Připojení k AWS pomocí multicloudového konektoru na webu Azure Portal

Konektor pro více cloudů povolený službou Azure Arc umožňuje připojit prostředky veřejného cloudu mimo Azure k Azure pomocí webu Azure Portal. V současné době se podporují prostředí veřejného cloudu AWS.

V rámci připojení účtu AWS k Azure použijete šablonu CloudFormation do účtu AWS. Tato šablona vytvoří všechny požadované zdroje informací pro připojení.

Požadavky

Pokud chcete používat multicloudový konektor, potřebujete příslušná oprávnění v AWS i Azure.

Požadavky na AWS

K vytvoření konektoru a použití inventáře multicloudu potřebujete v AWS následující oprávnění:

• AmazonS3FullAccess
• AWSCloudFormationFullAccess
• IAMFullAccess

U onboardingu Arc je potřeba splnit více požadavků.

Oprávnění řešení AWS

Když šablonu CloudFormation nahrajete, bude požadováno více oprávnění na základě vybraných řešení:

• V případě inventáře můžete zvolit svá oprávnění:

  1. Globální čtení: Poskytuje přístup jen pro čtení ke všem prostředkům v účtu AWS. Po zavedení nových služeb může konektor tyto prostředky vyhledat, aniž by vyžadoval aktualizovanou šablonu CloudFormation.

  2. Přístup s nejnižšími oprávněními: Poskytuje přístup pro čtení pouze k prostředkům ve vybraných službách. Pokud se rozhodnete vyhledat další prostředky v budoucnu, musíte nahrát novou šablonu CloudFormation.

• V případě onboardingu Arc vyžaduje naše služba přístup k zápisu EC2, aby bylo možné nainstalovat agenta Azure Connected Machine.

Požadavky Azure

Pokud chcete používat konektor s více cloudy v předplatném Azure, potřebujete předdefinované role Přispěvatel .

Pokud službu používáte poprvé, musíte zaregistrovat tyto poskytovatele prostředků, kteří vyžadují přístup přispěvatele k předplatnému:

• Microsoft.HybridCompute

• Microsoft.HybridConnectivity

• Microsoft.AwsConnector

• Microsoft.Kubernetes

Poznámka:

Konektor s více cloudy může pracovat souběžně s konektorem AWS v defenderu pro cloud. Pokud zvolíte, můžete použít oba tyto konektory.

Přidání veřejného cloudu na webu Azure Portal

Pokud chcete přidat veřejný cloud AWS do Azure, zadejte podrobnosti a vygenerujte šablonu CloudFormation pomocí webu Azure Portal.

1. Na webu Azure Portal přejděte na Azure Arc.

2. V části Správa vyberte Konektory multicloudu (Preview).

3. V podokně Konektory vyberte Vytvořit.

4. Na stránce Základy:

   1. Vyberte předplatné a skupinu prostředků, ve které chcete vytvořit prostředek konektoru.
   2. Zadejte jedinečný název konektoru a vyberte podporovanou oblast.
   3. Zadejte ID účtu AWS, který chcete připojit, a určete, jestli se jedná o jeden účet nebo účet organizace.
   4. Vyberte Další.

5. Na stránce Řešení vyberte, která řešení chcete s tímto konektorem použít, a nakonfigurujte je. Výběrem možnosti Přidat povolíte inventarizaci, onboarding Arc nebo obojí.

   

   • V případě inventáře můžete upravit následující možnosti:

     1. Zvolte, jestli chcete povolit možnost Přidat všechny podporované služby AWS. Ve výchozím nastavení je tato možnost povolená, aby se zkontrolovaly všechny služby (nyní dostupné a služby přidané v budoucnu).

     2. Zvolte služby AWS, pro které chcete kontrolovat a importovat prostředky. Ve výchozím nastavení jsou vybrané všechny dostupné služby.

     3. Zvolte svá oprávnění. Pokud je zaškrtnuté políčko Přidat všechny podporované služby AWS, musíte mít globální přístup ke čtení .

     4. Zvolte, jestli chcete povolit pravidelnou synchronizaci nebo ne. Ve výchozím nastavení je tato možnost povolená, aby konektor pravidelně kontrolovat váš účet AWS. Pokud zaškrtnutí políčka zrušíte, váš účet AWS se zkontroluje jenom jednou.

     5. Pokud je zaškrtnuté políčko Povolit pravidelnou synchronizaci , potvrďte nebo změňte opakování každého výběru a určete, jak často se váš účet AWS kontroluje.

     6. Zvolte, jestli chcete povolit zahrnutí všech podporovaných oblastí AWS. Výběrem této možnosti se zkontrolují všechny aktuální a budoucí oblasti AWS.

     7. Vyberte oblasti, ve kterých chcete vyhledat prostředky ve vašem účtu AWS. Ve výchozím nastavení jsou vybrané všechny dostupné oblasti. Pokud jste vybrali Možnost Zahrnout všechny podporované oblasti AWS, musí být vybrány všechny oblasti.

     8. Po dokončení výběru se výběrem možnosti Uložit vraťte na stránku Řešení .

   • Pro onboarding Arc:

     1. Vyberte metodu připojení a určete, jestli se má agent Connected Machine připojit k internetu přes veřejný koncový bod nebo proxy server. Pokud vyberete proxy server, zadejte adresu URL proxy serveru, ke které se může instance EC2 připojit.

     2. Zvolte, jestli chcete povolit pravidelnou synchronizaci nebo ne. Ve výchozím nastavení je tato možnost povolená, aby konektor pravidelně kontrolovat váš účet AWS. Pokud zaškrtnutí políčka zrušíte, váš účet AWS se zkontroluje jenom jednou.

     3. Pokud je zaškrtnuté políčko Povolit pravidelnou synchronizaci , potvrďte nebo změňte opakování každého výběru a určete, jak často se váš účet AWS kontroluje.

     4. Zvolte, jestli chcete povolit zahrnutí všech podporovaných oblastí AWS. Výběrem této možnosti se zkontrolují všechny aktuální a budoucí oblasti AWS.

     5. Vyberte oblasti, ve kterých se mají vyhledat instance EC2 ve vašem účtu AWS. Ve výchozím nastavení jsou vybrané všechny dostupné oblasti. Pokud jste vybrali Možnost Zahrnout všechny podporované oblasti AWS, musí být vybrány všechny oblasti.

     6. Vyberte, jestli chcete filtrovat instance EC2 podle značky AWS. Pokud sem zadáte hodnotu značky, budou do služby Arc nasazeny pouze instance EC2 obsahující tuto značku. Když tuto hodnotu necháte prázdnou, všechny zjištěné instance EC2 se nasadí do služby Arc.

6. Na stránce Šablony ověřování stáhněte šablonu CloudFormation, kterou nahrajete do AWS. Tato šablona se vytvoří na základě informací, které jste zadali v části Základy , a vybraných řešeních. Šablonu můžete nahrát hned nebo počkat, až dokončíte přidání veřejného cloudu.

7. Na stránce Značky zadejte všechny značky, které chcete použít.

8. Na stránce Zkontrolovat a vytvořit potvrďte své informace a pak vyberte Vytvořit.

Pokud jste během tohoto procesu šablonu nenahráli, postupujte podle kroků v další části.

Nahrání šablony CloudFormation do AWS

Po uložení šablony CloudFormation vygenerované v předchozí části ji musíte nahrát do veřejného cloudu AWS. Pokud šablonu nahrajete před dokončením připojení cloudu AWS na webu Azure Portal, vaše prostředky AWS se okamžitě naskenují. Pokud dokončíte proces přidání veřejného cloudu na webu Azure Portal před nahráním šablony, bude trvat delší dobu, než zkontrolujete prostředky AWS a zpřístupníte je v Azure.

Vytvoření zásobníku

Pomocí těchto kroků vytvořte zásobník a nahrajte šablonu:

1. Otevřete konzolu AWS CloudFormation a vyberte Vytvořit zásobník.

2. Vyberte Možnost Šablona je připravená a pak vyberte Nahrát soubor šablony. Vyberte Zvolit soubor a vyhledejte šablonu. Pak vyberte Další.

3. Do pole Zadat podrobnosti zásobníku zadejte název zásobníku.

   1. Pokud jste vybrali řešení onboardingu Arc, vyplňte v parametrech zásobníku následující podrobnosti:

      1. EC2SSMIAMRoleAutoAssignment: Určuje, jestli se role IAM používané pro úlohy SSM automaticky přiřazují instancím EC2. Ve výchozím nastavení je nastavená hodnota true a všechny zjištěné EC2 budou mít přiřazenou roli IAM. Pokud tuto hodnotu nastavíte na false, musíte ručně přiřadit roli IAM instancím EC2, které chcete připojit k Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Určuje, jestli má být automaticky přiřazena role EC2 IAM použitá pro úlohy SSM. Ve výchozím nastavení je tato možnost nastavená na povolení, což znamená, že všechny budoucí zjištěné počítače EC2 budou mít automaticky přiřazenou roli IAM. Pokud tuto možnost nastavíte tak, aby se zakázala, musíte roli IAM ručně přiřadit všem nově nasazeným EC2, které chcete připojit ke službě Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Určuje pravidelný interval pro automatické přiřazení role EC2 IAM používané pro úlohy SSM (například 15 minut, 6 hodin nebo 1 den). Pokud nastavíte EC2SSMIAMRoleAutoAssignment na hodnotu true a EC2SSMIAMRoleAutoAssignmentSchedule, můžete zvolit, jak často chcete vyhledat nové instance EC2, které mají být přiřazeny roli IAM. Ve výchozím nastavení je to 1 den.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Určuje, jestli stávající role IAM EC2 používané pro úlohy SSM mohou aktualizovat pomocí požadovaných zásad oprávnění, pokud chybí. Ve výchozím nastavení je nastavená hodnota true. Pokud se rozhodnete nastavit hodnotu false, musíte do instance EC2 ručně přidat toto oprávnění role IAM.

   2. V opačném případě ponechte ostatní možnosti nastavené na výchozí nastavení a vyberte Další.

4. V části Konfigurovat možnosti zásobníku ponechte možnosti nastavené na výchozí nastavení a vyberte Další.

5. V části Zkontrolovat a vytvořit ověřte správnost informací, zaškrtněte políčko potvrzení a pak vyberte Odeslat.

Vytvoření sady StackSet

Pokud je váš účet AWS účtem organizace, musíte také vytvořit StackSet a nahrát šablonu znovu. Postup:

1. Otevřete konzolu AWS CloudFormation a vyberte StackSets a pak vyberte Vytvořit sadu StackSet.

2. Vyberte Možnost Šablona je připravená a pak vyberte Nahrát soubor šablony. Vyberte Zvolit soubor a vyhledejte šablonu. Pak vyberte Další.

3. V části Zadání podrobností zásobníku zadejte AzureArcMultiCloudStackset název StackSet.

   1. Pokud jste vybrali řešení onboardingu Arc, vyplňte v parametrech zásobníku následující podrobnosti:

      1. EC2SSMIAMRoleAutoAssignment: Určuje, jestli se role IAM používané pro úlohy SSM automaticky přiřazují instancím EC2. Ve výchozím nastavení je nastavená hodnota true a všechny zjištěné EC2 budou mít přiřazenou roli IAM. Pokud tuto hodnotu nastavíte na false, musíte ručně přiřadit roli IAM instancím EC2, které chcete připojit k Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Určuje, jestli má být role IAM EC2 použitá pro úlohy SSM automaticky přiřazena pravidelně. Ve výchozím nastavení je tato možnost nastavená na povolení, což znamená, že všechny budoucí zjištěné počítače EC2 budou mít automaticky přiřazenou roli IAM. Pokud tuto možnost nastavíte tak, aby se zakázala, musíte roli IAM ručně přiřadit k jakékoli nově nasazené instanci EC2, kterou chcete připojit do služby Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Určuje pravidelný interval pro automatické přiřazení role EC2 IAM používané pro úlohy SSM (například 15 minut, 6 hodin nebo 1 den). Pokud nastavíte EC2SSMIAMRoleAutoAssignment na hodnotu true a EC2SSMIAMRoleAutoAssignmentSchedule, můžete zvolit, jak často chcete vyhledat nové instance EC2, které mají být přiřazeny roli IAM. Ve výchozím nastavení je to 1 den.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Určuje, jestli stávající role IAM EC2 používané pro úlohy SSM mohou aktualizovat pomocí požadovaných zásad oprávnění, pokud chybí. Ve výchozím nastavení je nastavená hodnota true. Pokud se rozhodnete nastavit hodnotu false, musíte do instance EC2 ručně přidat toto oprávnění role IAM.

   2. V opačném případě ponechte ostatní možnosti nastavené na výchozí nastavení a vyberte Další.

4. V části Konfigurovat možnosti zásobníku ponechte možnosti nastavené na výchozí nastavení a vyberte Další.

5. V části Nastavit možnosti nasazení zadejte ID účtu AWS, do kterého se nasadí Sada StackSet, a vyberte libovolnou oblast AWS, do které chcete zásobník nasadit. Ostatní možnosti ponechte nastavené na výchozí nastavení a vyberte Další.

6. V části Kontrola potvrďte správnost informací, zaškrtněte políčko potvrzení a pak vyberte Odeslat.

Potvrzení nasazení

Po dokončení možnosti Přidat veřejný cloud v Azure a nahrajete šablonu do AWS, vytvoří se váš konektor a vybraná řešení. V průměru trvá přibližně hodinu, než se vaše prostředky AWS zpřístupní v Azure. Pokud šablonu nahrajete po vytvoření veřejného cloudu v Azure, může trvat delší dobu, než se zobrazí prostředky AWS.

Prostředky AWS jsou uloženy ve skupině prostředků pomocí zásad aws_yourAwsAccountIdvytváření názvů . Kontroly se budou spouštět pravidelně, aby se tyto prostředky aktualizovaly na základě vašich pravidelných výběrů synchronizace .

Další kroky

• Dotazování inventáře pomocí řešení Inventory konektoru s více cloudy
• Naučte se používat řešení onboardingu konektoru Arc s více cloudy.