导出 (0) 打印
全部展开

管理帐户、订阅和管理角色

更新时间: 2015年3月

本文说明需要访问 Microsoft Azure 以便管理门户的用户的 Azure 帐户、订阅和管理角色。这些功能将帮助你控制对在 Azure 上生成和运行的服务的资源、使用情况和计费信息的访问。请不要将这个访问与实现对你的服务的最终用户的访问相混淆。

本主题内容

note备注
本主题并不说明如何注册 Azure 帐户。有关 Azure 购买选项的信息,请参阅购买选项免费试用成员优惠(适用于 MSDN、Microsoft 合作伙伴网络和 BizSpark 以及其他 Microsoft 计划的成员)。

Azure 帐户确定如何报告 Azure 使用情况以及谁是帐户管理员。

订阅可帮助你组织对云服务资源的访问。它们还帮助你控制如何报告、计费以及支付资源使用情况。每个订阅都可以具有不同的计费和付款设置,因此,你可以按部门、项目、区域办事处等具有不同的订阅和不同的计划。每个云服务都属于一个订阅,并且可能需要订阅 ID 以便进行编程操作。

帐户和订阅在 Azure 帐户中心创建。帐户创建者是该帐户中创建的所有订阅的帐户管理员。该创建者还是订阅的默认服务管理员

下图描述了帐户管理员在创建和管理 Azure 订阅中扮演的主要角色。

Azure 账户管理和服务管理关系

使用 Microsoft 帐户的帐户管理员必须每 2 年(或更频繁)登录一次以保持帐户的活动状态。将取消非活动帐户并删除相关的订阅。如果使用工作或学校帐户,则没有登录要求。

有三个与 Azure 帐户和订阅相关的角色:

 

管理角色 限制 摘要

帐户管理员

每个 Azure 帐户 1 个

授权访问帐户中心(创建订阅、取消订阅、更改订阅计费、更改服务管理员等)

服务管理员

每个 Azure 订阅 1 个

授权访问帐户中所有订阅的 Azure 管理门户。默认情况下,与创建订阅时的帐户管理员相同。

协同管理员

每个订阅 200 个(此外还有服务管理员)

与服务管理员相同,但不能更改订阅与 Azure 目录的关联。

订阅的帐户管理员是有权访问帐户中心的唯一人士。帐户管理员没有针对该订阅中服务的任何其他访问权限;他们还需要是该帐户的服务管理员或共同管理员。出于安全原因,只能通过致电 Azure 支持人员才能更改订阅的帐户管理员。帐户管理员可以在帐户中心随时轻松地重新分配某一订阅的服务管理员。

服务管理员是订阅的第一个共同管理员。与其他共同管理员相似,服务管理员使用 Azure 管理门户 以及 Visual Studio 之类的工具、其他 SDK 和 PowerShell 之类的命令行工具,对云资源具有管理访问权限。服务管理员还可以添加和删除共同管理员。

下图描述了这些管理员角色的基本访问和管理权限。

Azure 账户、服务和共同管理关系

服务管理员和共同管理员之间的主要差异:

  • 共同管理员不能从 Azure 管理门户中删除服务管理员。只有帐户管理员才能在管理中心更改此分配。

  • 服务管理员是唯一有权在 Azure 管理中心中更改某一订阅与目录的关联的用户。

对 Azure 的访问从用户 ID 开始,这是 Azure 用来对用户进行身份验证的电子邮件和密码的组合。用户 ID 以两种形式提供:Microsoft 帐户和工作或学校帐户。

  • Microsoft 帐户采用 <user>@outlook.com <user>@hotmail.com 或 <user>@live.com 的形式。

  • 例如,工作或学校帐户采用 judy@contoso.onmicrosoft.com 或 judy@contoso.com 的形式。“Contoso”可以是任何域名。

工作或学校帐户不同于 Microsoft 帐户,因为它们源自 Azure Active Directory。因为工作或学校帐户是在 Azure Active Directory 内创建的,所以,你可以使用更多的选项管理它们。例如,可以通过多重身份验证对工作或学校帐户进行补充,这要求用户输入其他信息以便验证其身份。

因此,通常来说,只要你需要向 Azure 分配管理访问权限,就要使用工作或学校帐户。每个 Azure 订阅都具有可用来创建工作或学校帐户的默认目录。

Azure 管理门户和针对服务的大多数客户端工具(例如 Visual Studio 或 PowerShell)都支持基于帐户的身份验证。这是基于令牌的身份验证方案,除了要求用户输入其用户 ID 之外没有其他任何要求。不过,当你使用在客户端上运行的工具时对 Windows Azure 进行基于帐户的身份验证是相对较新的功能。在此之前,在客户端上具有针对某一订阅的管理证书是用于进行身份验证的唯一方法。这一基于证书的身份验证涉及使用你的用户 ID 访问一个特殊的网站以便下载订阅文件(以前称作 publishsettings 文件,该文件具有与你可以访问的订阅及其证书有关的信息),然后在你的工具中引用该文件或证书。你还可以自己创建证书、将证书上载到 Azure 管理门户,然后以相同方式引用它。

该方法比较复杂、容易出错并且要求公钥基础结构 (PKI) 足够安全。

仍支持针对管理功能的基于证书的身份验证(并且某些 Azure 服务可能仍要求此身份验证),但与基于帐户的管理相比,该方法更复杂且安全性更低。也很容易将针对“服务管理功能”的此基于证书的身份验证与使程序和人员能够在其运行时使用你的服务的基于证书的身份验证相混淆。

出于这些原因,如果可以,对于服务管理功能,在基于帐户的身份验证和基于证书的身份验证之间应优先选择前者。

Important重要提示
基于帐户的身份验证依赖于身份验证提供程序发布的令牌,并且身份验证提供程序选择令牌的使用期限,该期限可以短至一天,长达数周。在该令牌到期后,用户交需要再次登录。如果你需要对服务管理功能的持久的客户端访问(例如,对于长时间运行的集成的部署脚本或代码项目),基于证书的管理可能是正确选择。

请参阅 Windows Azure SDK 发行说明。

通常,你具有的管理员越多,你需要关注的指导原则和最佳实践就越多。即使你的服务当前比较小并且具有较少的管理员,但随着服务增长,在订阅和帐户管理中遵循最佳实践将帮助你在该增长期间保持有序。

将工作或学校帐户用于所有管理角色。这使你能够管控 Azure Active Directory 的功能。你可以根据业务需要使用目录管理用户和委托分配。有关详细信息,请参阅 Azure Active Directory

只要你添加或更改管理角色分配,就使用与你用其登录的相同域名。例如,如果你是 contoso.onmicrosoft.com 域中的帐户管理员,并且你为订阅重新分配了服务管理员,则在 contoso.onmicrosoft.com 域中添加他们时含用户 ID。如果你在 Azure 管理门户中添加共同管理员,则执行相同操作。

为每个服务创建不同订阅,并且为每个订阅提供唯一名称。这样,你就可以更加细化地查看使用情况和控制对每个服务的访问。

Microsoft 正在进行一项网上调查,以了解您对 MSDN 网站的意见。 如果您选择参加,我们将会在您离开 MSDN 网站时向您显示该网上调查。

是否要参加?
显示:
© 2015 Microsoft