Compartir vía

Conexión a AWS con el conector multinube en Azure Portal

  • Artículo

El conector multinube habilitado por Azure Arc le permite conectar recursos de nube pública que no son de Azure a Azure mediante Azure Portal. Actualmente, se admiten entornos de nube pública de AWS.

Como parte de la conexión de una cuenta de AWS a Azure, se implementa una plantilla de CloudFormation en la cuenta de AWS. Esta plantilla crea todos los recursos necesarios para la conexión.

Requisitos previos

Para usar el conector multinube, necesita los permisos adecuados en AWS y Azure.

Requisitos previos de AWS

Para crear el conector y usar el inventario multinube, necesita los siguientes permisos en AWS:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

Para la incorporación de Arc, hay más requisitos previos que se deben cumplir.

Permisos de la solución de AWS

Al cargar la plantilla de CloudFormation, se solicitarán permisos adicionales en función de las soluciones que haya seleccionado:

  • Para Inventario, puede elegir su permiso:

    1. Lectura global: proporciona acceso de solo lectura a todos los recursos de la cuenta de AWS. Cuando se introduzcan nuevos servicios, el conector buscará esos recursos sin necesidad de una plantilla de CloudFormation actualizada.

    2. Acceso con privilegios mínimos: proporciona acceso de lectura solo a los recursos de los servicios seleccionados. En caso de examinar más recursos en el futuro, deberá cargarse una nueva plantilla de CloudFormation.

  • Para Incorporación de Arc, nuestro servicio requiere acceso de escritura a EC2 para poder instalar el agente Azure Connected Machine.

Requisitos previos de Azure

Para usar el conector multinube en una suscripción de Azure, necesita el rol integrado Colaborador.

Si es la primera vez que utiliza el servicio, deberá registrar estos proveedores de recursos, lo que requiere acceso de colaborador en la suscripción:

  • Microsoft.HybridCompute

  • Microsoft.HybridConnectivity

  • Microsoft.AwsConnector

  • Microsoft.Kubernetes

Nota:

El conector multinube puede trabajar en paralelo con el conector de AWS en Defender for Cloud. Si lo prefiere, puede usar ambos conectores.

Incorporación de la nube pública en Azure Portal

Para agregar la nube pública de AWS a Azure, use Azure Portal para especificar los detalles y generar una plantilla de CloudFormation.

  1. En Azure Portal, vaya a Azure Arc.

  2. En Administración, seleccione Conectores multinube (versión preliminar).

  3. En el panel Conectores, seleccione Crear.

  4. En la página Básico:

    1. Seleccione la suscripción y el grupo de recursos en el que se va a crear el recurso del conector.
    2. Escriba un nombre único para el conector y seleccione una región admitida.
    3. Proporcione el identificador de la cuenta de AWS que desea conectar e indique si es una sola cuenta o una cuenta de la organización.
    4. Seleccione Siguiente.

  5. En la página Soluciones, seleccione las soluciones que desea usar con este conector y configúrelas. Seleccione Agregar para habilitar Inventario, Incorporación de Arc o ambos.

    Captura de pantalla que muestra las soluciones para el conector de AWS en Azure Portal.

    • Para Inventario, puede modificar las siguientes opciones:

      1. Elija si quiere habilitar Agregar todos los servicios de AWS compatibles. De forma predeterminada, esto está habilitado para que se examinen todos los servicios (los que están disponibles ahora y los que se agreguen en el futuro).

      2. Elija los Servicios de AWS para los que desea escanear e importar recursos. De forma predeterminada, se seleccionan todos los servicios disponibles.

      3. Elija sus permisos. Si se selecciona Agregar todos los servicios de AWS compatibles, deberá tener acceso de lectura global.

      4. Elija si quiere habilitar o no la sincronización periódica. De forma predeterminada, esto está habilitado para que el conector examine periódicamente su cuenta de AWS. Si desactiva la casilla, la cuenta de AWS solo se analizará una vez.

      5. Si Habilitar sincronización periódica está marcada, confirme o cambie la selección de Repetir cada para especificar la frecuencia con la que se escaneará su cuenta de AWS.

      6. Elija si quiere habilitar o no Incluir todas las regiones de AWS admitidas. Al seleccionar esta opción, se examinan todas las regiones de AWS actuales y futuras.

      7. Elija qué regiones buscarán recursos en su cuenta de AWS. De forma predeterminada, se seleccionan todas las regiones disponibles. Si seleccionó Incluir todas las regiones de AWS admitidas, se deben seleccionar todas las regiones.

      8. Cuando haya terminado de realizar selecciones, seleccione Guardar para volver a la página de Soluciones.

    • Para la incorporación de Arc:

      1. Seleccione un método de conectividad para determinar si el agente de Connected Machine debe conectarse a Internet a través de un punto de conexión público o por servidor proxy. Si selecciona servidor proxy, proporcione una dirección URL del servidor proxy a la que puede conectarse la instancia EC2.

      2. Elija si quiere habilitar o no la sincronización periódica. De forma predeterminada, esto está habilitado para que el conector examine periódicamente su cuenta de AWS. Si desactiva la casilla, la cuenta de AWS solo se analizará una vez.

      3. Si Habilitar sincronización periódica está marcada, confirme o cambie la selección de Repetir cada para especificar la frecuencia con la que se escaneará su cuenta de AWS.

      4. Elija si quiere habilitar o no Incluir todas las regiones de AWS admitidas. Al seleccionar esta opción, se examinan todas las regiones de AWS actuales y futuras.

      5. Elija las regiones que se van a buscar instancias EC2 en su cuenta de AWS. De forma predeterminada, se seleccionan todas las regiones disponibles. Si seleccionó Incluir todas las regiones de AWS admitidas, se deben seleccionar todas las regiones.

      6. Elija filtrar las instancias EC2 por etiqueta de AWS. Si escribe un valor de etiqueta aquí, solo las instancias EC2 que contengan esa etiqueta se incorporan a Arc. Al dejar este valor vacío, todas las instancias de EC2 detectadas se incorporan a Arc.

  6. En la página plantilla autenticación, descargue la plantilla de CloudFormation que cargará en AWS. Esta plantilla se crea en función de la información proporcionada en Conceptos básicos y las soluciones que seleccionó. Puede cargar la plantilla inmediatamente o esperar hasta que termine de agregar la nube pública.

  7. En la página Etiquetas, escriba las etiquetas que quiera usar.

  8. En la página Revisar y crear, confirme la información y seleccione Crear.

Si no cargó la plantilla durante este proceso, siga los pasos de la sección siguiente para hacerlo.

Carga de la plantilla de CloudFormation en AWS

Después de guardar la plantilla de CloudFormation generada en la sección anterior, debe cargarla en la nube pública de AWS. Si carga la plantilla antes de terminar de conectar la nube de AWS en Azure Portal, los recursos de AWS se analizarán inmediatamente. Si completa el proceso Agregar la nube pública en Azure Portal antes de cargar la plantilla, tardará un poco más en examinar los recursos de AWS y ponerlos a disposición en Azure.

Creación de una pila

Siga estos pasos para crear una pila y cargar la plantilla:

  1. Abra la consola de AWS CloudFormation y seleccione Crear pila.

  2. Seleccione La plantilla está listay, después, seleccione Cargar un archivo de plantilla. Seleccione Elegir archivo y vaya a seleccionar la plantilla. Luego, seleccione Siguiente.

  3. En Especificar los detalles de la pila, escriba un nombre de pila.

    1. Si seleccionó la solución Arc Onboarding, rellene los detalles siguientes en los parámetros de Stack:

      1. EC2SSMIAMRoleAutoAssignment: especifica si los roles de IAM usados para las tareas de SSM se asignan automáticamente a instancias EC2. De forma predeterminada, se establece en verdadero y todos los EC2 detectados tendrán asignado el rol IAM. Si establece esto en false, deberá asignar manualmente el rol de IAM a las instancias EC2 que desee incorporar a Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: especifica si el rol de IAM EC2 usado para las tareas de SSM debe asignarse automáticamente de forma periódica. De forma predeterminada, esta opción se establece en Habilitar, lo que significa que cualquier máquina EC2 futura detectada tendrá asignado automáticamente el rol de IAM. Si establece esta opción en Deshabilitar, deberá asignar manualmente el rol IAM a cualquier EC2 recién implementado que quiera incorporar a Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica el intervalo periódico para la asignación automática del rol EC2 IAM usado para las tareas de SSM (por ejemplo, 15 minutos, 6 horas o 1 día). Si establece EC2SSMIAMRoleAutoAssignment en true y EC2SSMIAMRoleAutoAssignmentSchedule en Habilitar, puede elegir la frecuencia con la que desea examinar las nuevas instancias de EC2 a las que se va a asignar el rol IAM. La opción predeterminada es 1 día.

      4. EC2SSMIAMRolePolicyUpdateAllowed: especifica si los roles de IAM de EC2 existentes usados para las tareas de SSM pueden actualizarse con directivas de permisos necesarias si faltan. De manera predeterminada, se establece en true. Si decide establecer esta opción en false, deberá agregar manualmente este permiso de rol de IAM a la instancia EC2.

    2. Si no, deje las demás opciones establecidas en su configuración predeterminada y seleccione Siguiente.

  4. En Configurar opciones de pila, deje las opciones establecidas en su configuración predeterminada y seleccione Siguiente.

  5. En Revisar y crear, confirme que la información es correcta, active la casilla de confirmación y, a continuación, seleccione Enviar.

Creación de StackSet

Si su cuenta de AWS es una cuenta de la organización, también debe crear un StackSet y volver a cargar la plantilla. Para ello:

  1. Abra la consola de AWS CloudFormation y seleccione StackSetsy, después, seleccione Crear StackSet.

  2. Seleccione La plantilla está listay, después, seleccione Cargar un archivo de plantilla. Seleccione Elegir archivo y vaya a seleccionar la plantilla. Seleccione Siguiente.

  3. En Especificar los detalles de la pila, escriba AzureArcMultiCloudStackset como nombre de StackSet.

    1. Si seleccionó la solución Arc Onboarding, rellene los detalles siguientes en los parámetros de Stack:

      1. EC2SSMIAMRoleAutoAssignment: especifica si los roles de IAM usados para las tareas de SSM se asignan automáticamente a instancias EC2. De forma predeterminada, se establece en verdadero y todos los EC2 detectados tendrán asignado el rol IAM. Si establece esto en false, deberá asignar manualmente el rol de IAM a las instancias EC2 que desee incorporar a Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: especifica si el rol de IAM EC2 usado para las tareas de SSM debe asignarse automáticamente de forma periódica. De forma predeterminada, esta opción se establece en Habilitar, lo que significa que cualquier máquina EC2 futura detectada tendrá asignado automáticamente el rol de IAM. Si establece esta opción en Deshabilitar, deberá asignar manualmente el rol IAM a cualquier instancia de EC2 recién implementada que quiera incorporar a Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica el intervalo periódico para la asignación automática del rol EC2 IAM usado para las tareas de SSM (por ejemplo, 15 minutos, 6 horas o 1 día). Si establece EC2SSMIAMRoleAutoAssignment en true y EC2SSMIAMRoleAutoAssignmentSchedule en Habilitar, puede elegir la frecuencia con la que desea examinar las nuevas instancias de EC2 a las que se va a asignar el rol IAM. La opción predeterminada es 1 día.

      4. EC2SSMIAMRolePolicyUpdateAllowed: especifica si los roles de IAM de EC2 existentes usados para las tareas de SSM pueden actualizarse con directivas de permisos necesarias si faltan. De manera predeterminada, se establece en true. Si decide establecer esta opción en false, deberá agregar manualmente este permiso de rol de IAM a la instancia EC2.

    2. Si no, deje las demás opciones establecidas en su configuración predeterminada y seleccione Siguiente.

  4. En Configurar opciones de pila, deje las opciones establecidas en su configuración predeterminada y seleccione Siguiente.

  5. En Establecer opciones de implementación, escriba el identificador de la cuenta de AWS donde se implementará StackSet y seleccione cualquier región de AWS para implementar la pila. Deje las demás opciones establecidas en su configuración predeterminada y seleccione Siguiente.

  6. En Revisar, confirme que la información es correcta, active la casilla de confirmación y, a continuación, seleccione Enviar.

Confirmación de la implementación

Después de completar la opción Agregar nube pública en Azure y cargar la plantilla en AWS, se creará el conector y las soluciones seleccionadas. De media, sus recursos de AWS tardan aproximadamente una hora en estar disponibles en Azure. Si carga la plantilla después de crear la nube pública en Azure, puede tardar un poco más antes de ver los recursos de AWS.

Los recursos de AWS se almacenan en un grupo de recursos utilizando la convención de nomenclatura aws_yourAwsAccountId. Los exámenes se ejecutarán periódicamente para actualizar estos recursos, en función de las selecciones Habilitar sincronización periódica.

Pasos siguientes