Conecte-se à AWS com o conector de várias nuvens no portal do Azure
O conector multinuvem habilitado pelo Azure Arc permite que você conecte recursos de nuvem pública que não sejam do Azure ao Azure usando o portal do Azure. Atualmente, há suporte para ambientes de nuvem pública da AWS.
Como parte da conexão de uma conta da AWS ao Azure, implante um modelo do CloudFormation na conta da AWS. Este modelo cria todos os recursos necessários para a conexão.
Pré-requisitos
Para usar o conector multinuvem, você precisa das permissões apropriadas na AWS e no Azure.
Pré-requisitos da AWS
Para criar o conector e usar o inventário multinuvem, você precisa das seguintes permissões na AWS:
- AmazonS3FullAccess
- AWSCloudFormationFullAccess
- IAMFullAccess
Para integração do Arc, há mais pré-requisitos que devem ser atendidos.
Permissões de solução do AWS
Ao carregar seu modelo do CloudFormation, mais permissões serão solicitadas, com base nas soluções selecionadas:
Para Inventário, você pode escolher sua permissão:
Leitura Global: fornece acesso somente leitura a todos os recursos na conta do AWS. Quando novos serviços são introduzidos, o conector pode verificar esses recursos sem exigir um modelo de CloudFormation atualizado.
Acesso de Privilégios Mínimos: fornece acesso de leitura apenas aos recursos nos serviços selecionados. Se você optar por verificar mais recursos no futuro, um novo modelo CloudFormation precisará ser carregado.
Para a Integração do Arc, nosso serviço requer acesso de Gravação EC2 para instalar o Azure Connected Machine Agent.
Pré-requisitos do Azure
Para usar o conector multinuvem em uma assinatura do Azure, você precisa da função interna de Colaborador.
Se esta for a primeira vez que você está usando o serviço, será necessário registrar esses provedores de recursos, o que requer acesso de Colaborador na assinatura:
- Microsoft.HybridCompute
- Microsoft.HybridConnectivity
- Microsoft.AwsConnector
- Microsoft.Kubernetes
Observação
O conector multinuvem pode funcionar lado a lado com o conector da AWS no Defender para Nuvem. Se quiser, você pode usar esses dois conectores.
Adicionar nuvem pública no portal do Azure
Para adicionar sua nuvem pública da AWS ao Azure, use o portal do Azure para inserir detalhes e gerar um modelo de CloudFormation.
No portal do Azure, navegue até Azure Arc.
Em Gerenciamento, selecione Conectores multinuvem (versão prévia).
No painel Conectores, selecione Criar.
Na página Básico:
- Selecione a assinatura e o grupo de recursos nos quais quer criar seu recurso de conector.
- Insira um nome exclusivo para o conector e selecione uma região com suporte.
- Forneça a ID da conta da AWS que você quer conectar e indique se ela é uma conta única ou uma conta da organização.
- Selecione Avançar.
Na página Soluções, selecione quais soluções você gostaria de usar com esse conector e configure-as. Selecione Adicionar para habilitar Inventário, Integração do Arc ou ambos.
Para Inventário, você pode modificar as seguintes opções:
Escolha se deseja ou não habilitar Adicionar todos os serviços AWS compatíveis. Por padrão, essa opção está habilitada para que todos os serviços (disponíveis agora e serviços adicionados no futuro) sejam verificados.
Escolha os Serviços AWS para os quais você quer verificar e importar recursos. Por padrão, todos os serviços disponíveis são selecionados.
Escolher suas permissões. Se Adicionar todos os serviços AWS compatíveis estiver marcada, você deverá ter acesso Global de leitura.
Escolha se quer ou não habilitar a sincronização periódica. Por padrão, essa opção está habilitada para que o conector verifique sua conta da AWS regularmente. Se você desmarcar a caixa, sua conta da AWS será escaneada apenas uma vez.
Se a opção Habilitar sincronização periódica estiver marcada, confirme ou altere a seleção Recorrer a cada para especificar a frequência com que a conta da AWS é verificada.
Escolha se deseja ou não habilitar Incluir todas as regiões AWS compatíveis. Ao selecionar essa opção, todas as regiões atuais e futuras da AWS são verificadas.
Escolha quais regiões verificar em busca de recursos em sua conta da AWS. Por padrão, todas as regiões disponíveis são selecionadas. Se você selecionou Incluir todas as regiões da AWS com suporte, todas as regiões deverão ser selecionadas.
Quando terminar de fazer as seleções, selecione Salvar para retornar à página Soluções.
Para Integração do Arc:
- Selecione um método de conectividade para determinar se o agente do computador conectado deve se conectar à Internet por meio de um ponto de extremidade público ou por um servidor proxy. Se você selecionar Servidor proxy, forneça uma URL do servidor proxy ao qual a instância do EC2 possa se conectar.
- Escolha se quer ou não habilitar a sincronização periódica. Por padrão, essa opção está habilitada para que o conector verifique sua conta da AWS regularmente. Se você desmarcar a caixa, sua conta da AWS será escaneada apenas uma vez.
- Se a opção Habilitar sincronização periódica estiver marcada, confirme ou altere a seleção Recorrer a cada para especificar a frequência com que a conta da AWS é verificada.
- Escolha se deseja ou não habilitar Incluir todas as regiões AWS compatíveis. Ao selecionar essa opção, todas as regiões atuais e futuras da AWS são verificadas.
- Escolha quais regiões verificar em busca de instâncias EC2 em sua conta da AWS. Por padrão, todas as regiões disponíveis são selecionadas. Se você selecionou Incluir todas as regiões da AWS com suporte, todas as regiões deverão ser selecionadas.
- Escolha filtrar para instâncias EC2 por marca AWS. Se você inserir um valor de marca aqui, somente as instâncias EC2 que contêm essa marca serão integradas ao Arc. Deixando esse valor vazio, todas as Instâncias EC2 descobertas são integradas ao Arc.
Na página Modelo de autenticação, baixe o modelo do CloudFormation que você carregará na AWS. Esse modelo é criado com base nas informações que você forneceu no Básico e nas soluções que você selecionou. Você pode carregar o modelo imediatamente ou aguardar até terminar de adicionar sua nuvem pública.
Na página Marcas, insira as marcas que você quer usar.
Na página Revisar e criar, confirme suas informações e selecioneCriar.
Se você não carregou seu modelo durante esse processo, siga as etapas na próxima seção para fazer isso.
Carregar modelo do CloudFormation para a AWS
Depois de salvar o modelo do CloudFormation gerado na seção anterior, você precisa carregá-lo na sua nuvem pública da AWS. Se você carregar o modelo antes de terminar de conectar sua nuvem da AWS no portal do Azure, seus recursos da AWS serão verificados imediatamente. Se você concluir o processo Adicionar nuvem pública no portal do Azure antes de carregar o modelo, levará um pouco mais de tempo para escanear seus recursos da AWS e disponibilizá-los no Azure.
Criar pilha
Siga estas etapas para criar uma pilha e carregar seu modelo:
Abra o console do AWS CloudFormation e selecione Criar pilha.
Selecione Modelo está prontoe selecione Carregar um arquivo de modelo. Selecione Escolher arquivo e navegue para selecionar seu modelo. Em seguida, selecione Avançar.
Em Especificar detalhes da pilha, insira um nome de pilha.
Se você selecionou a solução Integração ao Arc preencha os seguintes detalhes nos parâmetros de pilha:
EC2SSMIAMRoleAutoAssignment: especifica se as funções IAM usadas para tarefas SSM são atribuídas automaticamente a instâncias EC2. Por padrão, essa opção é definida como verdadeira e todas as máquinas EC2 descobertas terão a função IAM atribuída. Se você definir essa opção como falso, deverá atribuir manualmente a função do IAM às instâncias do EC2 que deseja integrar ao Arc.
EC2SSMIAMRoleAutoAssignmentSchedule: especifica se a função EC2 IAM usada para tarefas SSM deve ser atribuída automaticamente periodicamente. Por padrão, essa opção é definida como habilitada, o que significa que qualquer máquina EC2 descoberta no futuro terá a função IAM atribuída automaticamente. Se você definir essa opção como desabilitar, você deverá atribuir manualmente a função do IAM a qualquer EC2 recém-implantado que você deseja integrar ao Azure Arc.
EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica o intervalo periódico para atribuição automática da função do EC2 IAM usada para tarefas do SSM (por exemplo, 15 minutos, 6 horas ou 1 dia). Se você definir o EC2SSMIAMRoleAutoAssignment como truee EC2SSMIAMRoleAutoAssignmentSchedule como enable, você poderá escolher com que frequência deseja verificar se novas instâncias EC2 serão atribuídas à função IAM. O intervalo padrão é 1 dia.
EC2SSMIAMRolePolicyUpdateAllowed: especifica se as funções do EC2 IAM existentes usadas para tarefas do SSM têm permissão para atualizar com as políticas de permissão necessárias, caso estejam ausentes. Por padrão, essa opção é definida como verdadeiro. Se você optar por definir como false, deverá adicionar manualmente essa permissão de função IAM à instância do EC2.
Caso contrário, mantenha as outras configurações padrão e selecione Avançar.
Em Configurar opções de pilha, deixe as opções definidas com suas configurações padrão e selecione Avançar.
Em Examinar e criar, confirme se as informações estão corretas, selecione a caixa de seleção de confirmação e selecione Enviar.
Criar StackSet
Se sua conta da AWS for uma conta da organização, você também precisará criar um StackSet e carregar seu modelo novamente. Para fazer isso:
Abra o console do AWS CloudFormation e selecione StackSets e, em seguida, selecione Criar StackSet.
Selecione Modelo está prontoe selecione Carregar um arquivo de modelo. Selecione Escolher arquivo e navegue para selecionar seu modelo. Em seguida, selecione Avançar.
Em Especificar detalhes da pilha, insira
AzureArcMultiCloudStackset
como o nome do StackSet.Se você selecionou a solução Integração ao Arc preencha os seguintes detalhes nos parâmetros de pilha:
EC2SSMIAMRoleAutoAssignment: especifica se as funções IAM usadas para tarefas SSM são atribuídas automaticamente a instâncias EC2. Por padrão, essa opção é definida como verdadeira e todas as máquinas EC2 descobertas terão a função IAM atribuída. Se você definir essa opção como falso, deverá atribuir manualmente a função do IAM às instâncias do EC2 que deseja integrar ao Arc.
EC2SSMIAMRoleAutoAssignmentSchedule: especifica se a função EC2 IAM usada para tarefas SSM deve ser atribuída automaticamente periodicamente. Por padrão, essa opção é definida como habilitada, o que significa que qualquer máquina EC2 descoberta no futuro terá a função IAM atribuída automaticamente. Se você definir essa opção como desabilitada, deverá atribuir manualmente a função do IAM a qualquer instância do EC2 recém-implantada que você deseja integrar ao Arc.
EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica o intervalo periódico para atribuição automática da função EC2 IAM usada para tarefas SSM (por exemplo, 15 minutos, 6 horas ou 1 dia). Se você definir o EC2SSMIAMRoleAutoAssignment como truee EC2SSMIAMRoleAutoAssignmentSchedule como enable, você poderá escolher com que frequência deseja verificar se novas instâncias EC2 serão atribuídas à função IAM. O intervalo padrão é 1 dia.
EC2SSMIAMRolePolicyUpdateAllowed: especifica se as funções do EC2 IAM existentes usadas para tarefas do SSM têm permissão para atualizar com as políticas de permissão necessárias, caso estejam ausentes. Por padrão, essa opção é definida como verdadeiro. Se você optar por definir como false, deverá adicionar manualmente essa permissão de função IAM à instância do EC2.
Caso contrário, mantenha as outras configurações padrão e selecione Avançar.
Em Configurar opções de pilha, deixe as opções definidas com suas configurações padrão e selecione Avançar.
Em Definir opções de implantação, insira a ID da conta da AWS em que o StackSet será implantado e selecione qualquer região da AWS para implantar a pilha. Mantenha as outras configurações padrão e selecione Avançar.
Em Examinar, confirme se as informações estão corretas, selecione a caixa de seleção de confirmação e selecione Enviar.
Confirmar implantação
Depois de concluir a opção Adicionar nuvem pública no Azure e carregar seu modelo na AWS, seu conector e as soluções selecionadas serão criados. Em média, leva cerca de uma hora para que seus recursos da AWS fiquem disponíveis no Azure. Se você carregar o modelo depois de criar a nuvem pública no Azure, poderá levar um pouco mais de tempo para ver os recursos da AWS.
Os recursos da AWS são armazenados em um grupo de recursos usando a convenção de nomenclatura aws_yourAwsAccountId
, com permissões herdadas de sua assinatura. As verificações são executadas regularmente para atualizar esses recursos, com base nas suas seleções de Habilitar sincronização periódica.
Próximas etapas
- Consulte seu inventário com a solução de Inventário do conector multinuvem.
- Saiba como usar a solução de Integração do Arc do conector multinuvem.