Verbinding maken met AWS met de connector voor meerdere clouds in Azure Portal

Met de connector voor meerdere clouds die is ingeschakeld door Azure Arc, kunt u niet-Azure openbare cloudresources verbinden met Azure met behulp van Azure Portal. Momenteel worden openbare AWS-cloudomgevingen ondersteund.

Als onderdeel van het verbinden van een AWS-account met Azure implementeert u een CloudFormation-sjabloon naar het AWS-account. Met deze sjabloon maakt u alle vereiste resources voor de verbinding.

Vereisten

Als u de connector voor meerdere clouds wilt gebruiken, hebt u de juiste machtigingen nodig in zowel AWS als Azure.

AWS-vereisten

Als u de connector wilt maken en multicloud-inventaris wilt gebruiken, hebt u de volgende machtigingen nodig in AWS:

• AmazonS3FullAccess
• AWSCloudFormationFullAccess
• IAMFullAccess

Voor Arc-onboarding zijn er meer vereisten waaraan moet worden voldaan.

AWS-oplossingsmachtigingen

Wanneer u uw CloudFormation-sjabloon uploadt, worden er meer machtigingen aangevraagd op basis van de oplossingen die u hebt geselecteerd:

• Voor Inventaris kunt u uw machtiging kiezen:

  1. Globale leesbewerking: biedt alleen-lezentoegang tot alle resources in het AWS-account. Wanneer er nieuwe services worden geïntroduceerd, kan de connector scannen op deze resources zonder dat hiervoor een bijgewerkte CloudFormation-sjabloon is vereist.

  2. Toegang tot minimale bevoegdheden: biedt alleen leestoegang tot de resources onder de geselecteerde services. Als u ervoor kiest om in de toekomst meer resources te scannen, moet er een nieuwe CloudFormation-sjabloon worden geüpload.

• Voor Arc Onboarding is voor onze service EC2 Schrijftoegang vereist om de Azure Connected Machine-agent te installeren.

Vereisten voor Azure

Als u de connector voor meerdere clouds in een Azure-abonnement wilt gebruiken, hebt u de ingebouwde rol Inzender nodig.

Als dit de eerste keer is dat u de service gebruikt, moet u deze resourceproviders registreren. Hiervoor is inzendertoegang voor het abonnement vereist:

• Microsoft.HybridCompute
• Microsoft.HybridConnectivity
• Microsoft.AwsConnector
• Microsoft.Kubernetes

Notitie

De multicloudconnector kan naast de AWS-connector in Defender voor Cloud werken. Als u kiest, kunt u beide connectors gebruiken.

Uw openbare cloud toevoegen in Azure Portal

Als u uw openbare AWS-cloud wilt toevoegen aan Azure, gebruikt u Azure Portal om details in te voeren en een CloudFormation-sjabloon te genereren.

1. Navigeer in Azure Portal naar Azure Arc.

2. Selecteer onder Beheer multicloud-connectors (preview).

3. Selecteer Maken in het deelvenster Connectors.

4. Op de pagina Basisinformatie :

   1. Selecteer het abonnement en de resourcegroep waarin u de connectorresource wilt maken.
   2. Voer een unieke naam in voor de connector en selecteer een ondersteunde regio.
   3. Geef de id op voor het AWS-account waarmee u verbinding wilt maken en geef aan of dit één account of een organisatieaccount is.
   4. Selecteer Volgende.

5. Selecteer op de pagina Oplossingen welke oplossingen u wilt gebruiken met deze connector en configureer deze. Selecteer Toevoegen om Inventaris, Arc-onboarding of beide in te schakelen.

   

   • Voor Inventaris kunt u de volgende opties wijzigen:

     1. Kies of u alle ondersteunde AWS-services toevoegen al dan niet wilt inschakelen . Deze optie is standaard ingeschakeld, zodat alle services (nu beschikbaar en services die in de toekomst worden toegevoegd) worden gescand.

     2. Kies de AWS-services waarvoor u resources wilt scannen en importeren. Standaard zijn alle beschikbare services geselecteerd.

     3. Kies uw machtigingen. Als alle ondersteunde AWS-services toevoegen is ingeschakeld, moet u globale leestoegang hebben.

     4. Kies of u periodieke synchronisatie wilt inschakelen. Deze optie is standaard ingeschakeld, zodat de connector uw AWS-account regelmatig scant. Als u het selectievakje uitschakelt, wordt uw AWS-account slechts eenmaal gescand.

     5. Als periodieke synchronisatie inschakelen is ingeschakeld, bevestigt of wijzigt u elke selectie opnieuw om op te geven hoe vaak uw AWS-account wordt gescand.

     6. Kies of u alle ondersteunde AWS-regio's al dan niet wilt inschakelen. Als u deze optie selecteert, worden alle huidige en toekomstige AWS-regio's gescand.

     7. Kies welke regio's u wilt scannen op resources in uw AWS-account. Standaard zijn alle beschikbare regio's geselecteerd. Als u Alle ondersteunde AWS-regio's opnemen hebt geselecteerd , moeten alle regio's worden geselecteerd.

     8. Wanneer u klaar bent met het maken van selecties, selecteert u Opslaan om terug te keren naar de pagina Oplossingen .

   • Voor Arc-onboarding:

     1. Selecteer een connectiviteitsmethode om te bepalen of de connected machine-agent via een openbaar eindpunt of via een proxyserver verbinding met internet moet maken. Als u Proxyserver selecteert, geeft u een PROXYserver-URL op waarmee het EC2-exemplaar verbinding kan maken.
     2. Kies of u periodieke synchronisatie wilt inschakelen. Deze optie is standaard ingeschakeld, zodat de connector uw AWS-account regelmatig scant. Als u het selectievakje uitschakelt, wordt uw AWS-account slechts eenmaal gescand.
     3. Als periodieke synchronisatie inschakelen is ingeschakeld, bevestigt of wijzigt u elke selectie opnieuw om op te geven hoe vaak uw AWS-account wordt gescand.
     4. Kies of u alle ondersteunde AWS-regio's al dan niet wilt inschakelen. Als u deze optie selecteert, worden alle huidige en toekomstige AWS-regio's gescand.
     5. Kies welke regio's u wilt scannen op EC2-exemplaren in uw AWS-account. Standaard zijn alle beschikbare regio's geselecteerd. Als u Alle ondersteunde AWS-regio's opnemen hebt geselecteerd , moeten alle regio's worden geselecteerd.
     6. Kies ervoor om te filteren op EC2-exemplaren op AWS-tag. Als u hier een tagwaarde invoert, worden alleen EC2-exemplaren met die tag ge onboarded naar Arc. Door deze waarde leeg te laten, worden alle gedetecteerde EC2-exemplaren ge onboarded naar Arc.

6. Download op de pagina Verificatiesjabloon de CloudFormation-sjabloon die u gaat uploaden naar AWS. Deze sjabloon wordt gemaakt op basis van de informatie die u hebt opgegeven in Basisinformatie en de oplossingen die u hebt geselecteerd. U kunt de sjabloon meteen uploaden of wachten totdat u klaar bent met het toevoegen van uw openbare cloud.

7. Voer op de pagina Tags alle tags in die u wilt gebruiken.

8. Bevestig uw gegevens op de pagina Controleren en maken en selecteer Vervolgens Maken.

Als u uw sjabloon tijdens dit proces niet hebt geüpload, volgt u de stappen in de volgende sectie om dit te doen.

CloudFormation-sjabloon uploaden naar AWS

Nadat u de CloudFormation-sjabloon hebt opgeslagen die in de vorige sectie is gegenereerd, moet u deze uploaden naar uw openbare AWS-cloud. Als u de sjabloon uploadt voordat u klaar bent met het verbinden van uw AWS-cloud in Azure Portal, worden uw AWS-resources onmiddellijk gescand. Als u het proces Openbare cloud toevoegen in Azure Portal voltooit voordat u de sjabloon uploadt, duurt het iets langer om uw AWS-resources te scannen en beschikbaar te maken in Azure.

Stack maken

Volg deze stappen om een stack te maken en uw sjabloon te uploaden:

1. Open de AWS CloudFormation-console en selecteer Stack maken.

2. Selecteer Sjabloon is gereed en selecteer vervolgens Een sjabloonbestand uploaden. Selecteer Bestand kiezen en blader om uw sjabloon te selecteren. Selecteer Volgende.

3. Voer in Stackdetails opgeven een stacknaam in.

   1. Als u de arc-onboardingoplossing hebt geselecteerd, vult u de volgende details in de Stack-parameters in:

      1. EC2SSMIAMRoleAutoAssignment: Hiermee geeft u op of IAM-rollen die worden gebruikt voor SSM-taken automatisch worden toegewezen aan EC2-exemplaren. Deze optie is standaard ingesteld op true en alle gedetecteerde EC2-machines krijgen de IAM-rol toegewezen. Als u deze optie instelt op false, moet u de IAM-rol handmatig toewijzen aan de EC2-exemplaren die u wilt onboarden naar Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Hiermee geeft u op of de EC2 IAM-rol die wordt gebruikt voor SSM-taken periodiek automatisch moet worden toegewezen. Deze optie is standaard ingesteld om in te schakelen, wat betekent dat aan ec2-machines die in de toekomst worden gedetecteerd, automatisch de IAM-rol wordt toegewezen. Als u deze optie instelt om uit te schakelen, moet u de IAM-rol handmatig toewijzen aan alle nieuw geïmplementeerde EC2 die u wilt onboarden naar Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Hiermee geeft u het periodieke interval op voor automatische toewijzing van de EC2 IAM-rol die wordt gebruikt voor SSM-taken (bijvoorbeeld 15 minuten, 6 uur of 1 dag). Als u ec2SSMIAMRoleAutoAssignment instelt op true en EC2SSMIAMRoleAutoAssignmentSchedule, kunt u kiezen hoe vaak u wilt scannen op nieuwe EC2-exemplaren waaraan de IAM-rol moet worden toegewezen. Het standaardinterval is 1 dag.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Hiermee geeft u op of bestaande EC2 IAM-rollen die worden gebruikt voor SSM-taken mogen worden bijgewerkt met het vereiste machtigingsbeleid als deze ontbreken. Deze optie is standaard ingesteld op true. Als u ervoor kiest om in te stellen op false, moet u deze IAM-rolmachtiging handmatig toevoegen aan het EC2-exemplaar.

   2. Laat anders de andere opties ingesteld op de standaardinstellingen en selecteer Volgende.

4. Laat in Stack-opties configureren de opties ingesteld op de standaardinstellingen en selecteer Volgende.

5. Bevestig in Controleren en maken of de informatie juist is, schakel het selectievakje bevestiging in en selecteer vervolgens Verzenden.

StackSet maken

Als uw AWS-account een organisatieaccount is, moet u ook een StackSet maken en uw sjabloon opnieuw uploaden. Hiervoor doet u het volgende:

1. Open de AWS CloudFormation-console en selecteer StackSets en selecteer Vervolgens StackSet maken.

2. Selecteer Sjabloon is gereed en selecteer vervolgens Een sjabloonbestand uploaden. Selecteer Bestand kiezen en blader om uw sjabloon te selecteren. Selecteer Volgende.

3. Voer AzureArcMultiCloudStackset in Stack-details opgeven de naam van de StackSet in

   1. Als u de arc-onboardingoplossing hebt geselecteerd, vult u de volgende details in de Stack-parameters in:

      1. EC2SSMIAMRoleAutoAssignment: Hiermee geeft u op of IAM-rollen die worden gebruikt voor SSM-taken automatisch worden toegewezen aan EC2-exemplaren. Deze optie is standaard ingesteld op true en alle gedetecteerde EC2-machines krijgen de IAM-rol toegewezen. Als u deze optie instelt op false, moet u de IAM-rol handmatig toewijzen aan de EC2-exemplaren die u wilt onboarden naar Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Hiermee geeft u op of de EC2 IAM-rol die wordt gebruikt voor SSM-taken periodiek automatisch moet worden toegewezen. Deze optie is standaard ingesteld om in te schakelen, wat betekent dat aan ec2-machines die in de toekomst worden gedetecteerd, automatisch de IAM-rol wordt toegewezen. Als u deze optie instelt om uit te schakelen, moet u de IAM-rol handmatig toewijzen aan een nieuw geïmplementeerd EC2-exemplaar dat u wilt onboarden naar Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: hiermee geeft u het periodieke interval op voor automatische toewijzing van de EC2 IAM-rol die wordt gebruikt voor SSM-taken (zoals 15 minuten, 6 uur of 1 dag). Als u ec2SSMIAMRoleAutoAssignment instelt op true en EC2SSMIAMRoleAutoAssignmentSchedule, kunt u kiezen hoe vaak u wilt scannen op nieuwe EC2-exemplaren waaraan de IAM-rol moet worden toegewezen. Het standaardinterval is 1 dag.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Hiermee geeft u op of bestaande EC2 IAM-rollen die worden gebruikt voor SSM-taken mogen worden bijgewerkt met het vereiste machtigingsbeleid als deze ontbreken. Deze optie is standaard ingesteld op true. Als u ervoor kiest om in te stellen op false, moet u deze IAM-rolmachtiging handmatig toevoegen aan het EC2-exemplaar.

   2. Laat anders de andere opties ingesteld op de standaardinstellingen en selecteer Volgende.

4. Laat in Stack-opties configureren de opties ingesteld op de standaardinstellingen en selecteer Volgende.

5. Voer in Implementatieopties instellen de id in voor het AWS-account waar de StackSet wordt geïmplementeerd en selecteer een AWS-regio om de stack te implementeren. Laat de andere opties ingesteld op de standaardinstellingen en selecteer Volgende.

6. Controleer in Controleren of de informatie juist is, schakel het selectievakje bevestiging in en selecteer vervolgens Verzenden.

Implementatie bevestigen

Nadat u de optie Openbare cloud toevoegen in Azure hebt voltooid en uw sjabloon hebt geüpload naar AWS, worden uw connector en geselecteerde oplossingen gemaakt. Gemiddeld duurt het ongeveer één uur voordat uw AWS-resources beschikbaar zijn in Azure. Als u de sjabloon uploadt nadat u de openbare cloud in Azure hebt gemaakt, kan het even duren voordat u de AWS-resources ziet.

AWS-resources worden opgeslagen in een resourcegroep met behulp van de naamconventie aws_yourAwsAccountId, met machtigingen die zijn overgenomen van het abonnement. Scans worden regelmatig uitgevoerd om deze resources bij te werken, op basis van de periodieke synchronisatieselecties inschakelen.

Volgende stappen

• Voer een query uit op uw inventaris met de inventarisoplossing voor meerdere clouds.
• Meer informatie over het gebruik van de onboardingoplossing voor arc voor meerdere cloudconnectors.