных записей могли просматривать расходы (счета владельца учетной записи (AO) с оплатой за включение.
Чтобы включить этот параметр на портале Azure, сделайте следующее:
- Войдите в портал Azure с помощью учетной записи администратора предприятия.
- Выберите пункт меню Управление затратами + выставление счетов.
- Выберите Области выставления счетов, чтобы просмотреть доступные области выставления счетов и учетные записи выставления счетов.
- Выберите нужную учетную запись выставления счетов из списка доступных.
- В разделе Параметры выберите пункт меню Политики и настройте этот параметр.
После включения нужных параметров просмотра затрат для большинства областей нужно настроить конфигурацию управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.
Роль администратора предприятия
По умолчанию администратор предприятия имеет доступ к учетной записи выставления счетов (для Соглашения Enterprise или Соглашения о регистрации) и ко всем другим областям, которые являются для нее дочерними. Администратор предприятия назначает другим пользователям доступ к областям. Для обеспечения непрерывности бизнес-процессов мы рекомендуем всегда иметь двух пользователей с правами администратора предприятия. Далее приведены примеры того, как администратору предприятия назначить другим пользователям доступ к областям.
Назначение доступа к области учетной записи выставления счетов
Для доступа к учетной записи выставления счетов область требуется разрешение администратора предприятия. Администратор предприятия может просматривать данные о затратах в пределах одной или нескольких регистраций EA. Администратор предприятия может назначить доступ к учетной записи выставления счетов область другому пользователю с доступом только для чтения. Дополнительные сведения см. в разделе "Добавление другого администратора предприятия".
Пользователю может потребоваться до 30 минут, прежде чем пользователь сможет получить доступ к данным в службе "Управление затратами".
Назначение доступа к области отдела
Для доступа к отделу область требуется доступ администратора отдела (DA view charges). Администратор отдела может просматривать данные о затратах и потреблении, имеющие отношение к отделу или нескольким отделам. Данные по отделу включают все подписки, принадлежащие к учетной записи регистрации, которая связана с этим отделом.
Администраторы предприятия могут назначать доступ администратора отдела. Дополнительные сведения см. в разделе "Добавление администратора отдела".
Назначение доступа к области учетной записи регистрации
Для доступа к учетной записи регистрации область требуется доступ владельца учетной записи (плата за просмотр AO). Владелец учетной записи может просматривать данные о затратах и использовании, связанные с подписками, которые были созданы с учетной записью регистрации. Администраторы предприятия могут назначать доступ владельца учетной записи. Дополнительные сведения см. в разделе Добавление владельца учетной записи на портале Azure.
Назначение доступа к области группы управления
Для доступа к обзору области группы управления требуются по меньшей мере права читателя Управления затратами (или просто читателя). Разрешения для группы управления можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы управления. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или читателя) можно назначить пользователю в группе управления область. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступа к области подписки
Для доступа к подписке требуются по меньшей мере права читателя Управления затратами (или просто читателя). Разрешения для подписки можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для подписки. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или читателя) можно назначить пользователю в область подписки. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Назначение доступ к области группы ресурсов
Для доступа к группе ресурсов требуются по меньшей мере права читателя Управления затратами (или просто читателя). Разрешения для группы ресурсов можно настроить на портале Azure. Чтобы разрешить доступ для других пользователей, нужно как минимум разрешение администратора доступа пользователей (или владельца) для группы ресурсов. Кроме того, для учетных записей Azure EA необходимо включить параметр оплаты AO.
Роль читателя управления затратами (или читателя) можно назначить пользователю в группе ресурсов область. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Проблемы с проверкой подлинности между клиентами
В настоящее время управление затратами обеспечивает ограниченную поддержку межтенантной проверки подлинности. В некоторых случаях, при попытке выполнения проверки подлинности между клиентами, в анализе затрат может возникнуть сообщение об ошибке Доступ запрещен. Эта проблема может возникнуть, если вы настроили управление доступом на основе ролей в Azure (Azure RBAC) для подписки другого арендатора, а затем пытаетесь просмотреть данные о затратах.
Чтобы обойти проблему: после настройки межтенантной службы Azure RBAC подождите час. Затем попробуйте просмотреть затраты в анализе затрат или предоставить доступ к Управлению затратам пользователям в обоих клиентах.
Следующие шаги
- Если вы не прочитали первое краткое руководство по управлению затратами, ознакомьтесь с ним в статье "Начать анализ затрат".