Nastavení a konfigurace integrace sestavy nákladů a využití AWS

Poznámka:

Připojení or pro AWS ve službě Cost Management vyřadí 31. března 2025. Uživatelé by měli zvážit alternativní řešení pro generování sestav služby AWS Cost Management. 31. března 2024 Azure zakáže možnost přidávat nové Připojení ory pro AWS pro všechny zákazníky. Další informace najdete v tématu Vyřazení konektoru Amazon Web Services (AWS).

Díky integraci sestav nákladů a využití (CUR) Amazon Web Services (AWS) můžete monitorovat a řídit útraty za AWS ve službě Cost Management. Integrace umožňuje využít jedno umístění na portálu Azure Portal, odkud můžete monitorovat a řídit útratu pro Azure i pro AWS. Tento článek vysvětluje, jak nastavit integraci a nakonfigurovat ji, abyste mohli pomocí funkcí služby Cost Management analyzovat náklady a kontrolovat rozpočty.

Služba Cost Management zpracuje sestavu nákladů a využití AWS uloženou v kbelíku S3 pomocí přihlašovacích údajů pro přístup k AWS, aby získala definice sestav a stáhla soubory sestav GZIP CSV.

Vytvoření sestavy nákladů a využití v AWS

AWS doporučuje použít sestavu nákladů a využití ke shromáždění a zpracování nákladů AWS. Konektor Cost Management mezi cloudy podporuje sestavy nákladů a využití nakonfigurované na úrovni účtu pro správu (konsolidovaný). Další informace najdete v dokumentaci Sestava nákladů a využití AWS.

Pomocí stránky Cost & Usage Reports (Sestavy nákladů a využití) v konzole Billing and Cost Management (Fakturace a správa nákladů) v AWS můžete vytvořit sestavu nákladů a využití podle následujících kroků:

1. Přihlaste se ke konzole pro správu AWS (AWS Management Console) a otevřete konzolu Billing and Cost Management (Fakturace a správa nákladů).
2. V navigačním podokně vyberte Cost & Usage Reports (Sestavy nákladů a využití).
3. Vyberte Create Report (Vytvořit sestavu).
4. Do pole Report name (Název sestavy) zadejte název sestavy.
5. V části Additional report details (Další podrobnosti sestavy) vyberte Include resource IDs (Zahrnout ID prostředků).
6. V části Data refresh settings (Nastavení aktualizace dat) vyberte, jestli chcete, aby se sestava nákladů a využití AWS aktualizovala, pokud AWS po dokončení faktury použije u vašeho účtu refundaci, kredity nebo poplatky za podporu. Při aktualizaci sestavy se do úložiště Amazon S3 nahraje nová sestava. Doporučujeme nechat toto nastavení vybrané.
7. Vyberte Další.
8. V části S3 bucket (Kbelík S3) vyberte Configure (Konfigurovat).
9. V dialogovém okně Configure S3 Bucket (Konfigurace kbelíku S3) zadejte název kbelíku a oblast, kde chcete vytvořit nový kbelík, a vyberte Next (Další).
10. Vyberte I have confirmed that this policy is correct, then select Save.Select I have confirmed that this policy is correct, then select Save.
11. (Volitelné) V poli Report path prefix (Předpona cesty k sestavě) zadejte předponu cesty k sestavě, kterou chcete přidat k názvu sestavy.
    Pokud se vynechá, výchozí předpona je název, který jste zadali pro sestavu. Rozsah kalendářních dat má formát /report-name/date-range/.
12. Jako Time unit (Časová jednotka) vyberte Hourly (Po hodině).
13. V případě správy verzí sestav zvolte, jestli chcete, aby každá verze sestavy přepsala předchozí verzi, nebo jestli chcete další nové sestavy.
14. Možnost Enable data integration for (Povolit integraci dat pro) nevyžaduje žádný výběr.
15. Jako Compression (Komprese) vyberte GZIP.
16. Vyberte Další.
17. Po kontrole nastavení sestavy vyberte Zkontrolovat a dokončit.
    Poznamenejte si název sestavy. Použijete ho v dalších krocích.

AWS může trvat až 24 hodin, než začne doručovat sestavy do vašeho kbelíku Amazon S3. Po zahájení doručování AWS aktualizuje alespoň jednou denně soubory sestav nákladů a využití AWS. Můžete pokračovat v konfiguraci prostředí AWS, aniž byste čekali na zahájení doručování.

Poznámka:

Sestavy nákladů a využití nakonfigurované na úrovni člena (propojeného) účtu se v současné době nepodporují.

Vytvoření zásady a role v AWS

Služba Cost Management přistupuje k kbelíku S3, kde se sestava nákladů a využití nachází několikrát denně. Služba potřebuje přístup k přihlašovacím údajům, aby mohla kontrolovat nová data. Vytvořením role a zásady v AWS umožníte přístup služby Cost Management.

Pokud chcete povolit přístup účtu AWS na základě role ke službě Cost Management, role se vytvoří v konzole AWS. Musíte mít název ARN role a externí ID z konzoly AWS. Později je můžete použít na stránce Vytvořit konektor AWS ve službě Cost Management.

Použití průvodce vytvořením zásad

1. Přihlaste se ke konzole AWS a vyberte Služby.
2. V seznamu služeb vyberte IAM.
3. Vyberte Zásady.
4. Vyberte Vytvořit zásadu.
5. Vyberte Zvolte službu.

Konfigurace oprávnění pro sestavu nákladů a využití

1. Zadejte Sestava nákladů a využití.
2. Vyberte Úroveň přístupu>Čtení>DescribeReportDefinitions. Tento krok umožňuje službě Cost Management přečíst, které sestavy CUR jsou definovány, a určit, jestli splňují požadavek na definici sestavy.
3. Vyberte Přidat další oprávnění.

Konfigurace oprávnění pro kontejner a objekty S3

1. Vyberte Zvolte službu.
2. Zadejte S3.
3. Vyberte Úroveň přístupu>Seznam>ListBucket. Tato akce načte seznam objektů ve kbelíku S3.
4. Vyberte Úroveň přístupu>Číst>GetObject. Tato akce povolí stažení fakturačních souborů.
5. Vyberte konkrétní prostředky>.
6. V kontejneru vyberte odkaz Přidat sítě ARN a otevřete další okno.
7. Do pole Název kontejneru prostředků zadejte kontejner použitý k ukládání souborů CUR.
8. Vyberte Přidat arns.
9. V objektu vyberte Libovolný.
10. Vyberte Přidat další oprávnění.

Konfigurace oprávnění pro Průzkumníka nákladů

1. Vyberte Zvolte službu.
2. Zadejte Služba Průzkumník nákladů.
3. Vyberte všechny akce služby Průzkumníka nákladů (ce:*). Tato akce ověří, zda je kolekce správná.
4. Vyberte Přidat další oprávnění.

Přidání oprávnění pro organizace AWS

1. Zadejte Organizations.
2. Vyberte Úroveň přístupu>Seznam>ListAccounts. Tato akce získá názvy účtů.
3. Vyberte Přidat další oprávnění.

Konfigurace oprávnění pro zásady

1. Zadejte IAM.
2. Vyberte Úroveň > přístupu ListAttachedRolePolicies >a ListPolicyVersions a ListRoles.
3. Vyberte Úroveň > přístupu Pro čtení >GetPolicyVersion.
4. Vyberte Zásady prostředků> a pak vyberte Libovolná. Tyto akce umožňují ověření, že konektoru byla udělena pouze minimální požadovaná sada oprávnění.
5. Vyberte Další.

Podokno Zkontrolovat a vytvořit

1. Do pole Kontrola zásady zadejte název nové zásady. Ověřte, že jste zadali správné informace.
2. Přidání značek. Můžete zadat značky, které chcete použít, nebo tento krok přeskočit. Tento krok není nutný k vytvoření konektoru ve službě Cost Management.
3. Chcete-li dokončit tento postup, vyberte Vytvořit zásadu .

JSON obsahující zásadu by měl vypadat přibližně jako v následujícím příkladu. Nahraďte bucketname názvem kontejneru S3, číslem vašeho účtu a rolename názvem role, accountname kterou jste vytvořili.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Použití průvodce vytvořením nové role

1. Přihlaste se ke konzole AWS a vyberte Services (Služby).
2. V seznamu služeb vyberte IAM.
3. Vyberte Roles (Role) a pak vyberte Create Role (Vytvořit roli).
4. Na stránce Vybrat důvěryhodnou entitu vyberte účet AWS a pak v části Účet AWS vyberte Jiný účet AWS.
5. V části ID účtu zadejte 432263259397.
6. V části Možnosti vyberte Vyžadovat externí ID (osvědčený postup, kdy třetí strana tuto roli převezme).
7. V části Externí ID zadejte externí ID, což je sdílené heslo mezi rolí AWS a službou Cost Management. Poznamenejte si externí ID, protože ho použijete na stránce Nový Připojení or ve službě Cost Management. Microsoft doporučuje, abyste při zadávání externího ID použili zásady pro silné heslo. Externí ID by mělo splňovat omezení AWS:
   • Typ: Řetězec
   • Omezení délky: Minimální délka 2. Maximální délka 1224.
   • Musí splňovat vzor regulárního výrazu: [\w+=,.@: /-]*

   Poznámka:

   Neměňte výběr možnosti Vyžadovat MFA. Měla by zůstat nezaškrtnutá.

8. Vyberte Další.
9. Na panelu hledání vyhledejte novou zásadu a vyberte ji.
10. Vyberte Další.
11. Do podrobností role zadejte název role. Ověřte, že jste zadali správné informace. Poznamenejte si zadaný název, protože ho použijete později při nastavování konektoru Cost Management.
12. Volitelně přidejte značky. Můžete zadat libovolné značky, jako je nebo tento krok přeskočit. Tento krok není nutný k vytvoření konektoru ve službě Cost Management.
13. Vyberte Vytvořit roli.

Nastavení nového konektoru pro AWS v Azure

Pomocí následujících informací vytvořte konektor AWS a začněte monitorovat náklady na AWS.

Poznámka:

Připojení or pro AWS zůstane aktivní i po skončení zkušebního období, pokud během počáteční instalace nastavíte konfiguraci automatického prodlužování platnosti na Zapnuto. V opačném případě je konektor po zkušební verzi zakázaný. Může zůstat neaktivní po dobu tří měsíců, než se trvale odstraní. Po odstranění konektoru se stejné připojení nedá znovu aktivovat. Pokud potřebujete pomoc s zakázaným konektorem nebo vytvořit nové připojení po jeho odstranění, vytvořte na webu Azure Portal žádost o podporu.

Požadavky

• Ujistěte se, že máte povolenou aspoň jednu skupinu pro správu. Skupina pro správu se vyžaduje k propojení vašeho předplatného se službou AWS. Další informace o vytvoření skupiny pro správu najdete v tématu Vytvoření skupiny pro správu v Azure.
• Ujistěte se, že jste správcem předplatného.
• Dokončete nastavení vyžadované pro nový konektor AWS, jak je popsáno v části Vytvoření sestavy nákladů a využití v AWS .

Vytvoření nového konektoru

1. Přihlaste se k portálu Azure.
2. V případě potřeby přejděte do služby Cost Management a fakturace a vyberte rozsah fakturace.
3. Vyberte Analýzu nákladů a pak vyberte Nastavení.
4. Vyberte Připojení or pro AWS.
5. Vyberte Přidat konektor.
6. Na stránce Vytvořit konektor do pole Zobrazovaný název zadejte název konektoru.
   
7. Volitelně můžete vybrat výchozí skupinu pro správu. Ukládá všechny zjištěné propojené účty. Můžete ji nastavit později.
8. Pokud chcete zajistit nepřetržitý provoz, v části Fakturace nastavte Automaticky prodloužit na Zapnuto. Pokud vyberete tuto automatickou možnost, musíte vybrat předplatné pro fakturaci.
9. Jako Název ARN role zadejte hodnotu, kterou jste použili při nastavování role v AWS.
10. Jako Externí ID zadejte hodnotu, kterou jste použili při nastavování role v AWS.
11. Jako Název sestavy zadejte název, který jste vytvořili v AWS.
12. Vyberte Další a potom vyberte Vytvořit.

Může trvat několik hodin, než se objeví nové rozsahy AWS, konsolidovaný účet AWS, propojené účty AWS a jejich data nákladů.

Po vytvoření konektoru doporučujeme, abyste k němu přiřadili řízení přístupu. Uživatelům se přiřazují oprávnění k nově zjištěným oborům: konsolidovaný účet AWS a propojené účty AWS. Uživatel, který vytváří konektor, je vlastníkem konektoru, konsolidovaného účtu a všech propojených účtů.

Přiřazením oprávnění konektoru uživatelům po zjišťování se nepřiřadí oprávnění existujícím rozsahům AWS. Místo toho jsou přiřazena oprávnění pouze novým propojeným účtům.

Proveďte další kroky

• Nastavte skupiny pro správu, pokud jste to ještě neudělali.
• Ověřte, že se do výběru rozsahu přidaly nové rozsahy. Vyberte Aktualizovat a zobrazte si nejnovější data.
• Na stránce Cloudové konektory vyberte svůj konektor a vyberte Přejít na fakturační účet, abyste mohli přiřadit propojený účet ke skupinám pro správu.

Poznámka:

Skupiny pro správu se v současnosti nepodporují pro zákazníky se Smlouvou se zákazníkem Microsoftu (MCA). Zákazníci se smlouvou MCA si mohou vytvořit tento konektor a zobrazit data AWS. Zákazníci se smlouvou MCA si ale nemohou zobrazovat náklady na Azure a náklady na AWS společně v rámci jedné skupiny pro správu.

Správa konektorů AWS

Když vyberete konektor na stránce Konektory pro AWS, můžete provést tyto akce:

• Vybráním možnosti Přejít na fakturační účet zobrazíte informace o konsolidovaném účtu AWS.
• Vybráním služby Access Control můžete spravovat přiřazení role pro konektor.
• Vybráním možnosti Upravit můžete aktualizovat konektor. Číslo účtu AWS nemůžete změnit, protože se zobrazuje v názvu ARN role. Můžete ale vytvořit nový konektor.
• Vybráním možnosti Ověřit znovu spustíte ověřovací test, abyste se ujistili, že služba Cost Management smí shromažďovat data pomocí nastavení konektoru.

Nastavení skupin pro správu Azure

Vložením svého předplatného Azure a propojených účtů AWS do stejné skupiny pro správu vytvoříte jedno místo, kde uvidíte informace o poskytovateli z různých cloudů. Pokud chcete nakonfigurovat prostředí Azure se skupinami pro správu, přečtěte si téma Počáteční nastavení skupin pro správu.

Pokud chcete rozdělit náklady, můžete vytvořit skupinu pro správu, která obsahuje jenom propojené účty AWS.

Nastavení konsolidovaného účtu AWS

Konsolidovaný účet AWS spojuje fakturaci a platby několika účtů AWS. Funguje taky jako propojený účet AWS. Podrobnosti o konsolidovaném účtu AWS můžete zobrazit pomocí odkazu na stránce konektoru AWS.

Na této stránce můžete provést následující:

• Vybráním možnosti Aktualizovat můžete hromadně aktualizovat přidružení propojených účtů AWS ke skupině pro správu.
• Vybráním služby Access Control můžete nastavit přiřazení role pro rozsah.

Oprávnění pro konsolidovaný účet AWS

Ve výchozím nastavení jsou oprávnění pro konsolidovaný účet AWS nastavena při vytvoření účtu na základě oprávnění konektoru AWS. Vlastníkem je autor konektoru.

Úroveň přístupu můžete spravovat pomocí stránky Úroveň přístupu v konsolidovaném účtu AWS. Propojené účty AWS ale nedědí oprávnění ke konsolidovanému účtu AWS.

Nastavení propojeného účtu AWS

Propojený účet AWS je místo, kde se vytvářejí a spravují prostředky AWS. Propojený účet funguje také jako hranice zabezpečení.

Z této stránky můžete:

• Vybráním možnosti Aktualizovat můžete aktualizovat přidružení propojeného účtu AWS ke skupině pro správu.
• Vybráním služby Access Control můžete nastavit přiřazení role pro rozsah.

Oprávnění pro propojený účet AWS

Ve výchozím nastavení jsou oprávnění pro propojený účet AWS nastavena při vytvoření na základě oprávnění konektoru AWS. Vlastníkem je autor konektoru. Úroveň přístupu můžete spravovat pomocí stránky Úroveň přístupu v propojeném účtu AWS. Propojené účty AWS nedědí oprávnění z konsolidovaného účtu AWS.

Propojené účty AWS vždy dědí oprávnění ze skupiny pro správu, do které patří.

Další kroky

• Teď, když jste nastavili a nakonfigurovali integraci sestavy nákladů a využití AWS, pokračujte ve správě nákladů a využití AWS.
• Pokud nejste obeznámeni s analýzou nákladů, přečtěte si úvodní příručku Prozkoumání a analýza nákladů pomocí služby Analýza nákladů.
• Pokud v Azure neznáte rozpočty, přečtěte si téma Vytváření a správa rozpočtů.