Partilhar via

Conecte-se à AWS com o conector multicloud no portal do Azure

  • Artigo

O conetor multinuvem habilitado pelo Azure Arc permite que conecte recursos de nuvem pública não-Azure ao Azure através do portal do Azure. Atualmente, os ambientes de nuvem pública da AWS são suportados.

Como parte da conexão de uma conta da AWS ao Azure, implanta um modelo do CloudFormation na conta da AWS. Este modelo cria todos os recursos necessários para a conexão.

Pré-requisitos

Para usar o conector multicloud, você precisa das permissões apropriadas na AWS e no Azure.

Pré-requisitos da AWS

Para criar o conector e usar o inventário multicloud, você precisa das seguintes permissões na AWS:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

Para a integração do Arc, há mais pré-requisitos que devem ser atendidos.

Permissões da solução AWS

Quando você carrega seu modelo do CloudFormation, mais permissões são solicitadas, com base nas soluções selecionadas:

  • Para Inventário, você pode escolher sua permissão:

    1. Leitura global: fornece acesso somente leitura a todos os recursos na conta da AWS. Quando novos serviços são introduzidos, o conector pode procurar esses recursos sem exigir um modelo atualizado do CloudFormation.

    2. Acesso com privilégios mínimos: fornece acesso de leitura apenas aos recursos nos serviços selecionados. Se você optar por procurar mais recursos no futuro, um novo modelo do CloudFormation deverá ser carregado.

  • Para o Arc Onboarding, nosso serviço requer acesso de gravação do EC2 para instalar o agente do Azure Connected Machine.

Pré-requisitos do Azure

Para usar o conector multicloud em uma assinatura do Azure, você precisa da função interna de Colaborador .

Se esta for a primeira vez que você estiver usando o serviço, precisará registrar esses provedores de recursos, o que requer acesso de Colaborador na assinatura:

  • Microsoft.HybridCompute
  • Microsoft.HybridConnectivity
  • Microsoft.AwsConnector
  • Microsoft.Kubernetes

Nota

O conector multicloud pode trabalhar lado a lado com o conector da AWS no Defender for Cloud. Se você escolher, você pode usar ambos os conectores.

Adicione sua nuvem pública no portal do Azure

Para adicionar sua nuvem pública da AWS ao Azure, use o portal do Azure para inserir detalhes e gerar um modelo do CloudFormation.

  1. No portal do Azure, navegue até Azure Arc.

  2. Em Gestão, selecione Conectores multicloud (pré-visualização).

  3. No painel Conectores, selecione Criar.

  4. Na página Noções básicas:

    1. Selecione a assinatura e o grupo de recursos no qual criar o recurso do conector.
    2. Insira um nome exclusivo para o conector e selecione uma região suportada.
    3. Forneça o ID da conta da AWS que você deseja conectar e indique se é uma conta única ou uma conta da organização.
    4. Selecione Seguinte.

  5. Na página Soluções, selecione quais soluções você gostaria de usar com esse conector e configure-as. Selecione Adicionar para ativar o Inventário, a integração do arco ou ambos.

    Captura de tela mostrando as soluções para o conector da AWS no portal do Azure.

    • Para Inventário, você pode modificar as seguintes opções:

      1. Escolha se deseja ou não habilitar Adicionar todos os serviços da AWS compatíveis. Por padrão, essa opção é ativada, para que todos os serviços (disponíveis agora e serviços adicionados no futuro) sejam verificados.

      2. Escolha os serviços da AWS para os quais você deseja digitalizar e importar recursos. Por padrão, todos os serviços disponíveis são selecionados.

      3. Escolha suas permissões. Se a opção Adicionar todos os serviços da AWS compatíveis estiver marcada, você deverá ter acesso de leitura global.

      4. Escolha se deseja ou não ativar a sincronização periódica. Por padrão, essa opção é ativada para que o conector verifique sua conta da AWS regularmente. Se você desmarcar a caixa, sua conta da AWS será verificada apenas uma vez.

      5. Se a opção Ativar sincronização periódica estiver marcada, confirme ou altere a opção Repetir cada seleção para especificar com que frequência sua conta da AWS será verificada.

      6. Escolha se deseja ou não habilitar a opção Incluir todas as regiões da AWS compatíveis. Ao selecionar essa opção, todas as regiões atuais e futuras da AWS são verificadas.

      7. Escolha quais regiões procurar recursos em sua conta da AWS. Por padrão, todas as regiões disponíveis são selecionadas. Se você selecionou Incluir todas as regiões da AWS compatíveis, todas as regiões deverão ser selecionadas.

      8. Quando terminar de fazer as seleções, selecione Salvar para retornar à página Soluções .

    • Para Arc onboarding:

      1. Selecione um método de conectividade para determinar se o agente de máquina conectada deve se conectar à Internet por meio de um ponto de extremidade público ou por servidor proxy. Se você selecionar Servidor proxy, forneça uma URL do servidor proxy à qual a instância do EC2 possa se conectar.
      2. Escolha se deseja ou não ativar a sincronização periódica. Por padrão, essa opção é ativada para que o conector verifique sua conta da AWS regularmente. Se você desmarcar a caixa, sua conta da AWS será verificada apenas uma vez.
      3. Se a opção Ativar sincronização periódica estiver marcada, confirme ou altere a opção Repetir cada seleção para especificar com que frequência sua conta da AWS será verificada.
      4. Escolha se deseja ou não habilitar a opção Incluir todas as regiões da AWS compatíveis. Ao selecionar essa opção, todas as regiões atuais e futuras da AWS são verificadas.
      5. Escolha quais regiões procurar instâncias do EC2 em sua conta da AWS. Por padrão, todas as regiões disponíveis são selecionadas. Se você selecionou Incluir todas as regiões da AWS compatíveis, todas as regiões deverão ser selecionadas.
      6. Escolha filtrar instâncias do EC2 por tag da AWS. Se você inserir um valor de tag aqui, somente as instâncias do EC2 que contêm essa tag serão integradas ao Arc. Ao deixar esse valor vazio, todas as instâncias do EC2 descobertas são integradas ao Arc.

  6. Na página Modelo de autenticação, faça download do modelo do CloudFormation que você carregará na AWS. Este modelo é criado com base nas informações fornecidas em Noções básicas e nas soluções selecionadas . Você pode carregar o modelo imediatamente ou esperar até terminar de adicionar sua nuvem pública.

  7. Na página Etiquetas, introduza as etiquetas que pretende utilizar.

  8. Na página Rever e criar, confirme as suas informações e, em seguida, selecione Criar.

Se você não carregou seu modelo durante esse processo, siga as etapas na próxima seção para fazer isso.

Faça upload do modelo do CloudFormation para a AWS

Depois de salvar o modelo do CloudFormation gerado na seção anterior, você precisa carregá-lo para sua nuvem pública da AWS. Se você fizer upload do modelo antes de concluir a conexão da Nuvem AWS no portal do Azure, os recursos da AWS serão verificados imediatamente. Se você concluir o processo Adicionar nuvem pública no portal do Azure antes de carregar o modelo, levará um pouco mais de tempo para verificar seus recursos da AWS e disponibilizá-los no Azure.

Criar pilha

Siga estas etapas para criar uma pilha e carregar seu modelo:

  1. Abra o console do AWS CloudFormation e selecione Criar pilha.

  2. Selecione Modelo está pronto e, em seguida, selecione Carregar um arquivo de modelo. Selecione Escolher arquivo e procure para selecionar seu modelo. Em seguida, selecione Seguinte.

  3. Em Especificar detalhes da pilha, insira um nome de pilha.

    1. Se você selecionou a solução Arc Onboarding , preencha os seguintes detalhes nos parâmetros da pilha:

      1. EC2SSMIAMRoleAutoAssignment: Especifica se as funções do IAM usadas para tarefas do SSM são atribuídas automaticamente às instâncias do EC2. Por padrão, essa opção é definida como true e todas as máquinas EC2 descobertas terão a função do IAM atribuída. Se você definir essa opção como false, deverá atribuir manualmente a função do IAM às instâncias do EC2 que deseja integrar ao Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Especifica se a função do EC2 IAM usada para tarefas do SSM deve ser atribuída automaticamente periodicamente. Por padrão, essa opção é definida para habilitar, o que significa que todas as máquinas EC2 descobertas no futuro terão a função do IAM atribuída automaticamente. Se você definir essa opção como desabilitar, deverá atribuir manualmente a função do IAM a qualquer EC2 recém-implantado que deseje integrar ao Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica o intervalo periódico para atribuição automática da função do IAM do EC2 usada para tarefas do SSM (por exemplo, 15 minutos, 6 horas ou 1 dia). Se você definir o EC2SSMIAMRoleAutoAssignment como true e EC2SSMIAMRoleAutoAssignmentSchedule como habilitar, poderá escolher com que frequência deseja verificar se novas instâncias do EC2 serão atribuídas à função do IAM. O intervalo padrão é 1 dia.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Especifica se as funções existentes do EC2 IAM usadas para tarefas do SSM podem ser atualizadas com as políticas de permissão necessárias se estiverem ausentes. Por padrão, essa opção é definida como true. Se você optar por definir como false, deverá adicionar manualmente essa permissão de função do IAM à instância do EC2.

    2. Caso contrário, deixe as outras opções definidas para suas configurações padrão e selecione Avançar.

  4. Em Configurar opções de pilha, deixe as opções definidas para suas configurações padrão e selecione Avançar.

  5. Em Rever e criar, confirme se as informações estão corretas, selecione a caixa de verificação de confirmação e, em seguida, selecione Submeter.

Criar StackSet

Se sua conta da AWS for uma conta de organização, você também precisará criar um StackSet e fazer upload do modelo novamente. Para tal:

  1. Abra o console do AWS CloudFormation e selecione StackSets, em seguida, selecione Create StackSet.

  2. Selecione Modelo está pronto e, em seguida, selecione Carregar um arquivo de modelo. Selecione Escolher arquivo e procure para selecionar seu modelo. Em seguida, selecione Seguinte.

  3. Em Especificar detalhes da pilha, insira AzureArcMultiCloudStackset como o nome do StackSet

    1. Se você selecionou a solução Arc Onboarding , preencha os seguintes detalhes nos parâmetros da pilha:

      1. EC2SSMIAMRoleAutoAssignment: Especifica se as funções do IAM usadas para tarefas do SSM são atribuídas automaticamente às instâncias do EC2. Por padrão, essa opção é definida como true e todas as máquinas EC2 descobertas terão a função do IAM atribuída. Se você definir essa opção como false, deverá atribuir manualmente a função do IAM às instâncias do EC2 que deseja integrar ao Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Especifica se a função do EC2 IAM usada para tarefas do SSM deve ser atribuída automaticamente periodicamente. Por padrão, essa opção é definida para habilitar, o que significa que todas as máquinas EC2 descobertas no futuro terão a função do IAM atribuída automaticamente. Se você definir essa opção como desabilitar, deverá atribuir manualmente a função do IAM a qualquer instância do EC2 recém-implantada que deseje integrar ao Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: especifica o intervalo periódico para atribuição automática da função do EC2 IAM usada para tarefas do SSM (como 15 minutos, 6 horas ou 1 dia). Se você definir o EC2SSMIAMRoleAutoAssignment como true e EC2SSMIAMRoleAutoAssignmentSchedule como habilitar, poderá escolher com que frequência deseja verificar se novas instâncias do EC2 serão atribuídas à função do IAM. O intervalo padrão é 1 dia.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Especifica se as funções existentes do EC2 IAM usadas para tarefas do SSM podem ser atualizadas com as políticas de permissão necessárias se estiverem ausentes. Por padrão, essa opção é definida como true. Se você optar por definir como false, deverá adicionar manualmente essa permissão de função do IAM à instância do EC2.

    2. Caso contrário, deixe as outras opções definidas para suas configurações padrão e selecione Avançar.

  4. Em Configurar opções de pilha, deixe as opções definidas para suas configurações padrão e selecione Avançar.

  5. Em Definir opções de implantação, insira o ID da conta da AWS onde o StackSet será implantado e selecione qualquer região da AWS para implantar a pilha. Deixe as outras opções definidas para suas configurações padrão e selecione Avançar.

  6. Em Revisão, confirme se as informações estão corretas, marque a caixa de seleção de confirmação e selecione Enviar.

Confirmar a implementação

Depois de concluir a opção Adicionar nuvem pública no Azure e fazer upload do modelo para a AWS, o conector e as soluções selecionadas são criados. Em média, leva cerca de uma hora para que seus recursos da AWS fiquem disponíveis no Azure. Se você carregar o modelo depois de criar a nuvem pública no Azure, pode levar um pouco mais de tempo até ver os recursos da AWS.

Os recursos da AWS são armazenados em um grupo de recursos usando a convenção aws_yourAwsAccountIdde nomenclatura , com permissões herdadas de sua assinatura. As verificações são executadas regularmente para atualizar esses recursos, com base em Ativar seleções de sincronização periódicas.

Próximos passos

  • Consulte o seu inventário com a solução Multicloud connector Inventory.
  • Saiba como usar a solução de integração Arc do conector multicloud.