Anzeigen des Multicloud-Inventars mit dem von Azure Arc aktivierten Multicloud-Connector

Artikel
11/22/2024

Die Inventarlösung des Multicloud-Connectors zeigt eine aktuelle Ansicht Ihrer Ressourcen aus anderen öffentlichen Clouds in Azure an und bietet Ihnen einen zentralen Ort, um alle Ihre Cloudressourcen anzuzeigen. Derzeit werden öffentliche AWS-Cloudumgebungen unterstützt.

Nachdem Sie die Inventarlösung aktiviert haben, werden Metadaten aus den Ressourcen in der Quellcloud in die Ressourcendarstellungen in Azure einbezogen. Sie können auch Azure-Tags oder Azure-Richtlinien auf diese Ressourcen anwenden. Mit dieser Lösung können Sie alle Ihre Cloudressourcen über Azure Resource Graph abfragen, z. B. um alle Azure- und AWS-Ressourcen mit einem bestimmten Tag zu finden.

Die Inventarlösung überprüft Ihre Quellcloud regelmäßig, um die in Azure dargestellte Ansicht zu aktualisieren. Sie können das abzufragende Intervall angeben, wenn Sie Ihre öffentliche Cloud verbinden und die Inventarlösung konfigurieren.

Unterstützte AWS-Dienste

Heutzutage werden Ressourcen, die den folgenden AWS-Diensten zugeordnet sind, in Azure durchsucht und dargestellt. Wenn Sie die Inventarlösung erstellen, sind standardmäßig alle verfügbaren Dienste ausgewählt, Sie können jedoch optional alle Dienste einschließen.

Die folgende Tabelle zeigt die AWS-Dienste, die durchsucht werden, die Ressourcentypen, die den einzelnen Diensten zugeordnet sind, und den Azure-Namespace, der den einzelnen Ressourcentypen entspricht.

AWS-Dienst	AWS-Ressourcentyp	Azure-Namespace
Access Analyzer	`accessAnalyzerAnalyzers`	`Microsoft.AwsConnector/accessAnalyzerAnalyzers`
API Gateway	`apiGatewayRestApis`	`Microsoft.AwsConnector/apiGatewayRestApis`
API Gateway	`apiGatewayStages`	`Microsoft.AwsConnector/apiGatewayStages`
App-Synchronisierung	`appSyncGraphQLApis`	`Microsoft.AwsConnector/appSyncGraphQLApis`
Automatische Skalierung	`autoScalingAutoScalingGroups`	`Microsoft.AwsConnector/autoScalingAutoScalingGroups`
Cloud Formation	`cloudFormationStacks`	`Microsoft.AwsConnector/cloudFormationStacks`
Cloud Formation	`cloudFormationStackSets`	`Microsoft.AwsConnector/cloudFormationStackSets`
Cloud Front	`cloudFront`	`Microsoft.AwsConnector/cloudFrontDistributions`
Cloud Trail	`cloudTrailTrails`	`Microsoft.AwsConnector/cloudTrailTrails`
Cloud Watch	`cloudWatchAlarms`	`Microsoft.AwsConnector/cloudWatchAlarms`
Codebuild	`codeBuildProjects`	`Microsoft.AwsConnector/codeBuildProjects`
Codebuild	`codeBuildSourceCredentialsInfos`	`Microsoft.AwsConnector/codeBuildSourceCredentialsInfos`
Konfigurationen	`configServiceConfigurationRecorders`	`Microsoft.AwsConnector/configServiceConfigurationRecorders`
Konfigurationen	`configServiceConfigurationRecorderStatuses`	`Microsoft.AwsConnector/configServiceConfigurationRecorderStatuses`
Konfigurationen	`configServiceDeliveryChannels`	`Microsoft.AwsConnector/configServiceDeliveryChannels`
DAX	`daxClusters`	`Microsoft.AwsConnector/daxClusters`
DMS	`databaseMigrationServiceReplicationInstances`	`Microsoft.AwsConnector/databaseMigrationServiceReplicationInstances`
Dynamo DB	`dynamoDBContinuousBackupsDescriptions`	`Microsoft.AwsConnector/dynamoDBContinuousBackupsDescriptions`
Dynamo DB	`dynamoDBTables`	`Microsoft.AwsConnector/dynamoDBTables`
EC2	`ec2Instances`	`Microsoft.HybridCompute/machines/EC2InstanceId`, `Microsoft.AwsConnector/Ec2Instances`
EC2	`ec2AccountAttributes`	`Microsoft.AwsConnector/ec2AccountAttributes`
EC2	`ec2Addresses`	`Microsoft.AwsConnector/ec2Addresses`
EC2	`ec2FlowLogs`	`Microsoft.AwsConnector/ec2FlowLogs`
EC2	`ec2Images`	`Microsoft.AwsConnector/ec2Images`
EC2	`ec2Ipams`	`Microsoft.AwsConnector/ec2Ipams`
EC2	`ec2KeyPairs`	`Microsoft.AwsConnector/ec2KeyPairs`
EC2	`ec2Subnets`	`Microsoft.AwsConnector/ec2Subnets`
EC2	`ec2Volumes`	`Microsoft.AwsConnector/ec2Volumes`
EC2	`ec2VPCs`	`Microsoft.AwsConnector/ec2VPCs`
EC2	`ec2NetworkAcls`	`Microsoft.AwsConnector/ec2NetworkAcls`
EC2	`ec2NetworkInterfaces`	`Microsoft.AwsConnector/ec2NetworkInterfaces`
EC2	`ec2RouteTables`	`Microsoft.AwsConnector/ec2RouteTables`
EC2	`ec2VPCEndpoints`	`Microsoft.AwsConnector/ec2VPCEndpoints`
EC2	`ec2VPCPeeringConnections`	`Microsoft.AwsConnector/ec2VPCPeeringConnections`
EC2	`ec2InstanceStatuses`	`Microsoft.AwsConnector/ec2InstanceStatuses`
EC2	`ec2SecurityGroups`	`Microsoft.AwsConnector/ec2SecurityGroups`
EC2	`ec2Snapshots`	`Microsoft.AwsConnector/ec2Snapshots`
ECR	`ecrImageDetails`	`Microsoft.AwsConnector/ecrImageDetails`
ECR	`ecrRepositories`	`Microsoft.AwsConnector/ecrRepositories`
ECS	`ecsClusters`	`Microsoft.AwsConnector/ecsClusters`
ECS	`ecsServices`	`Microsoft.AwsConnector/ecsServices`
ECS	`ecsTaskDefinitions`	`Microsoft.AwsConnector/ecsTaskDefinitions`
EFS	`efsFileSystems`	`Microsoft.AwsConnector/efsFileSystems`
EFS	`efsMountTargets`	`Microsoft.AwsConnector/efsMountTargets`
EKS	`eksClusters`	`Microsoft.AwsConnector/eksClusters`
EKS	`eksNodegroups`	`Microsoft.AwsConnector/eksNodegroups`
Elastic Beanstalk	`elasticBeanstalkApplications`	`Microsoft.AwsConnector/elasticBeanstalkApplications`
Elastic Beanstalk	`elasticBeanstalkConfigurationTemplates`	`Microsoft.AwsConnector/elasticBeanstalkConfigurationTemplates`
Elastic Beanstalk	`elasticBeanstalkEnvironments`	`Microsoft.AwsConnector/elasticBeanstalkEnvironments`
Elastic Load Balancer V2	`elasticLoadBalancingV2LoadBalancers`	`Microsoft.AwsConnector/elasticLoadBalancingV2LoadBalancers`
Elastic Load Balancer V2	`elasticLoadBalancingV2Listeners`	`Microsoft.AwsConnector/elasticLoadBalancingV2Listeners`
Elastic Load Balancer V2	`elasticLoadBalancingV2TargetGroups`	`Microsoft.AwsConnector/elasticLoadBalancingV2TargetGroups`
Elastic Load Balancer V2	`elasticLoadBalancingV2TargetHealthDescriptions`	`Microsoft.AwsConnector/elasticLoadBalancingV2TargetHealthDescriptions`
EMR	`emrClusters`	`Microsoft.AwsConnector/emrClusters`
GuardDuty	`guardDutyDetectors`	`Microsoft.AwsConnector/guardDutyDetectors`
IAM (IAM)	`iamAccessKeyLastUseds`	`Microsoft.AwsConnector/iamAccessKeyLastUseds`
IAM (IAM)	`iamAccessKeyMetaData`	`Microsoft.AwsConnector/iamAccessKeyMetaData`
IAM (IAM)	`iamMFADevices`	`Microsoft.AwsConnector/iamMFADevices`
IAM (IAM)	`iamPasswordPolicies`	`Microsoft.AwsConnector/iamPasswordPolicies`
IAM (IAM)	`iamPolicyVersions`	`Microsoft.AwsConnector/iamPolicyVersions`
IAM (IAM)	`iamRoles`	`Microsoft.AwsConnector/iamRoles`
IAM (IAM)	`iamManagedPolicies`	`Microsoft.AwsConnector/iamManagedPolicies`
IAM (IAM)	`iamServerCertificates`	`Microsoft.AwsConnector/iamServerCertificates`
IAM (IAM)	`iamUserPolicies`	`Microsoft.AwsConnector/iamUserPolicies`
IAM (IAM)	`iamVirtualMFADevices`	`Microsoft.AwsConnector/iamVirtualMFADevices`
KMS	`kmsKeys`	`Microsoft.AwsConnector/kmsKeys`
Lambda	`lambdaFunctions`	`Microsoft.AwsConnector/lambdaFunctions`
Lightsail	`lightsailInstances`	`Microsoft.AwsConnector/lightsailInstances`
Lightsail	`lightsailBuckets`	`Microsoft.AwsConnector/lightsailBuckets`
Protokolle	`logsLogGroups`	`Microsoft.AwsConnector/logsLogGroups`
Protokolle	`logsLogStreams`	`Microsoft.AwsConnector/logsLogStreams`
Protokolle	`logsMetricFilters`	`Microsoft.AwsConnector/logsMetricFilters`
Protokolle	`logsSubscriptionFilters`	`Microsoft.AwsConnector/logsSubscriptionFilters`
Macie	`macieAllowLists`	`Microsoft.AwsConnector/macieAllowLists`
Macie2	`macie2JobSummaries`	`Microsoft.AwsConnector/macie2JobSummaries`
Netzwerkfirewalls	`networkFirewallFirewalls`	`Microsoft.AwsConnector/networkFirewallFirewalls`
Netzwerkfirewalls	`networkFirewallFirewallPolicies`	`Microsoft.AwsConnector/networkFirewallFirewallPolicies`
Netzwerkfirewalls	`networkFirewallRuleGroups`	`Microsoft.AwsConnector/networkFirewallRuleGroups`
Open Search-Dienst	`openSearchDomainStatuses`	`Microsoft.AwsConnector/openSearchDomainStatuses`
Organization	`organizationsAccounts`	`Microsoft.AwsConnector/organizationsAccounts`
Organization	`organizationsOrganizations`	`Microsoft.AwsConnector/organizationsOrganizations`
RDS	`rdsDBInstances`	`Microsoft.AwsConnector/rdsDBInstances`
RDS	`rdsDBClusters`	`Microsoft.AwsConnector/rdsDBClusters`
RDS	`rdsEventSubscriptions`	`Microsoft.AwsConnector/rdsEventSubscriptions`
RDS	`rdsDBSnapshots`	`Microsoft.AwsConnector/rdsDBSnapshots`
RDS	`rdsDBSnapshotAttributesResults`	`Microsoft.AwsConnector/rdsDBSnapshotAttributesResults`
RDS	`rdsEventSubscriptions`	`Microsoft.AwsConnector/rdsEventSubscriptions`
Redshift	`redshiftClusters`	`Microsoft.AwsConnector/redshiftClusters`
Redshift	`redshiftClusterParameterGroups`	`Microsoft.AwsConnector/redshiftClusterParameterGroups`
Route 53	`route53DomainsDomainSummaries`	`Microsoft.AwsConnector/route53DomainsDomainSummaries`
Route 53	`route53HostedZones`	`Microsoft.AwsConnector/route53HostedZones`
SageMaker	`sageMakerApps`	`Microsoft.AwsConnector/sageMakerApps`
SageMaker	`sageMakerDevices`	`Microsoft.AwsConnector/sageMakerDevices`
SageMaker	`sageMakerImages`	`Microsoft.AwsConnector/sageMakerImages`
SageMaker	`sageMakerNotebookInstanceSummaries`	`Microsoft.AwsConnector/sageMakerNotebookInstanceSummaries`
Geheimnisverwaltung	`secretsManagerResourcePolicies`	`Microsoft.AwsConnector/secretsManagerResourcePolicies`
Geheimnisverwaltung	`secretsManagerSecrets`	`Microsoft.AwsConnector/secretsManagerSecrets`
Geheimnisverwaltung	`secretsManagerSecrets`	`Microsoft.AwsConnector/secretsManagerSecrets`
S3	`s3Buckets`	`Microsoft.AwsConnector/s3Buckets`
S3	`s3AccessControlPolicies`	`Microsoft.AwsConnector/s3AccessControlPolicies`
S3	`s3ControlMultiRegionAccessPointPolicyDocuments`	`Microsoft.AwsConnector/s3ControlMultiRegionAccessPointPolicyDocuments`
S3	`s3BucketPolicies`	`Microsoft.AwsConnector/s3BucketPolicies`
S3	`s3AccessPoints`	`Microsoft.AwsConnector/s3AccessPoints`
SNS	`snsTopics`	`Microsoft.AwsConnector/snsTopics`
SNS	`snsSubscriptions`	`Microsoft.AwsConnector/snsSubscriptions`
SQS	`sqsQueues`	`Microsoft.AwsConnector/sqsQueues`
SSM	`ssmInstanceInformations`	`Microsoft.AwsConnector/ssmInstanceInformations`
SSM	`ssmParameters`	`Microsoft.AwsConnector/ssmParameters`
SSM	`ssmResourceComplianceSummaryItems`	`Microsoft.AwsConnector/ssmResourceComplianceSummaryItems`
WAF	`wafWebACLSummaries`	`Microsoft.AwsConnector/wafWebACLSummaries`
WAFv2	`wafv2LoggingConfigurations`	`Microsoft.AwsConnector/wafv2LoggingConfigurations`

AWS-Ressourcendarstellung in Azure

Nachdem Sie Ihre AWS-Cloud verbunden und die Inventarlösung aktiviert haben, erstellt der Multicloud-Connector eine neue Ressourcengruppe mit der Namenskonvention aws_yourAwsAccountId. Azure-Darstellungen Ihrer AWS-Ressourcen werden in dieser Ressourcengruppe mithilfe der im vorherigen Abschnitt beschriebenen AwsConnector-Namespacewerte erstellt. Sie können Azure-Tags und -Richtlinien auf diese Ressourcen anwenden.

Ressourcen, die in AWS ermittelt und in Azure projiziert werden, werden in Azure-Regionen unter Verwendung eines Standardzuordnungsschemas platziert:

Hinweis

Wenn Sie über EC2-Instanzen verfügen, die bereits mit Azure Arc verbunden sind, erstellt der Connector die EC2 Inventory-Ressource als untergeordnete Ressource von Microsoft.HybridCompute/machines, wenn die Voraussetzungen im Abonnement erfüllt sind, in dem sich der Arc-Computer befindet. Andernfalls wird die Ressource „Inventar“ nicht erstellt.

Berechtigungsoptionen

Global Read: Bietet schreibgeschützten Zugriff auf alle Ressourcen im AWS-Konto. Wenn neue Dienste eingeführt werden, kann der Connector nach diesen Ressourcen suchen, ohne dass eine aktualisierte CloudFormation-Vorlage erforderlich ist.
Zugriff mit den geringsten Rechten: Bietet Lesezugriff nur auf die Ressourcen unter den ausgewählten Diensten. Wenn Sie in Zukunft nach weiteren Ressourcen suchen, muss eine neue CloudFormation-Vorlage hochgeladen werden.

Optionen für die regelmäßige Synchronisierung

Die regelmäßige Synchronisierungszeit, die Sie beim Konfigurieren der Inventarlösung auswählen, bestimmt, wie oft Ihr AWS-Konto überprüft und mit Azure synchronisiert wird. Durch die Aktivierung der regelmäßigen Synchronisierung werden Änderungen an Ihren AWS-Ressourcen in Azure widergespiegelt. Wenn beispielsweise eine Ressource in AWS gelöscht wird, wird diese Ressource auch in Azure gelöscht.

Wenn Sie es vorziehen, können Sie die regelmäßige Synchronisierung deaktivieren, wenn Sie diese Lösung konfigurieren. Wenn Sie dies tun, ist Ihre Azure-Darstellung möglicherweise nicht mehr synchron mit Ihren AWS-Ressourcen, da Azure keine Änderungen erneut überprüfen und erkennen kann.

Abfragen nach Ressourcen in Azure Resource Graph

Azure Resource Graph ist ein Azure-Dienst, der zum Erweitern der Azure-Ressourcenverwaltung entwickelt wurde, indem eine effiziente und leistungsfähige Ressourcendurchsuchung bereitgestellt wird. Das Ausführen von Abfragen im großen Stil für bestimmte Abonnements hilft Ihnen, Ihre Umgebung effektiv zu steuern.

Sie können Abfragen mit dem Ressourcendiagramm-Explorer im Azure-Portal ausführen. Einige Beispielabfragen für allgemeine Szenarios werden hier gezeigt.

Abfragen aller integrierten Multicloud-Ressourcenbestände

resources
| where subscriptionId == "<subscription ID>"
| where id contains "microsoft.awsconnector" 
| union (awsresources | where type == "microsoft.awsconnector/ec2instances" and subscriptionId =="<subscription ID>")
| extend awsTags= properties.awsTags, azureTags = ['tags']
| project subscriptionId, resourceGroup, type, id, awsTags, azureTags, properties

Abfragen aller Ressourcen unter einem bestimmten Connector

resources
| extend connectorId = tolower(tostring(properties.publicCloudConnectorsResourceId)), resourcesId=tolower(id)
| join kind=leftouter (
    awsresources
    | extend pccId = tolower(tostring(properties.publicCloudConnectorsResourceId)), awsresourcesId=tolower(id)
    | extend parentId = substring(awsresourcesId, 0, strlen(awsresourcesId) - strlen("/providers/microsoft.awsconnector/ec2instances/default"))
) on $left.resourcesId == $right.parentId
| where connectorId =~ "yourConnectorId" or pccId =~ "yourConnectorId"
| extend resourceType = tostring(split(iif (type =~ "microsoft.hybridcompute/machines", type1, type), "/")[1])

Abfragen aller virtuellen Computer in Azure und AWS zusammen mit ihrer Instanzgröße

resources 
| where (['type'] == "microsoft.compute/virtualmachines") 
| union (awsresources | where type == "microsoft.awsconnector/ec2instances")
| extend cloud=iff(type contains "ec2", "AWS", "Azure")
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| extend size=iff(type contains "microsoft.compute", properties.hardwareProfile.vmSize, properties.awsProperties.instanceType.value)
| project subscriptionId, cloud, resourceGroup, id, size, azureTags, awsTags, properties

Abfragen aller Funktionen in Azure und AWS

resources
| where (type == 'microsoft.web/sites' and ['kind'] contains 'functionapp') or type == "microsoft.awsconnector/lambdafunctionconfigurations"
| extend cloud=iff(type contains "awsconnector", "AWS", "Azure")
| extend functionName=iff(cloud=="Azure", properties.name,properties.awsProperties.functionName), state=iff(cloud=="Azure", properties.state, properties.awsProperties.state), lastModifiedTime=iff(cloud=="Azure", properties.lastModifiedTimeUtc,properties.awsProperties.lastModified), location=iff(cloud=="Azure", location,properties.awsRegion),  tags=iff(cloud=="Azure", tags, properties.awsTags)
| project cloud, functionName, lastModifiedTime, location, tags

Abfragen aller Ressourcen mit einem bestimmten Tag

resources 
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags 
| where awsTags contains "<yourTagValue>" or azureTags contains "<yourTagValue>" 
| project subscriptionId, resourceGroup, name, azureTags, awsTags

Nächste Schritte

Weitere Informationen zur Multicloud-Connector Arc-Onboarding-Lösung
Erfahren Sie mehr über Azure Resource Graph.

Freigeben über