[Azure]_讓單一Azure訂閱可共用訂閱資源給其他帳號
其實前陣子就有實作過,當下沒時間紀錄,最近剛好又有機會做一次,就記錄一下
主要是能讓一個帳號的Azure訂閱可以共享給其他帳號做使用及管理指定訂閱下面的雲端服務
想要達到這個目的,主要由兩個部分構成
第一為Azure AD,第二為訂閱共同管理者(Co-administrator)的設定
至於一些背景我就不提的,直接上作法
因為官方文件也提到Co-administrator現在僅能由傳統Portal設定,不過AD使用者可以從新版Portal設定,所以我方便好解釋,這次一律還是在傳統Portal做說明
AD部分:
▼先來處理AD的部分,這裡對應新版Portal名為Azure AD,我這裡用傳統Protal示範,先到擁有訂閱的那個帳號內,選擇要讓共享帳號加入的AD,這裡直接用預設帳號的AD來做
▼然後切換到User管理的部分,新增User
▼此時輸入你要新增至AD的User資訊,基本上有幾種User type,我這裡用的是其他人的microsoft帳號,當然有更多種類型,例如已經在別的網域下的AD帳號等等
▼這邊要注意的是Role,如果只是要讓他單純新增修改或者管理既有資源而不在對這個AD有甚麼管理能力,選擇User即可,詳細的role解釋可以參考:https://docs.microsoft.com/en-us/azure/active-directory/active-directory-assign-admin-roles (英文)
到這邊算是初步處理完AD的部分,接下來要來指派訂閱偕同管理者,這樣才能讓該帳號使用訂閱資源
Co-Administrator部分:
▼一樣在傳統Portal,左下角的setting,內的administrators,去進行新增管理者
▼直接給他輸入你要協同管理的帳號,這邊直接帶入剛剛AD加入的微軟帳號,並且直接選擇你要讓他使用的訂閱即可
到這個步驟已經完成設定,可以登入剛剛加入AD的帳號中檢查一下是否能使用共用的訂閱資源來使用雲端服務
共享帳戶的Portal部分:
▼換到共享帳戶的部分,新版Portal右上角點取自己帳號的圖片,會有下拉選單,此時因為加入AD的緣故,你可以把操作目錄切換到剛剛主帳號的AD下
▼隨便對一個服務進行新增,這時訂閱帳戶可以直接選到主帳剛剛在Co-Administrator設定的訂閱,這樣就可以直接吃主帳的訂閱資源瞜!
不過同時這也代表這個共享帳號是有能力修改甚至移除該訂閱底下的資源,若要做到隔離,則由主帳那邊對想要保護的資源群組做安全原則限制即可。
但已非本篇探討之範疇。
以上~
參考:
https://docs.microsoft.com/en-us/azure/billing-add-change-azure-subscription-administrator
https://azure.microsoft.com/zh-tw/support/changing-service-admin-and-co-admin/
http://www.slideshare.net/garicchi/azure-49305035
Leave a comment
很抱歉,必須登入網站才能發佈留言。