Exportar (0) Imprimir
Expandir Tudo

Gerenciar contas, assinaturas e funções administrativas

Atualizado: abril de 2014

Este tópico explica as contas, as assinaturas e as funções administrativas do Windows Azure para usuários que precisam de acesso ao Windows Azure para gerenciar serviços. Esses recursos ajudam a controlar o acesso aos recursos, o uso e as informações de cobrança para serviços que você compila e executa no Windows Azure. Não confunda esse acesso com a habilitação de acesso aos usuários finais do serviço.

Neste tópico

noteObservação
Este tópico não explica como se inscrever para uma conta do Windows Azure. Para obter informações sobre as opções de compra do Windows Azure, consulte Opções de compra, Avaliação gratuita e Ofertas para membros (para membros do MSDN, do Microsoft Partner Network e BizSpark e de outros programas da Microsoft).

Uma conta do Windows Azure determina como o uso do Windows Azure é reportado e quem é o administrador da conta.

As assinaturas ajudam a organizar o acesso aos recursos de serviço de nuvem. Elas também ajudam a controlar como o uso de recursos é reportado, cobrado e pago. Cada assinatura pode ter uma configuração diferente de cobrança e pagamento, para que você possa ter assinaturas e planos diferentes por departamento, projeto, escritório regional e assim por diante. Cada serviço de nuvem pertence a uma assinatura e a ID da assinatura pode ser necessária para operações programáticas.

As contas e as assinaturas são criadas no Centro de contas. A pessoa que criou a conta é o Administrador da conta para todas as assinaturas criadas nessa conta. Essa pessoa também é o Administrador de serviço padrão para a assinatura.

Há três funções relacionadas a contas e assinaturas do Azure:

 

Função administrativa Limite Resumo

Administrador da Conta

1 por conta do Windows Azure

Autorizado a acessar o Centro de contas (criar assinaturas, cancelar assinaturas, alterar a cobrança para uma assinatura, alterar administrador de serviço e muito mais)

Administrador de serviço

1 por assinatura do Windows Azure

Autorizado para acessar o Portal de Gerenciamento do Windows Azure para todas as assinaturas na conta. Por padrão, o mesmo que o Administrador da conta quando uma assinatura é criada.

Coadministrador

200 por assinatura (além do Administrador de serviço)

O mesmo que Administrador de serviço, mas não pode alterar a associação de assinaturas nos diretórios do Windows Azure.

O Administrador da conta para uma assinatura é a única pessoa com acesso ao Centro de contas. O Administrador da conta não tem nenhum outro acesso aos serviços nessa assinatura; eles também precisam ser o Administrador de serviço ou coadministrador para isso. Por razões de segurança, o Administrador da conta para uma assinatura apenas pode ser alterado com uma chamada para o suporte do Windows Azure. O Administrador da conta pode facilmente reatribuir o Administrador de serviço para uma assinatura no Centro da conta a qualquer momento.

O Administrador de serviço é o primeiro coadministrador para uma assinatura. Como outros coadministradores, o Administrador de serviço tem acesso de gerenciamento para os recursos de nuvem usando o Portal de Gerenciamento do Windows Azure, assim como as ferramentas como Visual Studio, outros SDKs e as ferramentas de linha de comando como PowerShell. O Administrador de serviço também pode adicionar e remover outros administradores.

Cruciais diferenças entre o administrador de serviço e os coadministradores:

  • Os coadministradores não podem excluir o Administrador de serviço do Portal de Gerenciamento do Windows Azure. Apenas o Administrador da conta pode alterar essa atribuição no Centro de contas.

  • O Administrador de serviço é o único usuário autorizado a alterar a associação de uma assinatura a um diretório no Portal de Gerenciamento do Windows Azure.

O acesso ao Windows Azure começa com uma ID de usuário, que é uma combinação de email e senha que o Azure usa para autenticar os usuários. As IDs do usuário são fornecidas de duas formas: contas da Microsoft e contas organizacionais.

  • As contas da Microsoft têm o formato <usuário>@outlook.com <usuário>@hotmail.com ou <usuário>@live.com.

  • As contas organizacionais têm o formato judy@contoso.onmicrosoft.com ou judy@contoso.com, por exemplo. “Contoso” pode ser qualquer nome do domínio.

As contas organizacionais são diferentes das contas da Microsoft porque são obtidas do Active Directory do Windows Azure. Como as contas organizacionais são criadas a partir do Active Directory do Windows Azure, você tem mais opções para gerenciar. Por exemplo, as contas organizacionais podem ser suplementadas com a autenticação de vários fatores, que exige que o usuário insira informações adicionais para verificar a identidade.

Assim, como regra geral, use contas organizacionais sempre que você precisar atribuir acesso administrativo ao Azure. Cada assinatura do Windows Azure tem um diretório padrão que você pode usar para criar contas organizacionais.

O Portal de Gerenciamento do Windows Azure e a maioria das ferramentas de cliente para serviços, como Visual Studio ou PowerShell, dão suporte à autenticação baseada em conta. Este é um esquema de autenticação baseado em token, exigindo nada mais que o usuário insira a ID de usuário. No entanto, a autenticação baseada em conta do Windows Azure quando você usa ferramentas que são executadas em um cliente é um recurso relativamente novo. Antes disso, ter um certificado de gerenciamento para uma assinatura no cliente era a única maneira de autenticação. Essa autenticação baseada em certificado envolve acessar um site especial com a ID de usuário para baixar um arquivo de assinatura (anteriormente conhecido como um arquivo de publishsettings), que tem informações sobre as assinaturas que você pode acessar e seus certificados e, em seguida, fazer referência a esse arquivo ou certificados de suas ferramentas. Você também pode criar o certificado por sua conta, carregá-lo no Portal de Gerenciamento do Windows Azure e, em seguida, referenciá-lo da mesma maneira.

Esse método é complicado, sujeito a erros e requer uma PKI (infraestrutura de chave pública) para estar adequadamente seguro.

A autenticação baseada em certificado para funções de gerenciamento ainda tem suporte--e alguns serviços do Azure ainda podem exigi-la--mas isso é mais complicado e menos seguro do que o gerenciamento baseado em conta. Também é fácil confundir essa autenticação baseada em certificado para funções de gerenciamento do serviço com a autenticação baseada em certificado que habilita programas e pessoas para usarem seus serviços enquanto estiverem em execução.

Por esses motivos, selecione a autenticação baseada em conta em vez de autenticação baseada em certificado para funções de gerenciamento de serviço sempre que puder.

ImportantImportante
A autenticação baseada em conta depende dos tokens emitidos por um provedor de autenticação e o provedor de autenticação escolhe a duração do token, que pode ser um dia ou semanas. Quando o token expirar, um usuário precisará se conectar novamente. Se você precisar de acesso de cliente persistente às funções de gerenciamento de serviço--por exemplo, para projetos de código ou scripts de implantação integrados de execução longa--o gerenciamento baseado em certificado pode ser a escolha correta.

Consulte as Notas de versão do SDK do Windows Azure.

Em geral, quanto mais administradores você tiver, mais precisará se preocupar com diretrizes e práticas recomendadas. Mesmo se os serviços hoje forem pequenos e tiverem poucos administradores, à medida que os serviços crescerem, seguir práticas recomendadas no gerenciamento de assinatura e conta ajudará você a manter a ordem durante esse crescimento.

O uso de contas organizacionais para todas as funções administrativas. Isso permite o aproveitamento da capacidade do Active Directory do Windows Azure para governança. Você pode usar diretórios para gerenciar usuários e delegar atribuições conforme for apropriado para seu negócio. Consulte Active Directory do Windows Azurepara obter mais informações.

Quando você adicionar ou modificar uma atribuição de função administrativa, use o mesmo nome de domínio com o qual está conectado. Por exemplo, se você for um Administrador de conta no domínio contoso.onmicrosoft.com e reatribuir o Administrador de serviço para uma assinatura, adicione-as com uma ID de usuário no domínio contoso.onmicrosoft.com. Faça o mesmo se estiver adicionando coadministradores no Portal de Gerenciamento do Windows Azure.

Crie uma assinatura diferente para cada serviço e dê a cada assinatura um nome exclusivo. Isso permite exibir o acesso a uso e controle para cada serviço de maneira granular.

A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft