Azure planı kapsamındaki abonelikleri ve kaynakları yönetme

  • Makale

Uygun roller: Yönetici aracısı

Bu makalede, Bulut Çözümü Sağlayıcısı (CSP) iş ortaklarının bir müşterinin Azure kaynaklarının operasyonel denetimini ve yönetimini almak için çeşitli rol tabanlı erişim denetimi (RBAC) seçeneklerini nasıl kullanabileceği açıklanmaktadır.

Bir müşteriyi Azure planına geçirdiğinizde Azure'da ayrıcalıklı yönetici haklarına (varsayılan olarak Yönetici (AOBO) adına abonelik sahibi hakları atanır.

Not

Azure aboneliğine yönelik Yönetici hakları müşteri tarafından abonelik düzeyinde, kaynak grubu düzeyinde veya iş yükü düzeyinde kaldırılabilir.

İş ortakları, rol tabanlı erişim denetimi özelliği (RBAC) aracılığıyla sağlanan çeşitli seçenekleri kullanarak CSP'de müşterinin Azure kaynaklarının sürekli operasyonel denetimini ve yönetimini alabilir.

  • adına Yönetici - AOBO ile, iş ortağı kiracısında Yönetici aracısı rolüne sahip tüm kullanıcıların CSP programı aracılığıyla oluşturduğunuz Azure aboneliklerine RBAC sahip erişimi vardır.

  • Azure Lighthouse: AOBO, farklı müşterilerle çalışan farklı gruplar oluşturma veya gruplar veya kullanıcılar için farklı roller etkinleştirme esnekliğine sahip değildir. Ancak Azure Lighthouse'ı kullanarak farklı müşterilere veya rollere farklı gruplar atayabilirsiniz. Kullanıcılar Azure temsilcili kaynak yönetimi aracılığıyla uygun erişim düzeyine sahip olduğundan, Yönetici aracısı rolüne (ve dolayısıyla tam AOBO erişimine sahip) kullanıcı sayısını azaltabilirsiniz. Bu, müşterilerinizin kaynaklarına gereksiz erişimi sınırlayarak güvenliği artırmaya yardımcı olur. Ayrıca büyük ölçekte birden fazla müşteriyi yönetme açısından size daha çok esneklik getirir. Daha fazla bilgi için bkz. Azure Lighthouse ve Bulut Çözümü Sağlayıcısı programı.

  • Dizin veya Konuk Kullanıcılar veya Hizmet Sorumluları: Müşteri dizinine kullanıcı ekleyerek veya konuk kullanıcılar ekleyerek ve belirli RBAC rolleri atayarak CSP aboneliklerine ayrıntılı erişim yetkisi vekleyebilirsiniz.

Microsoft, bir güvenlik uygulaması olarak kullanıcılara işlerini yapmak için gereken en düşük izinleri atamanızı önerir. Daha fazla bilgi için bkz . Microsoft Entra Privileged Identity Management kaynakları.

Aşağıdaki tabloda PartnerID'nizi (eski adıyla MPN Kimliği) çeşitli RBAC erişim seçenekleriyle ilişkilendirmek için kullanılan yöntemler gösterilmektedir.

Kategori Senaryo İş Ortağı Kimliği ilişkilendirmesi
AOBO CSP doğrudan iş ortağı veya dolaylı sağlayıcı müşteri için abonelik oluşturarak CSP doğrudan iş ortağını veya dolaylı sağlayıcıyı AOBO kullanarak aboneliğin varsayılan sahibi haline getirir. CSP doğrudan iş ortağı veya dolaylı sağlayıcı, AOBO kullanarak aboneliğe dolaylı kurumsal bayi erişimi sağlar. Otomatik (iş ortağı çalışması gerekmez)
Azure Lighthouse İş ortağı, Market'te yeni bir Yönetilen Hizmet teklifi oluşturur. Teklif CSP aboneliğinde kabul edilir ve iş ortağı CSP aboneliğine erişim elde eder. Otomatik (iş ortağı çalışması gerekmez)
Azure Lighthouse İş ortağı, Azure aboneliğinde Azure Resource Manager (ARM) şablonu dağıtır İş ortağının İş Ortağı Kimliği'ni iş ortağı kiracısında kullanıcı veya hizmet sorumlusuyla ilişkilendirmesi gerekir. Daha fazla bilgi için bkz . Temsilci olarak atanan kaynaklar üzerindeki etkinizi izlemek için İş Ortağı Kimliğinizi bağlama.
Dizin veya Konuk kullanıcı İş ortağı, müşteri dizininde yeni bir kullanıcı veya hizmet sorumlusu oluşturur ve kullanıcıya CSP aboneliğine erişim verir. İş ortağı, müşteri dizininde yeni bir kullanıcı veya hizmet sorumlusu oluşturur. İş ortağı kullanıcıyı bir gruba ekler ve gruba CSP aboneliğine erişim verir. İş ortağının İş Ortağı Kimliği'ni müşteri kiracısında kullanıcı veya hizmet sorumlusuyla ilişkilendirmesi gerekir. Daha fazla bilgi için bkz . Müşterileri yönetmek için kullanılan hesabınıza İş Ortağı Kimliği bağlama.

Yönetici erişiminiz olduğunu onaylayın

Müşterinizin hizmetlerini yönetmek ve kazanılan kredileri almak için yönetici erişimine sahip olmanız gerekir. Kazanılan krediler hakkında daha fazla bilgi için bkz . İş ortağı tarafından kazanılan krediler.

Yönetici erişiminiz olup olmadığını belirlemek için aşağıdaki adımları kullanın:

  • Günlük kullanım dosyasını gözden geçirin: Günlük kullanım dosyasındaki birim fiyatı ve geçerli birim fiyatı gözden geçirin ve indirim uygulanıp uygulanmadığını onaylayın. İndirimi alıyorsanız yönetici siz olursunuz.

Azure izleyici uyarısı oluşturma

RBAC erişiminiz bir CSP aboneliğinden kaldırılırsa bildirim almak için bir etkinlik günlüğü Azure İzleyici Uyarısı oluşturabilirsiniz.

Azure izleyici uyarısı oluşturmak için aşağıdaki adımları kullanın:

  1. Uyarı oluşturun.

    Screenshot of an Azure portal alert.

  2. Uyarının gerçekleştirmesini istediğiniz eylem türünü seçin.

    Örneğin, e-posta istediğinizi belirtirseniz herhangi bir rol ataması silme işlemi gerçekleşirse sizi bilgilendiren bir e-posta alırsınız.

    Screenshot in the Azure portal of configuring an alert.

AOBO kaldırma

Müşteriler, Azure portalında Erişim Denetimi'ne giderek aboneliklerine erişimi yönetebilir. Rol atamaları sekmesinde Erişimi kaldır'ı seçebilirler.

Müşteri erişiminizi kaldırırsa şunları yapabilirsiniz:

  • Yönetici erişiminin yeniden etkinleştirilip getirilmediğini görmek için müşterinizle görüşün.

  • Rol tabanlı erişim denetimi (RBAC) aracılığıyla sağlanan erişimi kullanın.

  • Azure Lighthouse aracılığıyla sağlanan erişimi kullanın.

Rol tabanlı erişim, yönetici erişiminden farklıdır. Roller, yapabileceklerini ve yapamadıklarınızı kesin olarak sınırlandırabilir. Yönetici erişim daha geniştir.

İş ortağı tarafından kazanılan kredi (PEC) kazanmaya uygun rolleri görmek için bkz . İş ortağı tarafından kazanılan kredi için roller ve izinler.

Azure planını askıya alma ve yeniden etkinleştirme

İş ortakları, Azure planı ayrıntıları sayfasından Doğrudan İş Ortağı Merkezi'nde Azure planını askıya alabilir veya yeniden etkinleştirebilir.

  1. İş Ortağı Merkezi'ndeki Müşteriler'de müşteri hesabını seçin
  2. Müşterinin Azure aboneliklerine gidin
  3. Azure planını seçin
  4. Azure planını askıya almak için Durum: Askıya Alındı ve ardından Gönder'i seçin.
  5. Azure planını yeniden etkinleştirmek için Durum: Etkin'i ve ardından Gönder'i seçin.

Mevcut bir Azure planını askıya almak için Azure kullanım abonelikleri ve Azure rezervasyonları dahil olmak üzere artık onunla ilişkilendirilmiş etkin kullanım varlıkları olmaması gerekir.

İş ortakları belirli kurumsal bayi ve müşteri birleşimi başına yalnızca bir Azure planı satın alabilir. Bir satıcının müşterisinde askıya alınmış bir plan varsa, bu müşteri yeni bir plan satın alamıyor olabilir. İptal, Azure planında kullanılamaz.

API tarafından Azure planının askıya alınması için bkz . Aboneliği askıya alma - İş ortağı uygulama geliştiricisi.

API tarafından Azure planını yeniden etkinleştirme için bkz . Askıya alınan aboneliği yeniden etkinleştirme - İş ortağı uygulama geliştiricisi.

Azure aboneliğini iptal etme

Müşterinin Azure planı aboneliklerinin tehlikeye atılmış olması durumunda, İş Ortakları İş Ortağı Merkezi'nden Azure aboneliklerini iptal edebilir. Bu özellik yalnızca Yönetici Aracısı rollerine sahip Genel Yönetici istrator'lar tarafından kullanılabilir. Bunu yapmak için:

  1. Müşteri listesinden Müşteri'yi seçin
  2. Müşterinin Azure aboneliklerine gidin
  3. Aboneliğin altında yer alan Azure planını seçin
  4. Azure planı ayrıntıları sayfasında iptal etmek için Azure aboneliklerini seçin
  5. Aboneliği iptal et'i seçerek değişiklikleri gönderin

Bu işlem yalnızca seçili Azure aboneliklerini iptal eder. Azure planı hala etkinse Azure aboneliğine erişimi olan müşteriler aboneliği yeniden etkinleştirebilir. Bunun olmasını önlemek için, İş Ortakları tüm Azure aboneliklerini ve ardından Azure planını iptal etmelidir.

İş ortakları abonelikleri birden çok kez seçebilir ancak aynı anda 10'dan fazla aboneliği iptal edebilir. İş ortakları, altında etkin Azure aboneliği olmadığında Azure planını iptal edebilir. Bu, kötü bir aktör RBAC izinlerini kaldırmış olsa bile iş ortaklarının güvenliği aşılmış olabilecek Azure planlarını ve aboneliklerini kapatmasını sağlar.

İş ortakları Azure aboneliklerini İş Ortağı Merkezi portalı veya API aracılığıyla iptal edebilir. API ayrıntıları için bkz . Azure aboneliğini iptal etme ve denemek için bkz . Azure harcaması - Azure yetkilendirmesini iptal etme - REST API.

Azure aboneliklerini iptal etme hakkında daha fazla bilgi edinmek için bkz. Abonelik iptal edildikten sonra ne olur?

Azure aboneliğini yeniden etkinleştirme

İş ortakları, Etkin Olmayan Azure abonelikleri sekmesini kullanarak müşterinin Azure planı ayrıntıları sayfasından güvenliğini aşması nedeniyle iptal edilen Azure aboneliklerini yeniden etkinleştirebilir. Bu özellik yalnızca Yönetici Aracısı rollerine sahip Genel Yönetici istrator'lar tarafından kullanılabilir. Bunu yapmak için:

  1. Müşteri listesinden Müşteri'yi seçin
  2. Müşterinin Azure aboneliklerine gidin
  3. Aboneliğin altında yer alan Azure planını seçin
  4. Azure planı ayrıntıları sayfasında, Azure aboneliği bölümünün altında Etkin Değil sekmesini seçin
  5. Yeniden etkinleştirmek için Azure aboneliğini seçin
  6. Aboneliği yeniden etkinleştir'i seçerek değişiklikleri gönderin

Bu işlem yalnızca seçili Azure aboneliklerini yeniden etkinleştirir. İş ortakları abonelikleri birden çok kez seçebilir ancak aynı anda 10'dan fazla aboneliği yeniden etkinleştiremez. Azure aboneliklerini yeniden etkinleştirmek için ilişkili Azure planının etkin olması gerekir. İş ortakları, Azure planı ayrıntıları sayfasına gidip Azure planının durumunu Yeniden Etkin olarak güncelleştirerek Azure planlarını doğrudan İş Ortağı Merkezi'nde yeniden etkinleştirebilir.

Azure aboneliği Azure portalında müşteri veya faturalama sahibi tarafından iptal edildiyse, aboneliği Azure portalından yeniden etkinleştirmek için müşteri veya faturalama sahibiyle iletişime geçilmesi gerekir.

API ile yeniden etkinleştirme için bkz . Azure aboneliğini yeniden etkinleştirme - İş ortağı uygulama geliştiricisi. Denemek için bkz . Azure harcaması - Azure yetkilendirmesini yeniden etkinleştirme.

Azure aboneliklerini yeniden etkinleştirme hakkında daha fazla bilgi için Bkz . Azure belgeleri.

Sonraki adımlar