Azure Arc で有効になっているマルチクラウド コネクタを使用してマルチクラウド インベントリを表示する
マルチクラウド コネクタのインベントリ ソリューションには、Azure 内の他のパブリック クラウドからのリソースの最新のビューが表示され、すべてのクラウド リソースを 1 か所で表示できます。 現在、AWS パブリック クラウド環境がサポートされています。
インベントリ ソリューションを有効にすると、ソース クラウド内の資産のメタデータが Azure の資産表現に含まれます。 これらのリソースに Azure タグまたは Azure ポリシーを適用することもできます。 このソリューションを使用すると、特定のタグを持つすべての Azure リソースと AWS リソースを検索するためのクエリなど、Azure Resource Graph を使用してすべてのクラウド リソースを照会できます。
インベントリ ソリューションは、ソース クラウドを定期的にスキャンして、Azure で表されるビューを更新します。 パブリック クラウドに接続してインベントリ ソリューションを構成するときにクエリを実行する間隔を指定できます。
サポートされている AWS サービス
現在、次の AWS サービスに関連付けられているリソースがスキャンされ、Azure で表されます。 インベントリ ソリューションを作成すると、使用可能なすべてのサービスが既定で選択されますが、必要に応じて任意のサービスを含めることができます。
次の表は、スキャンされる AWS サービス、各サービスに関連付けられているリソースの種類、各リソースの種類に対応する Azure 名前空間を示しています。
| AWS サービス | AWS リソースの種類 | Azure 名前空間 |
|---|---|---|
| アクセス アナライザー | accessAnalyzerAnalyzers |
Microsoft.AwsConnector/accessAnalyzerAnalyzers |
| API ゲートウェイ | apiGatewayRestApis |
Microsoft.AwsConnector/apiGatewayRestApis |
| API ゲートウェイ | apiGatewayStages |
Microsoft.AwsConnector/apiGatewayStages |
| アプリの同期 | appSyncGraphQLApis |
Microsoft.AwsConnector/appSyncGraphQLApis |
| 自動スケール | autoScalingAutoScalingGroups |
Microsoft.AwsConnector/autoScalingAutoScalingGroups |
| クラウドフォーメーション | cloudFormationStacks |
Microsoft.AwsConnector/cloudFormationStacks |
| クラウドフォーメーション | cloudFormationStackSets |
Microsoft.AwsConnector/cloudFormationStackSets |
| Cloud Front | cloudFront |
Microsoft.AwsConnector/cloudFrontDistributions |
| Cloud Trail | cloudTrailTrails |
Microsoft.AwsConnector/cloudTrailTrails |
| クラウドウォッチ | cloudWatchAlarms |
Microsoft.AwsConnector/cloudWatchAlarms |
| コード ビルド | codeBuildProjects |
Microsoft.AwsConnector/codeBuildProjects |
| コード ビルド | codeBuildSourceCredentialsInfos |
Microsoft.AwsConnector/codeBuildSourceCredentialsInfos |
| 構成 | configServiceConfigurationRecorders |
Microsoft.AwsConnector/configServiceConfigurationRecorders |
| 構成 | configServiceConfigurationRecorderStatuses |
Microsoft.AwsConnector/configServiceConfigurationRecorderStatuses |
| 構成 | configServiceDeliveryChannels |
Microsoft.AwsConnector/configServiceDeliveryChannels |
| DAX | daxClusters |
Microsoft.AwsConnector/daxClusters |
| DMS | databaseMigrationServiceReplicationInstances |
Microsoft.AwsConnector/databaseMigrationServiceReplicationInstances |
| Dynamo DB | dynamoDBContinuousBackupsDescriptions |
Microsoft.AwsConnector/dynamoDBContinuousBackupsDescriptions |
| Dynamo DB | dynamoDBTables |
Microsoft.AwsConnector/dynamoDBTables |
| EC2 | ec2Instances |
Microsoft.HybridCompute/machines/EC2InstanceId, Microsoft.AwsConnector/Ec2Instances |
| EC2 | ec2AccountAttributes |
Microsoft.AwsConnector/ec2AccountAttributes |
| EC2 | ec2Addresses |
Microsoft.AwsConnector/ec2Addresses |
| EC2 | ec2FlowLogs |
Microsoft.AwsConnector/ec2FlowLogs |
| EC2 | ec2Images |
Microsoft.AwsConnector/ec2Images |
| EC2 | ec2Ipams |
Microsoft.AwsConnector/ec2Ipams |
| EC2 | ec2KeyPairs |
Microsoft.AwsConnector/ec2KeyPairs |
| EC2 | ec2Subnets |
Microsoft.AwsConnector/ec2Subnets |
| EC2 | ec2Volumes |
Microsoft.AwsConnector/ec2Volumes |
| EC2 | ec2VPCs |
Microsoft.AwsConnector/ec2VPCs |
| EC2 | ec2NetworkAcls |
Microsoft.AwsConnector/ec2NetworkAcls |
| EC2 | ec2NetworkInterfaces |
Microsoft.AwsConnector/ec2NetworkInterfaces |
| EC2 | ec2RouteTables |
Microsoft.AwsConnector/ec2RouteTables |
| EC2 | ec2VPCEndpoints |
Microsoft.AwsConnector/ec2VPCEndpoints |
| EC2 | ec2VPCPeeringConnections |
Microsoft.AwsConnector/ec2VPCPeeringConnections |
| EC2 | ec2InstanceStatuses |
Microsoft.AwsConnector/ec2InstanceStatuses |
| EC2 | ec2SecurityGroups |
Microsoft.AwsConnector/ec2SecurityGroups |
| EC2 | ec2Snapshots |
Microsoft.AwsConnector/ec2Snapshots |
| ECR | ecrImageDetails |
Microsoft.AwsConnector/ecrImageDetails |
| ECR | ecrRepositories |
Microsoft.AwsConnector/ecrRepositories |
| ECS | ecsClusters |
Microsoft.AwsConnector/ecsClusters |
| ECS | ecsServices |
Microsoft.AwsConnector/ecsServices |
| ECS | ecsTaskDefinitions |
Microsoft.AwsConnector/ecsTaskDefinitions |
| 暗号化ファイル システム | efsFileSystems |
Microsoft.AwsConnector/efsFileSystems |
| 暗号化ファイル システム | efsMountTargets |
Microsoft.AwsConnector/efsMountTargets |
| EKS | eksClusters |
Microsoft.AwsConnector/eksClusters |
| EKS | eksNodegroups |
Microsoft.AwsConnector/eksNodegroups |
| Elastic Beanstalk | elasticBeanstalkApplications |
Microsoft.AwsConnector/elasticBeanstalkApplications |
| Elastic Beanstalk | elasticBeanstalkConfigurationTemplates |
Microsoft.AwsConnector/elasticBeanstalkConfigurationTemplates |
| Elastic Beanstalk | elasticBeanstalkEnvironments |
Microsoft.AwsConnector/elasticBeanstalkEnvironments |
| Elastic Load Balancer V2 | elasticLoadBalancingV2LoadBalancers |
Microsoft.AwsConnector/elasticLoadBalancingV2LoadBalancers |
| Elastic Load Balancer V2 | elasticLoadBalancingV2Listeners |
Microsoft.AwsConnector/elasticLoadBalancingV2Listeners |
| Elastic Load Balancer V2 | elasticLoadBalancingV2TargetGroups |
Microsoft.AwsConnector/elasticLoadBalancingV2TargetGroups |
| Elastic Load Balancer V2 | elasticLoadBalancingV2TargetHealthDescriptions |
Microsoft.AwsConnector/elasticLoadBalancingV2TargetHealthDescriptions |
| EMR | emrClusters |
Microsoft.AwsConnector/emrClusters |
| GuardDuty | guardDutyDetectors |
Microsoft.AwsConnector/guardDutyDetectors |
| IAM | iamAccessKeyLastUseds |
Microsoft.AwsConnector/iamAccessKeyLastUseds |
| IAM | iamAccessKeyMetaData |
Microsoft.AwsConnector/iamAccessKeyMetaData |
| IAM | iamMFADevices |
Microsoft.AwsConnector/iamMFADevices |
| IAM | iamPasswordPolicies |
Microsoft.AwsConnector/iamPasswordPolicies |
| IAM | iamPolicyVersions |
Microsoft.AwsConnector/iamPolicyVersions |
| IAM | iamRoles |
Microsoft.AwsConnector/iamRoles |
| IAM | iamManagedPolicies |
Microsoft.AwsConnector/iamManagedPolicies |
| IAM | iamServerCertificates |
Microsoft.AwsConnector/iamServerCertificates |
| IAM | iamUserPolicies |
Microsoft.AwsConnector/iamUserPolicies |
| IAM | iamVirtualMFADevices |
Microsoft.AwsConnector/iamVirtualMFADevices |
| KMS | kmsKeys |
Microsoft.AwsConnector/kmsKeys |
| Lambda | lambdaFunctions |
Microsoft.AwsConnector/lambdaFunctions |
| Lightsail | lightsailInstances |
Microsoft.AwsConnector/lightsailInstances |
| Lightsail | lightsailBuckets |
Microsoft.AwsConnector/lightsailBuckets |
| ログ | logsLogGroups |
Microsoft.AwsConnector/logsLogGroups |
| ログ | logsLogStreams |
Microsoft.AwsConnector/logsLogStreams |
| ログ | logsMetricFilters |
Microsoft.AwsConnector/logsMetricFilters |
| ログ | logsSubscriptionFilters |
Microsoft.AwsConnector/logsSubscriptionFilters |
| Macie | macieAllowLists |
Microsoft.AwsConnector/macieAllowLists |
| Macie2 | macie2JobSummaries |
Microsoft.AwsConnector/macie2JobSummaries |
| ネットワーク ファイアウォール | networkFirewallFirewalls |
Microsoft.AwsConnector/networkFirewallFirewalls |
| ネットワーク ファイアウォール | networkFirewallFirewallPolicies |
Microsoft.AwsConnector/networkFirewallFirewallPolicies |
| ネットワーク ファイアウォール | networkFirewallRuleGroups |
Microsoft.AwsConnector/networkFirewallRuleGroups |
| Search Service を開く | openSearchDomainStatuses |
Microsoft.AwsConnector/openSearchDomainStatuses |
| 組織 | organizationsAccounts |
Microsoft.AwsConnector/organizationsAccounts |
| 組織 | organizationsOrganizations |
Microsoft.AwsConnector/organizationsOrganizations |
| RDS | rdsDBInstances |
Microsoft.AwsConnector/rdsDBInstances |
| RDS | rdsDBClusters |
Microsoft.AwsConnector/rdsDBClusters |
| RDS | rdsEventSubscriptions |
Microsoft.AwsConnector/rdsEventSubscriptions |
| RDS | rdsDBSnapshots |
Microsoft.AwsConnector/rdsDBSnapshots |
| RDS | rdsDBSnapshotAttributesResults |
Microsoft.AwsConnector/rdsDBSnapshotAttributesResults |
| RDS | rdsEventSubscriptions |
Microsoft.AwsConnector/rdsEventSubscriptions |
| Redshift | redshiftClusters |
Microsoft.AwsConnector/redshiftClusters |
| Redshift | redshiftClusterParameterGroups |
Microsoft.AwsConnector/redshiftClusterParameterGroups |
| Route 53 | route53DomainsDomainSummaries |
Microsoft.AwsConnector/route53DomainsDomainSummaries |
| Route 53 | route53HostedZones |
Microsoft.AwsConnector/route53HostedZones |
| SageMaker | sageMakerApps |
Microsoft.AwsConnector/sageMakerApps |
| SageMaker | sageMakerDevices |
Microsoft.AwsConnector/sageMakerDevices |
| SageMaker | sageMakerImages |
Microsoft.AwsConnector/sageMakerImages |
| SageMaker | sageMakerNotebookInstanceSummaries |
Microsoft.AwsConnector/sageMakerNotebookInstanceSummaries |
| シークレット マネージャー | secretsManagerResourcePolicies |
Microsoft.AwsConnector/secretsManagerResourcePolicies |
| シークレット マネージャー | secretsManagerSecrets |
Microsoft.AwsConnector/secretsManagerSecrets |
| シークレット マネージャー | secretsManagerSecrets |
Microsoft.AwsConnector/secretsManagerSecrets |
| S3 | s3Buckets |
Microsoft.AwsConnector/s3Buckets |
| S3 | s3AccessControlPolicies |
Microsoft.AwsConnector/s3AccessControlPolicies |
| S3 | s3ControlMultiRegionAccessPointPolicyDocuments |
Microsoft.AwsConnector/s3ControlMultiRegionAccessPointPolicyDocuments |
| S3 | s3BucketPolicies |
Microsoft.AwsConnector/s3BucketPolicies |
| S3 | s3AccessPoints |
Microsoft.AwsConnector/s3AccessPoints |
| SNS | snsTopics |
Microsoft.AwsConnector/snsTopics |
| SNS | snsSubscriptions |
Microsoft.AwsConnector/snsSubscriptions |
| SQS | sqsQueues |
Microsoft.AwsConnector/sqsQueues |
| SSM | ssmInstanceInformations |
Microsoft.AwsConnector/ssmInstanceInformations |
| SSM | ssmParameters |
Microsoft.AwsConnector/ssmParameters |
| SSM | ssmResourceComplianceSummaryItems |
Microsoft.AwsConnector/ssmResourceComplianceSummaryItems |
| WAF | wafWebACLSummaries |
Microsoft.AwsConnector/wafWebACLSummaries |
| WAFv2 | wafv2LoggingConfigurations |
Microsoft.AwsConnector/wafv2LoggingConfigurations |
Azure での AWS リソース表現
AWS クラウドを接続してインベントリ ソリューションを有効にすると、マルチクラウド コネクタは名前付け規則 aws_yourAwsAccountId を使用して新しいリソース グループを作成します。 AWS リソースの Azure 表現は、前のセクションで説明した AwsConnector 名前空間値を使用して、このリソース グループに作成されます。 これらのリソースに Azure タグとポリシーを適用できます。
AWS 内で検出され、Azure に投影されているリソースは、標準のマッピング スキームを使用して Azure リージョンに配置されます。
Note
既に Azure Arc に接続されている EC2 インスタンスがある場合、Arc マシンが存在するサブスクリプションで前提条件が満たされていれば、コネクタは Microsoft.HybridCompute/machines の子リソースとして EC2 インベントリ リソースを作成します。 それ以外の場合、インベントリ リソースは作成されません。
アクセス許可のオプション
グローバル読み取り: AWS アカウント内のすべてのリソースへの読み取り専用アクセスを提供します。 新しいサービスが導入されると、コネクタは CloudFormation テンプレートを更新することなく、これらのリソースをスキャンできます。
最小特権アクセス: 選択したサービスのリソースにのみ読み取りアクセスを提供します。 今後さらに多くのリソースをスキャンする場合は、新しい CloudFormation テンプレートをアップロードする必要があります。
定期的な同期オプション
インベントリ ソリューションを構成するときに選択する定期的な同期時間によって、AWS アカウントをスキャンして Azure に同期する頻度が決まります。 定期的な同期を有効にすると、AWS リソースへの変更が Azure に反映されます。 たとえば、AWS でリソースが削除された場合、そのリソースは Azure でも削除されます。
必要に応じて、このソリューションを構成するときに定期的な同期をオフにすることができます。 その場合、Azure は再スキャンして変更を検出できないため、Azure の表明および保証が AWS リソースと同期しなくなる可能性があります。
Azure Resource Graph でのリソースのクエリ
Azure Resource Graph は、効率的でパフォーマンスの高いリソース探索を提供することで、Azure リソース管理を拡張するように設計された Azure サービスです。 特定の一連のサブスクリプションに対してクエリを大規模に実行すると、環境を効果的に管理できます。
Azure portal で Resource Graph エクスプローラーを使用してクエリを実行できます。 一般的なシナリオのクエリの例を次に示します。
オンボードされたすべてのマルチクラウド資産インベントリに対してクエリを実行する
resources
| where subscriptionId == "<subscription ID>"
| where id contains "microsoft.awsconnector"
| union (awsresources | where type == "microsoft.awsconnector/ec2instances" and subscriptionId =="<subscription ID>")
| extend awsTags= properties.awsTags, azureTags = ['tags']
| project subscriptionId, resourceGroup, type, id, awsTags, azureTags, properties
特定のコネクタのすべてのリソースに対してクエリを実行する
resources
| extend connectorId = tolower(tostring(properties.publicCloudConnectorsResourceId)), resourcesId=tolower(id)
| join kind=leftouter (
awsresources
| extend pccId = tolower(tostring(properties.publicCloudConnectorsResourceId)), awsresourcesId=tolower(id)
| extend parentId = substring(awsresourcesId, 0, strlen(awsresourcesId) - strlen("/providers/microsoft.awsconnector/ec2instances/default"))
) on $left.resourcesId == $right.parentId
| where connectorId =~ "yourConnectorId" or pccId =~ "yourConnectorId"
| extend resourceType = tostring(split(iif (type =~ "microsoft.hybridcompute/machines", type1, type), "/")[1])
Azure と AWS 内のすべての仮想マシンとそのインスタンス サイズに対してクエリを実行する
resources
| where (['type'] == "microsoft.compute/virtualmachines")
| union (awsresources | where type == "microsoft.awsconnector/ec2instances")
| extend cloud=iff(type contains "ec2", "AWS", "Azure")
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| extend size=iff(type contains "microsoft.compute", properties.hardwareProfile.vmSize, properties.awsProperties.instanceType.value)
| project subscriptionId, cloud, resourceGroup, id, size, azureTags, awsTags, properties
Azure と AWS 全体のすべての関数に対してクエリを実行する
resources
| where (type == 'microsoft.web/sites' and ['kind'] contains 'functionapp') or type == "microsoft.awsconnector/lambdafunctionconfigurations"
| extend cloud=iff(type contains "awsconnector", "AWS", "Azure")
| extend functionName=iff(cloud=="Azure", properties.name,properties.awsProperties.functionName), state=iff(cloud=="Azure", properties.state, properties.awsProperties.state), lastModifiedTime=iff(cloud=="Azure", properties.lastModifiedTimeUtc,properties.awsProperties.lastModified), location=iff(cloud=="Azure", location,properties.awsRegion), tags=iff(cloud=="Azure", tags, properties.awsTags)
| project cloud, functionName, lastModifiedTime, location, tags
特定のタグを持つすべてのリソースに対してクエリを実行する
resources
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| where awsTags contains "<yourTagValue>" or azureTags contains "<yourTagValue>"
| project subscriptionId, resourceGroup, name, azureTags, awsTags
次のステップ
- マルチクラウド コネクタ Arc オンボード ソリューションを参照してください。
- Azure Resource Graph の詳細についてさらに学習します。