Microsoft AzureにおけるEA(Enterprise Agreement)のアカウント運用はAWSに比べてわかりづらいため、図解します
※社内向けに作ったんだけど、公開しても問題なさそうなんで公開しちゃいます。間違ってたら編集リク願います
図
請求
請求はサブスクリプション単位となります
当該サブスクリプションを持っているユーザの利用が、そのサブスクリプションへまとめ上がられます
"請求先"のようなものです
EAポータルの「アカウント」
EA契約するとEAポータルにログインできるようになります
これ、何ができるかというとEAのサブスクリプションを割り当てることのできるユーザアカウントの管理と、当該サブスクリプションへの請求状況が確認できる、というものです
EAポータルで作成したユーザアカウントはAWSでいうrootアカウントに相当します
各rootアカウントはそれぞれAzureのスペースとAzure AD(= Active Directory)を持ちます
Azure ADは、AWSでいうIAMに相当します
デプロイモデルとリソースグループ
リソースグループとは、その名の通りVMやストレージアカウントといった各種リソースをまとめ上げる単位です
デプロイモデルは「クラッシック」と「リソースマネージャ」が選べます
「クラッシック」は、リソースグループを使わずにリソースを作ることを意味します(すでに非推奨)
「リソースマネージャ」は、リソースグループ内にリソースを配置することを意味します。そのため、あらかじめリソースグループを作っておく必要があります(リソースを作りながら作ることも可能です)
AWSには該当する機能はありません。賛否両論な機能ですね
他のアカウントにAzureスペースを管理してもらいたい場合
EAポータルのところでも説明しましたが、各rootアカウントはAzure AD(Active Directory)を持っており、このAzure ADはAWSでいうIAM相当です
ですので、Azure ADに役割を"管理者"として追加することで、管理者を増やすことができます
手順
上記図のように、ユーザAは自身のAzureスペースの他、ユーザBのAzureスペースも管理できるようにするには、ユーザBがユーザAを追加する作業をします
ユーザBのAzure AD上で下記作業を行います
- Azureポータル(新) から "Azure Active Directory"
- [既定のディレクトリ] → [ユーザ] → [ユーザの追加]
- ユーザの種類:"既存の Microsoft アカウントを持つユーザ" | MICROSOFTアカウント: ユーザAのアカウント
これで、ユーザAに見てもらえるようになります。ただし、この状態では管理(例えばVMの操作)は、まだ出来ません
リソースに対してアクセス権(IAM)を設定する必要があります
マイクロソフトアカウントでなく、組織のアカウント(o365アカウント)でも同じ手準になります
リソースグループへのアクセス権(IAM)割り当て
アクセス権(IAM)の割り当ては、リソース単位に行えますが、VMが増えたりすると面倒です
なので、リソースグループに割り当ててしまいましょう
- リソースグループ → アクセス制御(IAM) → [追加]
- 役割=共同作成者、共同作成者とするユーザ(今回は ユーザA) → [選択]
- 最後に [OK] を押しましょう(忘れるとと設定されません)
共同作成者とは、権限の全てが与えられているロールです。与えるときはお気をつけて。
あとがき
この辺が一通りわかれば、あとはAWS同様に使うことが出来ます。正直言ってこの辺はAWSの方が使いやすい感じがしますが、どうでしょうか?
一言でまとめるならわかりづれぇよ!
あと、再販しづれぇよ! → 「サブスクリプションを売る」のが本筋なのでしょうね