导出 (0) 打印
全部展开

管理帐户、订阅和管理角色

更新时间: 2014年4月

本文说明需要访问 Windows Azure 以便管理门户的用户的 Windows Azure 帐户、订阅和管理角色。这些功能将帮助您控制对在 Windows Azure 上生成和运行的服务的资源、使用情况和计费信息的访问。请不要将这个访问与实现对您的服务的最终用户的访问相混淆。

本主题内容

note备注
本主题并不说明如何注册 Windows Azure 帐户。有关 Windows Azure 购买选项的信息,请参阅购买选项免费试用成员优惠(适用于 MSDN、Microsoft 合作伙伴网络和 BizSpark 以及其他 Microsoft 计划的成员)。

Windows Azure 帐户确定如何报告 Windows Azure 使用情况以及谁是帐户管理员。

订阅可帮助您组织对云服务资源的访问。它们还帮助您控制如何报告、计费以及支付资源使用情况。每个订阅都可以具有不同的计费和付款设置,因此,您可以按部门、项目、区域办事处等具有不同的订阅和不同的计划。每个云服务都属于一个订阅,并且可能需要订阅 ID 以便进行编程操作。

帐户和订阅在帐户中心创建。帐户创建者是该帐户中创建的所有订阅的帐户管理员。该创建者还是订阅的默认服务管理员

有三个与 Azure 帐户和订阅相关的角色:

 

管理角色 限制 摘要

帐户管理员

每个 Windows Azure 帐户 1 个

授权访问帐户中心(创建订阅、取消订阅、更改订阅计费、更改服务管理员等)

服务管理员

每个 Windows Azure 订阅 1 个

授权访问帐户中所有订阅的 Windows Azure 管理门户。默认情况下,与创建订阅时的帐户管理员相同。

协同管理员

每个订阅 200 个(此外还有服务管理员)

与服务管理员相同,但不能更改订阅与 Windows Azure 目录的关联。

订阅的帐户管理员是有权访问帐户中心的唯一人士。帐户管理员没有针对该订阅中服务的任何其他访问权限;他们还需要是该帐户的服务管理员或共同管理员。出于安全原因,只能通过致电 Windows Azure 支持人员才能更改订阅的帐户管理员。帐户管理员可以在帐户中心随时轻松地重新分配某一订阅的服务管理员。

服务管理员是订阅的第一个共同管理员。与其他共同管理员相似,服务管理员使用 Windows Azure 管理门户 以及 Visual Studio 之类的工具、其他 SDK 和 PowerShell 之类的命令行工具,对云资源具有管理访问权限。服务管理员还可以添加和删除共同管理员。

服务管理员和共同管理员之间的主要差异:

  • 共同管理员不能从 Windows Azure 管理门户中删除服务管理员。只有帐户管理员才能在管理中心更改此分配。

  • 服务管理员是唯一有权在 Windows Azure 管理中心中更改某一订阅与目录的关联的用户。

对 Windows Azure 的访问从用户 ID 开始,这是 Azure 用来对用户进行身份验证的电子邮件和密码的组合。用户 ID 以两种形式提供:Microsoft 帐户和组织帐户。

  • Microsoft 帐户采用 <user>@outlook.com <user>@hotmail.com 或 <user>@live.com 的形式。

  • 例如,组织帐户采用 judy@contoso.onmicrosoft.com 或 judy@contoso.com 的形式。“Contoso”可以是任何域名。

组织帐户不同于 Microsoft 帐户,因为它们源自 Windows Azure Active Directory。因为组织帐户是从 Windows Azure Active Directory 内创建的,所以,您具有用于管理它们的更多选项。例如,可以通过多重身份验证对组织帐户进行补充,这要求用户输入其他信息以便验证其身份。

因此,通常来说,只要您需要向 Azure 分配管理访问权限,就要使用组织帐户。每个 Windows Azure 订阅都具有可用来创建组织帐户的默认目录。

Windows Azure 管理门户和针对服务的大多数客户端工具(例如 Visual Studio 或 PowerShell)都支持基于帐户的身份验证。这是基于令牌的身份验证方案,除了要求用户输入其用户 ID 之外没有其他任何要求。不过,当你使用在客户端上运行的工具时对 Windows Azure 进行基于帐户的身份验证是相对较新的功能。在此之前,在客户端上具有针对某一订阅的管理证书是用于进行身份验证的唯一方法。这一基于证书的身份验证涉及使用您的用户 ID 访问一个特殊的网站以便下载订阅文件(以前称作 publishsettings 文件,该文件具有与您可以访问的订阅及其证书有关的信息),然后在您的工具中引用该文件或证书。您还可以自己创建证书、将证书上载到 Windows Azure 管理门户,然后以相同方式引用它。

该方法比较复杂、容易出错并且要求公钥基础结构 (PKI) 足够安全。

仍支持针对管理功能的基于证书的身份验证(并且某些 Azure 服务可能仍要求此身份验证),但与基于帐户的管理相比,该方法更复杂且安全性更低。也很容易将针对“服务管理功能”的此基于证书的身份验证与使程序和人员能够在其运行时使用您的服务的基于证书的身份验证相混淆。

出于这些原因,如果可以,对于服务管理功能,在基于帐户的身份验证和基于证书的身份验证之间应优先选择前者。

Important重要提示
基于帐户的身份验证依赖于身份验证提供程序发布的令牌,并且身份验证提供程序选择令牌的使用期限,该期限可以短至一天,长达数周。在该令牌到期后,用户交需要再次登录。如果您需要对服务管理功能的持久的客户端访问(例如,对于长时间运行的集成的部署脚本或代码项目),基于证书的管理可能是正确选择。

请参阅 Windows Azure SDK 发行说明。

通常,您具有的管理员越多,您需要关注的指导原则和最佳实践就越多。即使您的服务当前比较小并且具有较少的管理员,但随着服务增长,在订阅和帐户管理中遵循最佳实践将帮助您在该增长期间保持有序。

将组织帐户用于所有管理角色。这使你能够管控 Windows Azure Active Directory 的功能。您可以根据业务需要使用目录管理用户和委托分配。有关详细信息,请参阅 Windows Azure Active Directory

只要您添加或更改管理角色分配,就使用与您用其登录的相同域名。例如,如果你是 contoso.onmicrosoft.com 域中的帐户管理员,并且你为订阅重新分配了服务管理员,则在 contoso.onmicrosoft.com 域中添加他们时含用户 ID。如果您在 Windows Azure 管理门户中添加共同管理员,则执行相同操作。

为每个服务创建不同订阅,并且为每个订阅提供唯一名称。这样,你就可以更加细化地查看使用情况和控制对每个服务的访问。

显示:
© 2014 Microsoft