Visualizzare l'inventario multicloud con il connettore multicloud abilitato da Azure Arc
La soluzione Inventario del connettore multicloud mostra una visualizzazione aggiornata delle risorse di altri cloud pubblici in Azure, offrendo un'unica posizione per visualizzare tutte le risorse cloud. Attualmente sono supportati gli ambienti cloud pubblici AWS.
Dopo aver abilitato la soluzione Inventario, i metadati degli asset nel cloud di origine vengono inclusi nelle rappresentazioni degli asset in Azure. È anche possibile applicare tag di Azure o criteri di Azure a queste risorse. Questa soluzione consente di eseguire query per tutte le risorse cloud tramite Azure Resource Graph, ad esempio l'esecuzione di query per trovare tutte le risorse di Azure e AWS con un tag specifico.
La soluzione Inventario analizza regolarmente il cloud di origine per aggiornare la vista rappresentata in Azure. È possibile specificare l'intervallo di query quando si connette il cloud pubblico e si configura la soluzione Inventario.
Servizi AWS supportati
Attualmente, le risorse associate ai servizi AWS seguenti vengono analizzate e rappresentate in Azure. Quando si crea la soluzione Inventario, tutti i servizi disponibili vengono selezionati per impostazione predefinita, ma facoltativamente è possibile includere tutti i servizi.
La tabella seguente illustra i servizi AWS analizzati, i tipi di risorse associati a ciascun servizio e lo spazio dei nomi di Azure corrispondente a ogni tipo di risorsa.
| Servizio AWS | Tipo di risorsa AWS | Spazio dei nomi Azure |
|---|---|---|
| Access Analyzer | accessAnalyzerAnalyzers |
Microsoft.AwsConnector/accessAnalyzerAnalyzers |
| API Gateway | apiGatewayRestApis |
Microsoft.AwsConnector/apiGatewayRestApis |
| API Gateway | apiGatewayStages |
Microsoft.AwsConnector/apiGatewayStages |
| Sincronizzazione app | appSyncGraphQLApis |
Microsoft.AwsConnector/appSyncGraphQLApis |
| Scalabilità automatica | autoScalingAutoScalingGroups |
Microsoft.AwsConnector/autoScalingAutoScalingGroups |
| Formazione cloud | cloudFormationStacks |
Microsoft.AwsConnector/cloudFormationStacks |
| Formazione cloud | cloudFormationStackSets |
Microsoft.AwsConnector/cloudFormationStackSets |
| Cloud Front | cloudFront |
Microsoft.AwsConnector/cloudFrontDistributions |
| Percorso cloud | cloudTrailTrails |
Microsoft.AwsConnector/cloudTrailTrails |
| Cloud Watch | cloudWatchAlarms |
Microsoft.AwsConnector/cloudWatchAlarms |
| Compilazione del codice | codeBuildProjects |
Microsoft.AwsConnector/codeBuildProjects |
| Compilazione del codice | codeBuildSourceCredentialsInfos |
Microsoft.AwsConnector/codeBuildSourceCredentialsInfos |
| Config | configServiceConfigurationRecorders |
Microsoft.AwsConnector/configServiceConfigurationRecorders |
| Config | configServiceConfigurationRecorderStatuses |
Microsoft.AwsConnector/configServiceConfigurationRecorderStatuses |
| Config | configServiceDeliveryChannels |
Microsoft.AwsConnector/configServiceDeliveryChannels |
| DAX | daxClusters |
Microsoft.AwsConnector/daxClusters |
| Servizio Migrazione del database | databaseMigrationServiceReplicationInstances |
Microsoft.AwsConnector/databaseMigrationServiceReplicationInstances |
| Dynamo DB | dynamoDBContinuousBackupsDescriptions |
Microsoft.AwsConnector/dynamoDBContinuousBackupsDescriptions |
| Dynamo DB | dynamoDBTables |
Microsoft.AwsConnector/dynamoDBTables |
| EC2 | ec2Instances |
Microsoft.HybridCompute/machines/EC2InstanceId, Microsoft.AwsConnector/Ec2Instances |
| EC2 | ec2AccountAttributes |
Microsoft.AwsConnector/ec2AccountAttributes |
| EC2 | ec2Addresses |
Microsoft.AwsConnector/ec2Addresses |
| EC2 | ec2FlowLogs |
Microsoft.AwsConnector/ec2FlowLogs |
| EC2 | ec2Images |
Microsoft.AwsConnector/ec2Images |
| EC2 | ec2Ipams |
Microsoft.AwsConnector/ec2Ipams |
| EC2 | ec2KeyPairs |
Microsoft.AwsConnector/ec2KeyPairs |
| EC2 | ec2Subnets |
Microsoft.AwsConnector/ec2Subnets |
| EC2 | ec2Volumes |
Microsoft.AwsConnector/ec2Volumes |
| EC2 | ec2VPCs |
Microsoft.AwsConnector/ec2VPCs |
| EC2 | ec2NetworkAcls |
Microsoft.AwsConnector/ec2NetworkAcls |
| EC2 | ec2NetworkInterfaces |
Microsoft.AwsConnector/ec2NetworkInterfaces |
| EC2 | ec2RouteTables |
Microsoft.AwsConnector/ec2RouteTables |
| EC2 | ec2VPCEndpoints |
Microsoft.AwsConnector/ec2VPCEndpoints |
| EC2 | ec2VPCPeeringConnections |
Microsoft.AwsConnector/ec2VPCPeeringConnections |
| EC2 | ec2InstanceStatuses |
Microsoft.AwsConnector/ec2InstanceStatuses |
| EC2 | ec2SecurityGroups |
Microsoft.AwsConnector/ec2SecurityGroups |
| EC2 | ec2Snapshots |
Microsoft.AwsConnector/ec2Snapshots |
| ECR | ecrImageDetails |
Microsoft.AwsConnector/ecrImageDetails |
| ECR | ecrRepositories |
Microsoft.AwsConnector/ecrRepositories |
| ECS | ecsClusters |
Microsoft.AwsConnector/ecsClusters |
| ECS | ecsServices |
Microsoft.AwsConnector/ecsServices |
| ECS | ecsTaskDefinitions |
Microsoft.AwsConnector/ecsTaskDefinitions |
| EFS | efsFileSystems |
Microsoft.AwsConnector/efsFileSystems |
| EFS | efsMountTargets |
Microsoft.AwsConnector/efsMountTargets |
| EKS | eksClusters |
Microsoft.AwsConnector/eksClusters |
| EKS | eksNodegroups |
Microsoft.AwsConnector/eksNodegroups |
| Elastic Beanstalk | elasticBeanstalkApplications |
Microsoft.AwsConnector/elasticBeanstalkApplications |
| Elastic Beanstalk | elasticBeanstalkConfigurationTemplates |
Microsoft.AwsConnector/elasticBeanstalkConfigurationTemplates |
| Elastic Beanstalk | elasticBeanstalkEnvironments |
Microsoft.AwsConnector/elasticBeanstalkEnvironments |
| Elastic Load Balancer V2 | elasticLoadBalancingV2LoadBalancers |
Microsoft.AwsConnector/elasticLoadBalancingV2LoadBalancers |
| Elastic Load Balancer V2 | elasticLoadBalancingV2Listeners |
Microsoft.AwsConnector/elasticLoadBalancingV2Listeners |
| Elastic Load Balancer V2 | elasticLoadBalancingV2TargetGroups |
Microsoft.AwsConnector/elasticLoadBalancingV2TargetGroups |
| Elastic Load Balancer V2 | elasticLoadBalancingV2TargetHealthDescriptions |
Microsoft.AwsConnector/elasticLoadBalancingV2TargetHealthDescriptions |
| EMR | emrClusters |
Microsoft.AwsConnector/emrClusters |
| GuardDuty | guardDutyDetectors |
Microsoft.AwsConnector/guardDutyDetectors |
| IAM | iamAccessKeyLastUseds |
Microsoft.AwsConnector/iamAccessKeyLastUseds |
| IAM | iamAccessKeyMetaData |
Microsoft.AwsConnector/iamAccessKeyMetaData |
| IAM | iamMFADevices |
Microsoft.AwsConnector/iamMFADevices |
| IAM | iamPasswordPolicies |
Microsoft.AwsConnector/iamPasswordPolicies |
| IAM | iamPolicyVersions |
Microsoft.AwsConnector/iamPolicyVersions |
| IAM | iamRoles |
Microsoft.AwsConnector/iamRoles |
| IAM | iamManagedPolicies |
Microsoft.AwsConnector/iamManagedPolicies |
| IAM | iamServerCertificates |
Microsoft.AwsConnector/iamServerCertificates |
| IAM | iamUserPolicies |
Microsoft.AwsConnector/iamUserPolicies |
| IAM | iamVirtualMFADevices |
Microsoft.AwsConnector/iamVirtualMFADevices |
| Servizio di gestione delle chiavi | kmsKeys |
Microsoft.AwsConnector/kmsKeys |
| Lambda | lambdaFunctions |
Microsoft.AwsConnector/lambdaFunctions |
| LightSail | lightsailInstances |
Microsoft.AwsConnector/lightsailInstances |
| LightSail | lightsailBuckets |
Microsoft.AwsConnector/lightsailBuckets |
| Registri | logsLogGroups |
Microsoft.AwsConnector/logsLogGroups |
| Registri | logsLogStreams |
Microsoft.AwsConnector/logsLogStreams |
| Registri | logsMetricFilters |
Microsoft.AwsConnector/logsMetricFilters |
| Registri | logsSubscriptionFilters |
Microsoft.AwsConnector/logsSubscriptionFilters |
| Macie | macieAllowLists |
Microsoft.AwsConnector/macieAllowLists |
| Macie2 | macie2JobSummaries |
Microsoft.AwsConnector/macie2JobSummaries |
| Firewall di rete | networkFirewallFirewalls |
Microsoft.AwsConnector/networkFirewallFirewalls |
| Firewall di rete | networkFirewallFirewallPolicies |
Microsoft.AwsConnector/networkFirewallFirewallPolicies |
| Firewall di rete | networkFirewallRuleGroups |
Microsoft.AwsConnector/networkFirewallRuleGroups |
| Aprire il servizio di ricerca | openSearchDomainStatuses |
Microsoft.AwsConnector/openSearchDomainStatuses |
| Organizzazione | organizationsAccounts |
Microsoft.AwsConnector/organizationsAccounts |
| Organizzazione | organizationsOrganizations |
Microsoft.AwsConnector/organizationsOrganizations |
| RDS | rdsDBInstances |
Microsoft.AwsConnector/rdsDBInstances |
| RDS | rdsDBClusters |
Microsoft.AwsConnector/rdsDBClusters |
| RDS | rdsEventSubscriptions |
Microsoft.AwsConnector/rdsEventSubscriptions |
| RDS | rdsDBSnapshots |
Microsoft.AwsConnector/rdsDBSnapshots |
| RDS | rdsDBSnapshotAttributesResults |
Microsoft.AwsConnector/rdsDBSnapshotAttributesResults |
| RDS | rdsEventSubscriptions |
Microsoft.AwsConnector/rdsEventSubscriptions |
| Redshift | redshiftClusters |
Microsoft.AwsConnector/redshiftClusters |
| Redshift | redshiftClusterParameterGroups |
Microsoft.AwsConnector/redshiftClusterParameterGroups |
| Route 53 | route53DomainsDomainSummaries |
Microsoft.AwsConnector/route53DomainsDomainSummaries |
| Route 53 | route53HostedZones |
Microsoft.AwsConnector/route53HostedZones |
| SageMaker | sageMakerApps |
Microsoft.AwsConnector/sageMakerApps |
| SageMaker | sageMakerDevices |
Microsoft.AwsConnector/sageMakerDevices |
| SageMaker | sageMakerImages |
Microsoft.AwsConnector/sageMakerImages |
| SageMaker | sageMakerNotebookInstanceSummaries |
Microsoft.AwsConnector/sageMakerNotebookInstanceSummaries |
| Gestione segreti | secretsManagerResourcePolicies |
Microsoft.AwsConnector/secretsManagerResourcePolicies |
| Gestione segreti | secretsManagerSecrets |
Microsoft.AwsConnector/secretsManagerSecrets |
| Gestione segreti | secretsManagerSecrets |
Microsoft.AwsConnector/secretsManagerSecrets |
| S3 | s3Buckets |
Microsoft.AwsConnector/s3Buckets |
| S3 | s3AccessControlPolicies |
Microsoft.AwsConnector/s3AccessControlPolicies |
| S3 | s3ControlMultiRegionAccessPointPolicyDocuments |
Microsoft.AwsConnector/s3ControlMultiRegionAccessPointPolicyDocuments |
| S3 | s3BucketPolicies |
Microsoft.AwsConnector/s3BucketPolicies |
| S3 | s3AccessPoints |
Microsoft.AwsConnector/s3AccessPoints |
| SNS | snsTopics |
Microsoft.AwsConnector/snsTopics |
| SNS | snsSubscriptions |
Microsoft.AwsConnector/snsSubscriptions |
| SQS | sqsQueues |
Microsoft.AwsConnector/sqsQueues |
| SSM | ssmInstanceInformations |
Microsoft.AwsConnector/ssmInstanceInformations |
| SSM | ssmParameters |
Microsoft.AwsConnector/ssmParameters |
| SSM | ssmResourceComplianceSummaryItems |
Microsoft.AwsConnector/ssmResourceComplianceSummaryItems |
| WAF | wafWebACLSummaries |
Microsoft.AwsConnector/wafWebACLSummaries |
| WAFv2 | wafv2LoggingConfigurations |
Microsoft.AwsConnector/wafv2LoggingConfigurations |
Rappresentazione delle risorse AWS in Azure
Dopo aver connesso il cloud AWS e aver abilitato la soluzione Inventario, il connettore multi-cloud crea un nuovo gruppo di risorse con la convenzione di denominazione aws_yourAwsAccountId. Le rappresentazioni di Azure delle risorse AWS vengono create in questo gruppo di risorse usando i valori dello spazio dei nomi AwsConnector descritti nella sezione precedente. È possibile applicare tag e criteri di Azure a queste risorse.
Le risorse individuate in AWS e proiettate in Azure vengono inserite nelle aree di Azure usando uno schema di mapping standard.
Nota
Se si dispone di istanze EC2 già connesse ad Azure Arc, il connettore creerà la risorsa inventario EC2 come risorsa figlio di Microsoft.HybridCompute/machines se i prerequisiti sono stati soddisfatti nella sottoscrizione in cui risiede il computer Arc. In caso contrario, la risorsa inventario non verrà creata.
Opzioni di autorizzazione
Lettura globale: fornisce l'accesso in sola lettura a tutte le risorse nell'account AWS. Quando vengono introdotti nuovi servizi, il connettore può analizzare tali risorse senza richiedere un modello CloudFormation aggiornato.
Accesso con privilegi minimi: fornisce l'accesso in lettura solo alle risorse nei servizi selezionati. Se si sceglie di cercare altre risorse in futuro, sarà necessario caricare un nuovo modello CloudFormation.
Opzioni di sincronizzazione periodica
L'ora di sincronizzazione periodica selezionata durante la configurazione della soluzione Inventario determina la frequenza con cui l'account AWS viene analizzato e sincronizzato con Azure. Abilitando la sincronizzazione periodica, le modifiche apportate alle risorse AWS vengono indicate in Azure. Ad esempio, se una risorsa viene eliminata in AWS, tale risorsa viene eliminata anche in Azure.
Se si preferisce, è possibile disattivare la sincronizzazione periodica durante la configurazione di questa soluzione. In questo caso, la rappresentazione di Azure potrebbe non essere sincronizzata con le risorse AWS, perché Azure non sarà in grado di ripetere l'analisi e rilevare eventuali modifiche.
Esecuzione di query per le risorse in Azure Resource Graph
Azure Resource Graph è un servizio di Azure progettato per estendere Gestione risorse di Azure offrendo un'esplorazione efficiente ed efficiente delle risorse. L'esecuzione di query su larga scala in un determinato set di sottoscrizioni consente di gestire efficacemente l'ambiente.
È possibile eseguire query usando Resource Graph Explorer nel portale di Azure. Di seguito sono riportate alcune query di esempio per scenari comuni.
Eseguire query su tutti gli inventari di asset multicloud di cui è stato eseguito l'onboarding
resources
| where subscriptionId == "<subscription ID>"
| where id contains "microsoft.awsconnector"
| union (awsresources | where type == "microsoft.awsconnector/ec2instances" and subscriptionId =="<subscription ID>")
| extend awsTags= properties.awsTags, azureTags = ['tags']
| project subscriptionId, resourceGroup, type, id, awsTags, azureTags, properties
Eseguire una query per tutte le risorse in un connettore specifico
resources
| extend connectorId = tolower(tostring(properties.publicCloudConnectorsResourceId)), resourcesId=tolower(id)
| join kind=leftouter (
awsresources
| extend pccId = tolower(tostring(properties.publicCloudConnectorsResourceId)), awsresourcesId=tolower(id)
| extend parentId = substring(awsresourcesId, 0, strlen(awsresourcesId) - strlen("/providers/microsoft.awsconnector/ec2instances/default"))
) on $left.resourcesId == $right.parentId
| where connectorId =~ "yourConnectorId" or pccId =~ "yourConnectorId"
| extend resourceType = tostring(split(iif (type =~ "microsoft.hybridcompute/machines", type1, type), "/")[1])
Eseguire query per tutte le macchine virtuali in Azure e AWS, insieme alle relative dimensioni dell'istanza
resources
| where (['type'] == "microsoft.compute/virtualmachines")
| union (awsresources | where type == "microsoft.awsconnector/ec2instances")
| extend cloud=iff(type contains "ec2", "AWS", "Azure")
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| extend size=iff(type contains "microsoft.compute", properties.hardwareProfile.vmSize, properties.awsProperties.instanceType.value)
| project subscriptionId, cloud, resourceGroup, id, size, azureTags, awsTags, properties
Eseguire query per tutte le funzioni in Azure e AWS
resources
| where (type == 'microsoft.web/sites' and ['kind'] contains 'functionapp') or type == "microsoft.awsconnector/lambdafunctionconfigurations"
| extend cloud=iff(type contains "awsconnector", "AWS", "Azure")
| extend functionName=iff(cloud=="Azure", properties.name,properties.awsProperties.functionName), state=iff(cloud=="Azure", properties.state, properties.awsProperties.state), lastModifiedTime=iff(cloud=="Azure", properties.lastModifiedTimeUtc,properties.awsProperties.lastModified), location=iff(cloud=="Azure", location,properties.awsRegion), tags=iff(cloud=="Azure", tags, properties.awsTags)
| project cloud, functionName, lastModifiedTime, location, tags
Eseguire una query per tutte le risorse con un determinato tag
resources
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| where awsTags contains "<yourTagValue>" or azureTags contains "<yourTagValue>"
| project subscriptionId, resourceGroup, name, azureTags, awsTags
Passaggi successivi
- Informazioni sulla soluzione di onboarding Arc del connettore multicloud.
- Vedere altre informazioni su Azure Resource Graph.