Anslut till AWS med anslutningsprogrammet för flera moln i Azure Portal

Med multimoln anslutningsappen aktiverad av Azure Arc kan du ansluta offentliga molnresurser som inte är Azure till Azure med hjälp av Azure-portalen. För närvarande stöds offentliga AWS-molnmiljöer.

Som en del av anslutningen av ett AWS-konto till Azure distribuerar du en CloudFormation-mall till AWS-kontot. Den här mallen skapar alla nödvändiga resurser för anslutningen.

Förutsättningar

Om du vill använda anslutningsprogrammet för flera moln behöver du rätt behörigheter i både AWS och Azure.

AWS-krav

För att skapa anslutningsappen och använda flera molnlager behöver du följande behörigheter i AWS:

• AmazonS3FullAccess
• AWSCloudFormationFullAccess
• IAMFullAccess

För Arc-registrering finns det fler krav som måste uppfyllas.

AWS-lösningsbehörigheter

När du laddar upp din CloudFormation-mall begärs fler behörigheter baserat på de lösningar som du har valt:

• För Inventering kan du välja din behörighet:

  1. Global läsning: Ger skrivskyddad åtkomst till alla resurser i AWS-kontot. När nya tjänster introduceras kan anslutningsappen söka efter dessa resurser utan att en uppdaterad CloudFormation-mall krävs.

  2. Åtkomst med minst behörighet: Ger läsbehörighet till endast resurser under de valda tjänsterna. Om du väljer att söka efter fler resurser i framtiden måste en ny CloudFormation-mall laddas upp.

• För Arc Onboarding kräver vår tjänst EC2 Write-åtkomst för att kunna installera Azure Connected Machine-agenten.

Krav för Azure

Om du vill använda anslutningsprogrammet för flera moln i en Azure-prenumeration behöver du den inbyggda rollen Deltagare .

Om det här är första gången du använder tjänsten måste du registrera dessa resursprovidrar, vilket kräver deltagaråtkomst för prenumerationen:

• Microsoft.HybridCompute
• Microsoft.HybridConnectivity
• Microsoft.AwsConnector
• Microsoft.Kubernetes

Kommentar

Anslutningsprogrammet för flera moln kan fungera sida vid sida med AWS-anslutningstjänsten i Defender för molnet. Om du väljer kan du använda båda dessa anslutningsappar.

Lägg till ditt offentliga moln i Azure Portal

Om du vill lägga till ditt offentliga AWS-moln i Azure använder du Azure Portal för att ange information och generera en CloudFormation-mall.

1. I Azure Portal navigerar du till Azure Arc.

2. Under Hantering väljer du Anslutningsappar för flera moln (förhandsversion).

3. I fönstret Anslutningsappar väljer du Skapa.

4. På sidan Grundläggande :

   1. Välj den prenumeration och resursgrupp där du vill skapa anslutningsresursen.
   2. Ange ett unikt namn för anslutningsappen och välj en region som stöds.
   3. Ange ID:t för det AWS-konto som du vill ansluta till och ange om det är ett enda konto eller ett organisationskonto.
   4. Välj Nästa.

5. På sidan Lösningar väljer du vilka lösningar du vill använda med den här anslutningsappen och konfigurerar dem. Välj Lägg till för att aktivera Inventering, Arc-registrering eller båda.

   

   • För Inventering kan du ändra följande alternativ:

     1. Välj om du vill aktivera Lägg till alla AWS-tjänster som stöds eller inte. Som standard är det här alternativet aktiverat, så att alla tjänster (tillgängliga nu och tjänster som läggs till i framtiden) genomsöks.

     2. Välj de AWS-tjänster som du vill skanna och importera resurser för. Som standard är alla tillgängliga tjänster markerade.

     3. Välj dina behörigheter. Om Lägg till alla AWS-tjänster som stöds är markerat måste du ha global läsåtkomst .

     4. Välj om du vill aktivera periodisk synkronisering eller inte. Som standard är det här alternativet aktiverat så att anslutningsappen söker igenom ditt AWS-konto regelbundet. Om du avmarkerar rutan genomsöks ditt AWS-konto bara en gång.

     5. Om Aktivera periodisk synkronisering är markerat bekräftar eller ändrar du varje val för att ange hur ofta ditt AWS-konto genomsöks.

     6. Välj om du vill aktivera Inkludera alla AWS-regioner som stöds eller inte. Genom att välja det här alternativet genomsöks alla aktuella och framtida AWS-regioner.

     7. Välj vilka regioner som ska sökas efter resurser i ditt AWS-konto. Som standard är alla tillgängliga regioner markerade. Om du har valt Inkludera alla AWS-regioner som stöds måste alla regioner väljas.

     8. När du har gjort val väljer du Spara för att återgå till sidan Lösningar .

   • För Arc-registrering:

     1. Välj en anslutningsmetod för att avgöra om connected machine-agenten ska ansluta till Internet via en offentlig slutpunkt eller via proxyserver. Om du väljer Proxyserver anger du en proxyserver-URL som EC2-instansen kan ansluta till.
     2. Välj om du vill aktivera periodisk synkronisering eller inte. Som standard är det här alternativet aktiverat så att anslutningsappen söker igenom ditt AWS-konto regelbundet. Om du avmarkerar rutan genomsöks ditt AWS-konto bara en gång.
     3. Om Aktivera periodisk synkronisering är markerat bekräftar eller ändrar du varje val för att ange hur ofta ditt AWS-konto genomsöks.
     4. Välj om du vill aktivera Inkludera alla AWS-regioner som stöds eller inte. Genom att välja det här alternativet genomsöks alla aktuella och framtida AWS-regioner.
     5. Välj vilka regioner som ska sökas efter EC2-instanser i ditt AWS-konto. Som standard är alla tillgängliga regioner markerade. Om du har valt Inkludera alla AWS-regioner som stöds måste alla regioner väljas.
     6. Välj att filtrera efter EC2-instanser efter AWS-tagg. Om du anger ett taggvärde här registreras endast EC2-instanser som innehåller taggen i Arc. Genom att lämna det här värdet tomt registreras alla IDENTIFIERADE EC2-instanser i Arc.

6. På sidan Autentiseringsmall laddar du ned mallen CloudFormation som du ska ladda upp till AWS. Den här mallen skapas baserat på den information du angav i Grunderna och de lösningar som du har valt. Du kan ladda upp mallen direkt eller vänta tills du har lagt till ditt offentliga moln.

7. På sidan Taggar anger du eventuella taggar som du vill använda.

8. På sidan Granska och skapa bekräftar du informationen och väljer sedan Skapa.

Om du inte laddade upp mallen under den här processen följer du stegen i nästa avsnitt för att göra det.

Ladda upp CloudFormation-mall till AWS

När du har sparat mallen CloudFormation som genererades i föregående avsnitt måste du ladda upp den till ditt offentliga AWS-moln. Om du laddar upp mallen innan du har anslutit AWS-molnet i Azure Portal genomsöks AWS-resurserna omedelbart. Om du slutför processen Lägg till offentligt moln i Azure Portal innan du laddar upp mallen tar det lite längre tid att söka igenom dina AWS-resurser och göra dem tillgängliga i Azure.

Skapa stack

Följ dessa steg för att skapa en stack och ladda upp mallen:

1. Öppna AWS CloudFormation-konsolen och välj Skapa stack.

2. Välj Mall är klar och välj sedan Ladda upp en mallfil. Välj Välj fil och bläddra för att välja mallen. Välj sedan Nästa.

3. I Ange stackinformation anger du ett stacknamn.

   1. Om du har valt Arc Onboarding-lösningen fyller du i följande information i Stack-parametrarna:

      1. EC2SSMIAMRoleAutoAssignment: Anger om IAM-roller som används för SSM-uppgifter automatiskt tilldelas till EC2-instanser. Som standard är det här alternativet inställt på true och alla identifierade EC2-datorer har tilldelats IAM-rollen. Om du anger det här alternativet till false måste du manuellt tilldela IAM-rollen till de EC2-instanser som du vill registrera till Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Anger om EC2 IAM-rollen som används för SSM-uppgifter ska tilldelas automatiskt med jämna mellanrum. Som standard är det här alternativet inställt på att aktivera, vilket innebär att alla EC2-datorer som identifieras i framtiden kommer att tilldelas IAM-rollen automatiskt. Om du anger att det här alternativet ska inaktiveras måste du manuellt tilldela IAM-rollen till alla nyligen distribuerade EC2 som du vill ska registreras i Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Anger det periodiska intervallet för automatisk tilldelning av EC2 IAM-rollen som används för SSM-uppgifter (till exempel 15 minuter, 6 timmar eller 1 dag). Om du ställer in EC2SSMIAMRoleAutoAssignment till true och EC2SSMIAMRoleAutoAssignmentSchedule för att aktivera, kan du välja hur ofta du vill söka efter nya EC2-instanser som ska tilldelas IAM-rollen. Standardintervallet är 1 dag.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Anger om befintliga EC2 IAM-roller som används för SSM-uppgifter tillåts uppdateras med nödvändiga behörighetsprinciper om de saknas. Som standard är det här alternativet inställt på sant. Om du väljer att ange false måste du manuellt lägga till den här IAM-rollbehörigheten till EC2-instansen.

   2. Annars lämnar du de andra alternativen inställda på standardinställningarna och väljer Nästa.

4. I Konfigurera stackalternativ låter du alternativen vara inställda på standardinställningarna och väljer Nästa.

5. I Granska och skapa bekräftar du att informationen är korrekt, markerar kryssrutan bekräftelse och väljer sedan Skicka.

Skapa StackSet

Om ditt AWS-konto är ett organisationskonto måste du också skapa en StackSet och ladda upp mallen igen. Så här gör du:

1. Öppna AWS CloudFormation-konsolen och välj StackSets och välj sedan Skapa StackSet.

2. Välj Mall är klar och välj sedan Ladda upp en mallfil. Välj Välj fil och bläddra för att välja mallen. Välj sedan Nästa.

3. I Ange stackinformation anger du AzureArcMultiCloudStackset som StackSet-namn

   1. Om du har valt Arc Onboarding-lösningen fyller du i följande information i Stack-parametrarna:

      1. EC2SSMIAMRoleAutoAssignment: Anger om IAM-roller som används för SSM-uppgifter automatiskt tilldelas till EC2-instanser. Som standard är det här alternativet inställt på true och alla identifierade EC2-datorer har tilldelats IAM-rollen. Om du anger det här alternativet till false måste du manuellt tilldela IAM-rollen till de EC2-instanser som du vill registrera till Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Anger om EC2 IAM-rollen som används för SSM-uppgifter ska tilldelas automatiskt med jämna mellanrum. Som standard är det här alternativet inställt på att aktivera, vilket innebär att alla EC2-datorer som identifieras i framtiden kommer att tilldelas IAM-rollen automatiskt. Om du anger att det här alternativet ska inaktiveras måste du manuellt tilldela IAM-rollen till alla nyligen distribuerade EC2-instanser som du vill registrera till Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Anger det periodiska intervallet för automatisk tilldelning av EC2 IAM-rollen som används för SSM-uppgifter (till exempel 15 minuter, 6 timmar eller 1 dag). Om du ställer in EC2SSMIAMRoleAutoAssignment till true och EC2SSMIAMRoleAutoAssignmentSchedule för att aktivera, kan du välja hur ofta du vill söka efter nya EC2-instanser som ska tilldelas IAM-rollen. Standardintervallet är 1 dag.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Anger om befintliga EC2 IAM-roller som används för SSM-uppgifter tillåts uppdateras med nödvändiga behörighetsprinciper om de saknas. Som standard är det här alternativet inställt på sant. Om du väljer att ange false måste du manuellt lägga till den här IAM-rollbehörigheten till EC2-instansen.

   2. Annars lämnar du de andra alternativen inställda på standardinställningarna och väljer Nästa.

4. I Konfigurera stackalternativ låter du alternativen vara inställda på standardinställningarna och väljer Nästa.

5. I Ange distributionsalternativ anger du ID för det AWS-konto där StackSet ska distribueras och väljer vilken AWS-region som helst för att distribuera stacken. Låt de andra alternativen vara inställda på standardinställningarna och välj Nästa.

6. I Granska bekräftar du att informationen är korrekt, markerar kryssrutan bekräftelse och väljer sedan Skicka.

Bekräfta distributionen

När du har slutfört alternativet Lägg till offentligt moln i Azure och överför mallen till AWS skapas anslutningsappen och de valda lösningarna. I genomsnitt tar det ungefär en timme innan dina AWS-resurser blir tillgängliga i Azure. Om du laddar upp mallen när du har skapat det offentliga molnet i Azure kan det ta lite längre tid innan du ser AWS-resurserna.

AWS-resurser lagras i en resursgrupp med namngivningskonventionen aws_yourAwsAccountId, med behörigheter som ärvts från prenumerationen. Genomsökningar körs regelbundet för att uppdatera dessa resurser, baserat på dina Aktivera periodiska synkroniseringsval .

Nästa steg

• Fråga din inventering med inventeringslösningen för flera molnanslutningsappar.
• Lär dig hur du använder arc onboarding-lösningen för flera molnanslutningar.