匯出 (0) 列印
全部展開

管理帳戶、訂用帳戶及管理角色

更新日期: 2014年8月

本主題針對需要存取 Azure 以管理服務的使用者,說明 Microsoft Azure 帳戶、訂用帳戶及管理角色。這些功能可為您在 Azure 上建立及執行的服務,協助您控制其資源、使用量及帳單資訊的存取權。請勿將此存取權與啟用服務使用者的存取權相混淆。

本主題內容

note附註
本主題將不會說明如何註冊 Azure 帳戶。如需有關 Azure 購買選項的詳細資訊,請參閱購買選項免費試用會員優惠 (適用於 MSDN、Microsoft Partner Network 和 BizSpark 的會員及其他 Microsoft 方案)。

Azure 帳戶決定 Azure 使用量的報告方式及帳戶管理員。

訂用帳戶可協助您組織雲端服務資源的存取權。也可協助您控制資源使用量的報告、計費及付款方式。每個訂用帳戶可以有不同的計費和付款設定,因此您可以依部門、專案、區域辦事處等分類,使用不同的訂用帳戶和不同的方案。每個雲端服務屬於一個訂用帳戶,您可能需要訂用帳戶 ID 才能執行程式設計作業。

帳戶和訂用帳戶會建立在 Azure 帳戶中心。建立帳戶的人員是在該帳戶建立之所有訂用帳戶的「帳戶管理員」(Account Administrator)。該人員也是訂用帳戶的預設「服務管理員」(Service Administrator)。

下圖描繪在建立及管理 Azure 訂用帳戶時,帳戶管理員所扮演的主要角色。

Azure 帳戶管理員與服務管理員關聯性

有三個角色與 Azure 帳戶和訂用帳戶相關:

 

管理角色 限制 摘要

帳戶管理員

每個 Azure 帳戶只有 1 名

經授權存取帳戶中心 (建立訂用帳戶、取消訂用帳戶、變更訂用帳戶的計費、變更服務管理員等)

服務管理員

每個 Azure 訂用帳戶只有 1 名

經授權存取帳戶中所有訂用帳戶的 Azure 管理入口網站。根據預設,會與建立訂用帳戶時的帳戶管理員相同。

共同管理員

每個訂用帳戶只有 200 名 (服務管理員除外)

與服務管理員相同,但無法變更訂用帳戶與 Azure 目錄的關聯。

訂用帳戶的帳戶管理員是唯一可存取帳戶中心的人員。帳戶管理員沒有該訂用帳戶之服務的其他任何存取權。他們必須同時為服務管理員或「共同管理員」(Co-Administrator),才能進行存取。基於安全理由,您必須連絡 Azure 支援部門,才能變更訂用帳戶的帳戶管理員。帳戶管理員可以隨時輕鬆地在帳戶中心重新指派訂用帳戶的服務管理員。

服務管理員是訂用帳戶的第一個共同管理員。如同其他共同管理員,服務管理員具有雲端資源的管理存取權,可使用 Azure 管理入口網站,以及 Visual Studio 等工具、其他 SDK,和 PowerShell 等命令列工具。服務管理員也可以新增及移除其他共同管理員。

下圖描繪這些管理員角色的基本存取和管理權限。

Azure 帳戶、服務與共同管理員關聯性

服務管理員和共同管理員之間的主要差異:

  • 共同管理員無法從 Azure 管理入口網站刪除服務管理員。只有帳戶管理員可以在帳戶中心變更此指派。

  • 服務管理員是唯一經授權可變更訂用帳戶與 Azure 管理入口網站目錄之關聯的使用者。

存取 Azure 的第一個步驟是使用者識別碼,這是 Azure 用來驗證使用者的電子郵件和密碼組合。使用者識別碼有兩種格式:Microsoft 帳戶和組織帳戶。

  • Microsoft 帳戶採用 <user>@outlook.com、<user>@hotmail.com 或 <user>@live.com 格式。

  • 組織帳戶採用 judy@contoso.onmicrosoft.com 或 judy@contoso.com 等格式。“Contoso” 可以是任何網域名稱。

組織帳戶與 Microsoft 帳戶不同,因為其源自 Azure Active Directory。由於組織帳戶是從 Azure Active Directory 建立,因此您有更多管理選項。例如,組織帳戶可以增添多因素驗證,此驗證要求使用者輸入其他資訊以驗證其身分。

因此一般而言,當您需要指派管理權限給 Azure 時,請使用組織帳戶。每個 Azure 訂用帳戶會有預設目錄,以供您用來建立組織帳戶。

Azure 管理入口網站及服務的大多數用戶端工具 (例如 Visual Studio 或 PowerShell) 皆支援以帳戶為基礎的驗證。這是 Token 式驗證配置,使用者只需要輸入其使用者識別碼。不過,使用在用戶端執行的工具時,對 Windows Azure 進行以帳戶為基礎的驗證還是相當新的功能。在這之前,在用戶端上擁有訂用帳戶的管理憑證是唯一的驗證方式。以憑證為基礎的驗證需要使用您的使用者識別碼存取一個特殊網站,以下載訂用帳戶檔案 (先前稱為 publishsettings 檔案),其中包含您可以存取之訂用帳戶及其憑證的相關資訊,然後需要從您的工具參照該檔案或憑證。您也可以自行建立憑證,將憑證上傳至 Azure 管理入口網站,然後以相同方式參照此憑證。

此方法很複雜、容易出錯,且需要公開金鑰基礎結構 (PKI) 以取得適當的保護。

管理功能仍支援以憑證為基礎的驗證 (而且某些 Azure 服務可能仍然需要此驗證),但此驗證比以帳戶為基礎的管理更複雜且更不安全。在管理服務功能中以憑證為基礎的驗證,以及另一種可允許程式和人員在執行時使用您的服務之以憑證為基礎的驗證,兩者很容易混淆。

因此,請盡可能選擇服務管理功能中以帳戶為基礎的驗證,而不是以憑證為基礎的驗證。

Important重要事項
以帳戶為基礎的驗證需要驗證提供者所發出的 Token,而驗證提供者會選擇 Token 的使用期限,其長度可能從一天到數週。當 Token 到期時,使用者必須重新登入。如果您需要服務管理功能的持續用戶端存取權 (例如長時間執行整合式部署指令碼或程式碼專案),以憑證為基礎的管理可能是適當的選擇。

請參閱<Microsoft Azure SDK 版本資訊>。

一般而言,您擁有的管理員愈多,您愈需要注意指導方針和最佳作法。即使您目前的服務不大且管理員不多,隨著您的服務成長,遵循訂用帳戶的最佳作法和帳戶管理將可協助您在成長期間維持秩序。

請為所有管理角色使用組織帳戶。 這可讓您利用 Azure Active Directory 的管理能力。您可以使用目錄管理使用者,並委派適合業務的工作。如需詳細資訊,請參閱<Azure Active Directory>。

當您新增或變更管理角色指派時,請使用您登入所用的相同網域名稱。 例如,如果您是 contoso.onmicrosoft.com 網域的帳戶管理員,並想重新指派訂用帳戶的服務管理員,請利用使用者識別碼將其加入 contoso.onmicrosoft.com 網域。如果您想在 Azure 管理入口網站中新增共同管理員,請執行相同的動作。

針對每個服務建立不同的訂用帳戶,並提供唯一的名稱給每個訂用帳戶。 這可讓您檢視使用量,並更精細地控制每個服務的存取權。

顯示:
© 2014 Microsoft