Visualize o inventário multicloud com o conector multicloud habilitado pelo Azure Arc

Artigo
11/20/2024

A solução de Inventário do conector multicloud mostra uma vista atualizada dos seus recursos de outras nuvens públicas no Azure, fornecendo-lhe um único local para ver todos os seus recursos na nuvem. Atualmente, os ambientes de nuvem pública da AWS são suportados.

Depois de habilitar a solução de inventário , os metadados dos ativos na nuvem de origem são incluídos com as representações de ativos no Azure. Você também pode aplicar marcas do Azure ou políticas do Azure a esses recursos. Essa solução permite que você consulte todos os seus recursos de nuvem por meio do Azure Resource Graph, como consultar para encontrar todos os recursos do Azure e da AWS com uma tag específica.

A solução de inventário verifica sua nuvem de origem regularmente para atualizar o modo de exibição representado no Azure. Você pode especificar o intervalo a ser consultado quando conectar sua nuvem pública e configurar a solução de inventário .

Serviços da AWS compatíveis

Atualmente, os recursos associados aos seguintes serviços da AWS são verificados e representados no Azure. Quando você cria a solução de inventário, todos os serviços disponíveis são selecionados por padrão, mas você pode, opcionalmente, incluir quaisquer serviços.

A tabela a seguir mostra os serviços da AWS que são verificados, os tipos de recursos associados a cada serviço e o namespace do Azure que corresponde a cada tipo de recurso.

Serviço do AWS	Tipo de recurso da AWS	Espaço de nomes do Azure
Analisador de acesso	`accessAnalyzerAnalyzers`	`Microsoft.AwsConnector/accessAnalyzerAnalyzers`
Gateway de API	`apiGatewayRestApis`	`Microsoft.AwsConnector/apiGatewayRestApis`
Gateway de API	`apiGatewayStages`	`Microsoft.AwsConnector/apiGatewayStages`
Sincronização de aplicativos	`appSyncGraphQLApis`	`Microsoft.AwsConnector/appSyncGraphQLApis`
Dimensionamento automático	`autoScalingAutoScalingGroups`	`Microsoft.AwsConnector/autoScalingAutoScalingGroups`
Formação de nuvens	`cloudFormationStacks`	`Microsoft.AwsConnector/cloudFormationStacks`
Formação de nuvens	`cloudFormationStackSets`	`Microsoft.AwsConnector/cloudFormationStackSets`
Frente à nuvem	`cloudFront`	`Microsoft.AwsConnector/cloudFrontDistributions`
Trilha da nuvem	`cloudTrailTrails`	`Microsoft.AwsConnector/cloudTrailTrails`
Observação na nuvem	`cloudWatchAlarms`	`Microsoft.AwsConnector/cloudWatchAlarms`
Compilação de código	`codeBuildProjects`	`Microsoft.AwsConnector/codeBuildProjects`
Compilação de código	`codeBuildSourceCredentialsInfos`	`Microsoft.AwsConnector/codeBuildSourceCredentialsInfos`
Configurar	`configServiceConfigurationRecorders`	`Microsoft.AwsConnector/configServiceConfigurationRecorders`
Configurar	`configServiceConfigurationRecorderStatuses`	`Microsoft.AwsConnector/configServiceConfigurationRecorderStatuses`
Configurar	`configServiceDeliveryChannels`	`Microsoft.AwsConnector/configServiceDeliveryChannels`
DAX	`daxClusters`	`Microsoft.AwsConnector/daxClusters`
DMS	`databaseMigrationServiceReplicationInstances`	`Microsoft.AwsConnector/databaseMigrationServiceReplicationInstances`
Dínamo DB	`dynamoDBContinuousBackupsDescriptions`	`Microsoft.AwsConnector/dynamoDBContinuousBackupsDescriptions`
Dínamo DB	`dynamoDBTables`	`Microsoft.AwsConnector/dynamoDBTables`
EC2	`ec2Instances`	`Microsoft.HybridCompute/machines/EC2InstanceId`, `Microsoft.AwsConnector/Ec2Instances`
EC2	`ec2AccountAttributes`	`Microsoft.AwsConnector/ec2AccountAttributes`
EC2	`ec2Addresses`	`Microsoft.AwsConnector/ec2Addresses`
EC2	`ec2FlowLogs`	`Microsoft.AwsConnector/ec2FlowLogs`
EC2	`ec2Images`	`Microsoft.AwsConnector/ec2Images`
EC2	`ec2Ipams`	`Microsoft.AwsConnector/ec2Ipams`
EC2	`ec2KeyPairs`	`Microsoft.AwsConnector/ec2KeyPairs`
EC2	`ec2Subnets`	`Microsoft.AwsConnector/ec2Subnets`
EC2	`ec2Volumes`	`Microsoft.AwsConnector/ec2Volumes`
EC2	`ec2VPCs`	`Microsoft.AwsConnector/ec2VPCs`
EC2	`ec2NetworkAcls`	`Microsoft.AwsConnector/ec2NetworkAcls`
EC2	`ec2NetworkInterfaces`	`Microsoft.AwsConnector/ec2NetworkInterfaces`
EC2	`ec2RouteTables`	`Microsoft.AwsConnector/ec2RouteTables`
EC2	`ec2VPCEndpoints`	`Microsoft.AwsConnector/ec2VPCEndpoints`
EC2	`ec2VPCPeeringConnections`	`Microsoft.AwsConnector/ec2VPCPeeringConnections`
EC2	`ec2InstanceStatuses`	`Microsoft.AwsConnector/ec2InstanceStatuses`
EC2	`ec2SecurityGroups`	`Microsoft.AwsConnector/ec2SecurityGroups`
EC2	`ec2Snapshots`	`Microsoft.AwsConnector/ec2Snapshots`
ECR	`ecrImageDetails`	`Microsoft.AwsConnector/ecrImageDetails`
ECR	`ecrRepositories`	`Microsoft.AwsConnector/ecrRepositories`
ECS	`ecsClusters`	`Microsoft.AwsConnector/ecsClusters`
ECS	`ecsServices`	`Microsoft.AwsConnector/ecsServices`
ECS	`ecsTaskDefinitions`	`Microsoft.AwsConnector/ecsTaskDefinitions`
EFS	`efsFileSystems`	`Microsoft.AwsConnector/efsFileSystems`
EFS	`efsMountTargets`	`Microsoft.AwsConnector/efsMountTargets`
EKS	`eksClusters`	`Microsoft.AwsConnector/eksClusters`
EKS	`eksNodegroups`	`Microsoft.AwsConnector/eksNodegroups`
Elastic Beanstalk	`elasticBeanstalkApplications`	`Microsoft.AwsConnector/elasticBeanstalkApplications`
Elastic Beanstalk	`elasticBeanstalkConfigurationTemplates`	`Microsoft.AwsConnector/elasticBeanstalkConfigurationTemplates`
Elastic Beanstalk	`elasticBeanstalkEnvironments`	`Microsoft.AwsConnector/elasticBeanstalkEnvironments`
Elastic Load Balancer V2	`elasticLoadBalancingV2LoadBalancers`	`Microsoft.AwsConnector/elasticLoadBalancingV2LoadBalancers`
Elastic Load Balancer V2	`elasticLoadBalancingV2Listeners`	`Microsoft.AwsConnector/elasticLoadBalancingV2Listeners`
Elastic Load Balancer V2	`elasticLoadBalancingV2TargetGroups`	`Microsoft.AwsConnector/elasticLoadBalancingV2TargetGroups`
Elastic Load Balancer V2	`elasticLoadBalancingV2TargetHealthDescriptions`	`Microsoft.AwsConnector/elasticLoadBalancingV2TargetHealthDescriptions`
EMR	`emrClusters`	`Microsoft.AwsConnector/emrClusters`
Dever de Guarda	`guardDutyDetectors`	`Microsoft.AwsConnector/guardDutyDetectors`
IAM	`iamAccessKeyLastUseds`	`Microsoft.AwsConnector/iamAccessKeyLastUseds`
IAM	`iamAccessKeyMetaData`	`Microsoft.AwsConnector/iamAccessKeyMetaData`
IAM	`iamMFADevices`	`Microsoft.AwsConnector/iamMFADevices`
IAM	`iamPasswordPolicies`	`Microsoft.AwsConnector/iamPasswordPolicies`
IAM	`iamPolicyVersions`	`Microsoft.AwsConnector/iamPolicyVersions`
IAM	`iamRoles`	`Microsoft.AwsConnector/iamRoles`
IAM	`iamManagedPolicies`	`Microsoft.AwsConnector/iamManagedPolicies`
IAM	`iamServerCertificates`	`Microsoft.AwsConnector/iamServerCertificates`
IAM	`iamUserPolicies`	`Microsoft.AwsConnector/iamUserPolicies`
IAM	`iamVirtualMFADevices`	`Microsoft.AwsConnector/iamVirtualMFADevices`
KMS	`kmsKeys`	`Microsoft.AwsConnector/kmsKeys`
Lambda	`lambdaFunctions`	`Microsoft.AwsConnector/lambdaFunctions`
Vela de luz	`lightsailInstances`	`Microsoft.AwsConnector/lightsailInstances`
Vela de luz	`lightsailBuckets`	`Microsoft.AwsConnector/lightsailBuckets`
Registos	`logsLogGroups`	`Microsoft.AwsConnector/logsLogGroups`
Registos	`logsLogStreams`	`Microsoft.AwsConnector/logsLogStreams`
Registos	`logsMetricFilters`	`Microsoft.AwsConnector/logsMetricFilters`
Registos	`logsSubscriptionFilters`	`Microsoft.AwsConnector/logsSubscriptionFilters`
Macie	`macieAllowLists`	`Microsoft.AwsConnector/macieAllowLists`
Macie2	`macie2JobSummaries`	`Microsoft.AwsConnector/macie2JobSummaries`
Firewalls de rede	`networkFirewallFirewalls`	`Microsoft.AwsConnector/networkFirewallFirewalls`
Firewalls de rede	`networkFirewallFirewallPolicies`	`Microsoft.AwsConnector/networkFirewallFirewallPolicies`
Firewalls de rede	`networkFirewallRuleGroups`	`Microsoft.AwsConnector/networkFirewallRuleGroups`
Abrir Serviço de Pesquisa	`openSearchDomainStatuses`	`Microsoft.AwsConnector/openSearchDomainStatuses`
Organização	`organizationsAccounts`	`Microsoft.AwsConnector/organizationsAccounts`
Organização	`organizationsOrganizations`	`Microsoft.AwsConnector/organizationsOrganizations`
RDS	`rdsDBInstances`	`Microsoft.AwsConnector/rdsDBInstances`
RDS	`rdsDBClusters`	`Microsoft.AwsConnector/rdsDBClusters`
RDS	`rdsEventSubscriptions`	`Microsoft.AwsConnector/rdsEventSubscriptions`
RDS	`rdsDBSnapshots`	`Microsoft.AwsConnector/rdsDBSnapshots`
RDS	`rdsDBSnapshotAttributesResults`	`Microsoft.AwsConnector/rdsDBSnapshotAttributesResults`
RDS	`rdsEventSubscriptions`	`Microsoft.AwsConnector/rdsEventSubscriptions`
Redshift	`redshiftClusters`	`Microsoft.AwsConnector/redshiftClusters`
Redshift	`redshiftClusterParameterGroups`	`Microsoft.AwsConnector/redshiftClusterParameterGroups`
Route 53	`route53DomainsDomainSummaries`	`Microsoft.AwsConnector/route53DomainsDomainSummaries`
Route 53	`route53HostedZones`	`Microsoft.AwsConnector/route53HostedZones`
SageMaker	`sageMakerApps`	`Microsoft.AwsConnector/sageMakerApps`
SageMaker	`sageMakerDevices`	`Microsoft.AwsConnector/sageMakerDevices`
SageMaker	`sageMakerImages`	`Microsoft.AwsConnector/sageMakerImages`
SageMaker	`sageMakerNotebookInstanceSummaries`	`Microsoft.AwsConnector/sageMakerNotebookInstanceSummaries`
Gestor de Segredos	`secretsManagerResourcePolicies`	`Microsoft.AwsConnector/secretsManagerResourcePolicies`
Gestor de Segredos	`secretsManagerSecrets`	`Microsoft.AwsConnector/secretsManagerSecrets`
Gestor de Segredos	`secretsManagerSecrets`	`Microsoft.AwsConnector/secretsManagerSecrets`
S3	`s3Buckets`	`Microsoft.AwsConnector/s3Buckets`
S3	`s3AccessControlPolicies`	`Microsoft.AwsConnector/s3AccessControlPolicies`
S3	`s3ControlMultiRegionAccessPointPolicyDocuments`	`Microsoft.AwsConnector/s3ControlMultiRegionAccessPointPolicyDocuments`
S3	`s3BucketPolicies`	`Microsoft.AwsConnector/s3BucketPolicies`
S3	`s3AccessPoints`	`Microsoft.AwsConnector/s3AccessPoints`
SNS	`snsTopics`	`Microsoft.AwsConnector/snsTopics`
SNS	`snsSubscriptions`	`Microsoft.AwsConnector/snsSubscriptions`
SQS	`sqsQueues`	`Microsoft.AwsConnector/sqsQueues`
SSM	`ssmInstanceInformations`	`Microsoft.AwsConnector/ssmInstanceInformations`
SSM	`ssmParameters`	`Microsoft.AwsConnector/ssmParameters`
SSM	`ssmResourceComplianceSummaryItems`	`Microsoft.AwsConnector/ssmResourceComplianceSummaryItems`
WAF	`wafWebACLSummaries`	`Microsoft.AwsConnector/wafWebACLSummaries`
WAFv2	`wafv2LoggingConfigurations`	`Microsoft.AwsConnector/wafv2LoggingConfigurations`

Representação de recursos da AWS no Azure

Depois de conectar sua nuvem da AWS e habilitar a solução de inventário , o conector multicloud cria um novo grupo de recursos usando a convenção aws_yourAwsAccountIdde nomenclatura. As representações do Azure de seus recursos da AWS são criadas nesse grupo de recursos, usando os valores de AwsConnector namespace descritos na seção anterior. Você pode aplicar marcas e políticas do Azure a esses recursos.

Os recursos descobertos na AWS e projetados no Azure são colocados em regiões do Azure, usando um esquema de mapeamento padrão.

Nota

Se você tiver instâncias do EC2 que já foram conectadas ao Azure Arc, o conector criará o recurso EC2 Inventory como recurso filho do Microsoft.HybridCompute/machines se os pré-requisitos tiverem sido atendidos na assinatura em que a máquina Arc reside. Caso contrário, o recurso Inventário não será criado.

Opções de permissão

Leitura global: fornece acesso somente leitura a todos os recursos na conta da AWS. Quando novos serviços são introduzidos, o conector pode procurar esses recursos sem exigir um modelo atualizado do CloudFormation.
Acesso com privilégios mínimos: fornece acesso de leitura apenas aos recursos nos serviços selecionados. Se você optar por procurar mais recursos no futuro, um novo modelo do CloudFormation precisará ser carregado.

Opções de sincronização periódica

O tempo de sincronização periódica que você seleciona ao configurar a solução Inventory determina a frequência com que sua conta da AWS é verificada e sincronizada com o Azure. Ao habilitar a sincronização periódica, as alterações nos recursos da AWS são refletidas no Azure. Por exemplo, se um recurso for excluído na AWS, esse recurso também será excluído no Azure.

Se preferir, pode desativar a sincronização periódica ao configurar esta solução. Se você fizer isso, sua representação do Azure poderá ficar fora de sincronia com seus recursos da AWS, pois o Azure não poderá verificar novamente e detetar alterações.

Consultando recursos no Azure Resource Graph

O Azure Resource Graph é um serviço do Azure projetado para estender o Gerenciamento de Recursos do Azure fornecendo exploração de recursos eficiente e com desempenho. A execução de consultas em escala em um determinado conjunto de assinaturas ajuda você a controlar seu ambiente com eficiência.

Você pode executar consultas usando o Resource Graph Explorer no portal do Azure. Alguns exemplos de consultas para cenários comuns são mostrados aqui.

Consultar todos os inventários de ativos multicloud integrados

resources
| where subscriptionId == "<subscription ID>"
| where id contains "microsoft.awsconnector" 
| union (awsresources | where type == "microsoft.awsconnector/ec2instances" and subscriptionId =="<subscription ID>")
| extend awsTags= properties.awsTags, azureTags = ['tags']
| project subscriptionId, resourceGroup, type, id, awsTags, azureTags, properties

Consulta de todos os recursos sob um conector específico

resources
| extend connectorId = tolower(tostring(properties.publicCloudConnectorsResourceId)), resourcesId=tolower(id)
| join kind=leftouter (
    awsresources
    | extend pccId = tolower(tostring(properties.publicCloudConnectorsResourceId)), awsresourcesId=tolower(id)
    | extend parentId = substring(awsresourcesId, 0, strlen(awsresourcesId) - strlen("/providers/microsoft.awsconnector/ec2instances/default"))
) on $left.resourcesId == $right.parentId
| where connectorId =~ "yourConnectorId" or pccId =~ "yourConnectorId"
| extend resourceType = tostring(split(iif (type =~ "microsoft.hybridcompute/machines", type1, type), "/")[1])

Consulta para todas as máquinas virtuais no Azure e na AWS, juntamente com o tamanho da instância

resources 
| where (['type'] == "microsoft.compute/virtualmachines") 
| union (awsresources | where type == "microsoft.awsconnector/ec2instances")
| extend cloud=iff(type contains "ec2", "AWS", "Azure")
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags
| extend size=iff(type contains "microsoft.compute", properties.hardwareProfile.vmSize, properties.awsProperties.instanceType.value)
| project subscriptionId, cloud, resourceGroup, id, size, azureTags, awsTags, properties

Consulta para todas as funções no Azure e na AWS

resources
| where (type == 'microsoft.web/sites' and ['kind'] contains 'functionapp') or type == "microsoft.awsconnector/lambdafunctionconfigurations"
| extend cloud=iff(type contains "awsconnector", "AWS", "Azure")
| extend functionName=iff(cloud=="Azure", properties.name,properties.awsProperties.functionName), state=iff(cloud=="Azure", properties.state, properties.awsProperties.state), lastModifiedTime=iff(cloud=="Azure", properties.lastModifiedTimeUtc,properties.awsProperties.lastModified), location=iff(cloud=="Azure", location,properties.awsRegion),  tags=iff(cloud=="Azure", tags, properties.awsTags)
| project cloud, functionName, lastModifiedTime, location, tags

Consulta de todos os recursos com uma determinada tag

resources 
| extend awsTags=iff(type contains "microsoft.awsconnector", properties.awsTags, ""), azureTags=tags 
| where awsTags contains "<yourTagValue>" or azureTags contains "<yourTagValue>" 
| project subscriptionId, resourceGroup, name, azureTags, awsTags

Próximos passos

Saiba mais sobre a solução Arc Onboarding do conector multicloud.
Saiba mais sobre o Azure Resource Graph.

Partilhar via