Einrichten und Konfigurieren der Integration von AWS-Kosten- und Nutzungsberichten

Mit der Integration der Kosten- und Nutzungsberichte (Cost and Usage Report, CUR) von Amazon Web Services (AWS) überwachen und steuern Sie Ihre AWS-Ausgaben in Cost Management. Die Integration bietet Ihnen die Möglichkeit, Ausgaben für Azure und AWS zentral im Azure-Portal zu überwachen und zu steuern. In diesem Artikel wird erläutert, wie Sie die Integration einrichten und so konfigurieren, dass Sie die Cost Management-Features zur Kostenanalyse und Budgetüberprüfung nutzen können.

Cost Management verarbeitet den in einem S3-Bucket gespeicherten AWS-Kosten- und Nutzungsbericht, indem es Ihre AWS-Anmeldeinformationen verwendet, um Berichtsdefinitionen abzurufen und GZIP-CSV-Berichtsdateien herunterzuladen.

Erstellen eines Kosten- und Nutzungsberichts in AWS

AWS empfiehlt zur Erfassung und Verarbeitung von AWS-Kosten die Verwendung eines Kosten- und Nutzungsberichts. Der cloudübergreifende Cost Management-Connector unterstützt Kosten- und Nutzungsberichte, die auf der Verwaltungskontoebene (konsolidiert) konfiguriert werden. Weitere Informationen finden Sie in der Dokumentation zum AWS Cost and Usage Report (AWS-Kosten- und Nutzungsbericht).

Verwenden Sie die Seite Cost & Usage Reports (Kosten- und Nutzungsberichte) der Billing and Cost Management Console in AWS, um mit den folgenden Schritten einen Kosten- und Nutzungsbericht zu erstellen:

1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die Billing and Cost Management Console (Abrechnungs- und Kostenverwaltungskonsole).
2. Wählen Sie im Navigationsbereich Cost & Usage Reports aus.
3. Wählen Sie Create report (Bericht erstellen) aus.
4. Geben Sie für Report name (Berichtsname) einen Namen für den Bericht ein.
5. Wählen Sie unter Additional report details (Weitere Berichtsdetails) die Option Include resource IDs (Ressourcen-IDs einschließen) aus.
6. Wählen Sie für Data refresh settings (Datenaktualisierungseinstellungen) aus, ob der AWS-Kosten- und Nutzungsbericht aktualisiert werden soll, wenn AWS nach der abschließenden Bearbeitung Ihrer Rechnung Rückerstattungen, Gutschriften oder Supportgebühren auf Ihrem Konto verbucht. Wenn ein Bericht aktualisiert wird, wird ein neuer Bericht auf Amazon S3 hochgeladen. Es wird empfohlen, die Einstellung aktiviert zu lassen.
7. Wählen Sie Weiter aus.
8. Wählen Sie für S3 bucket (S3-Bucket) die Option Configure (Konfigurieren) aus.
9. Geben Sie im Dialogfeld „Configure S3 Bucket“ (S3-Bucket konfigurieren) einen Bucketnamen und die Region ein, in der Sie einen neuen Bucket erstellen möchten, und wählen Sie Next (Weiter) aus.
10. Wählen Sie I have confirmed that this policy is correct (Ich habe bestätigt, dass diese Richtlinie richtig ist) aus, und wählen Sie dann Save (Speichern) aus.
11. (Optional) Geben Sie unter „Report path prefix“ (Berichtspfadpräfix) das Berichtspfadpräfix ein, das dem Namen Ihres Berichts vorangestellt werden soll.
    Wenn Sie dies überspringen, ist das Standardpräfix der Name, den Sie für den Bericht angegeben haben. Der Datumsbereich hat das Format /report-name/date-range/.
12. Für Zeiteinheit wählen Sie Stündlich aus.
13. Wählen Sie für Report versioning (Berichtsversionsverwaltung) aus, ob neue Berichtsversionen die vorherigen Berichtsversionen überschreiben oder ob weitere neue Berichte erstellt werden sollen.
14. Für Enable data integration for (Datenintegration aktivieren für) ist keine Auswahl erforderlich.
15. Für Komprimierung wählen Sie die Option GZIP aus.
16. Wählen Sie Weiter aus.
17. Nachdem Sie die Einstellungen für Ihren Bericht überprüft haben, wählen Sie Review and Complete aus.
    Notieren Sie sich den Berichtsnamen. Sie benötigen ihn später.

Es kann bis zu 24 Stunden dauern, bis AWS mit der Übermittlung von Berichten an Ihren Amazon S3-Bucket beginnt. Nach dem Start der Übermittlung aktualisiert AWS mindestens einmal täglich die Dateien für den AWS-Kosten- und Nutzungsbericht. Sie können Ihre AWS-Umgebung weiter konfigurieren, ohne auf den Start der Übermittlung zu warten.

Hinweis

Kosten- und Nutzungsberichte, die auf Mitgliedskontoebene (mit Verknüpfung) konfiguriert werden, werden derzeit nicht unterstützt.

Erstellen einer Richtlinie und einer Rolle in AWS

Cost Management greift mehrmals täglich auf den S3-Bucket zu, in dem sich der Kosten- und Nutzungsbericht befindet. Der Dienst benötigt Zugriff auf Anmeldeinformationen, um zu überprüfen, ob neue Daten vorliegen. Sie erstellen eine Rolle und eine Richtlinie in AWS, um Cost Management den Zugriff darauf zu erlauben.

Um den rollenbasierten Zugriff auf ein AWS-Konto im Cost Management zu ermöglichen, wird die Rolle in der AWS-Konsole angelegt. Sie benötigen Rollen-ARN und externe ID aus der AWS-Konsole. Diese Angaben benötigen Sie später auf der Seite AWS-Connector erstellen in Azure Cost Management.

Verwenden des Assistenten zum Erstellen von Richtlinien

1. Melden Sie sich bei Ihrer AWS-Konsole an, und wählen Sie Services aus.
2. Wählen Sie in der Liste der Dienste IAM aus.
3. Wählen Sie Richtlinien aus.
4. Wählen Sie Create policy (Richtlinie erstellen) aus.
5. Wählen Sie Choose a service (Dienst auswählen) aus.

Konfigurieren Sie die Berechtigung für den Kosten- und Nutzungsbericht.

1. Geben Sie Cost and Usage Report (Kosten- und Nutzungsbericht) ein.
2. Wählen Sie Access level (Zugriffsebene)>Read (Lesen)>DescribeReportDefinitions aus. Dieser Schritt ermöglicht Cost Management zu lesen, welche CUR-Berichte definiert sind, und festzustellen, ob sie der Voraussetzung für die Berichtsdefinition entsprechen.
3. Wählen Sie Add more permissons aus:

Konfigurieren von Berechtigungen für Ihren S3-Bucket und Objekte

1. Wählen Sie Choose a service (Dienst auswählen) aus.
2. Geben Sie S3 ein.
3. Wählen Sie Access level>List (Liste)>ListBucket aus. Diese Aktion ruft die Liste der Objekte im S3-Bucket ab.
4. Wählen Sie Access level>Read>GetObject aus. Diese Aktion ermöglicht das Herunterladen der Abrechnungsdateien.
5. Wählen Sie Resources>Specific aus.
6. Wählen Sie unter bucket den Link Add ARNs aus, um ein weiteres Fenster zu öffnen.
7. Geben Sie unter Resource Bucket name den Bucket ein, der zum Speichern der CUR-Dateien verwendet wird.
8. Wählen Sie Add ARNs aus.
9. Wähle Sie unter object die Option Any aus.
10. Wählen Sie Add more permissons aus:

Konfigurieren von Berechtigungen für Cost Explorer

1. Wählen Sie Choose a service (Dienst auswählen) aus.
2. Geben Sie Cost Explorer Service ein.
3. Wählen Sie Alle Cost Explorer Service-Aktionen (ce:*) aus. Diese Aktion überprüft, ob die Sammlung richtig ist.
4. Wählen Sie Add more permissons aus:

Hinzufügen von Berechtigungen für AWS-Organisationen

1. Geben Sie Organizations (Organisationen) ein.
2. Wählen Sie Access level>List>ListAccounts aus. Diese Aktion ruft die Namen der Konten ab.
3. Wählen Sie Add more permissons aus:

Konfigurieren von Berechtigungen für Richtlinien

1. Geben Sie IAM ein.
2. Wählen Sie „Access level“ (Zugriffsebene) > „List“ (Liste) >ListAttachedRolePolicies und ListPolicyVersions und ListRoles aus.
3. Wählen Sie „Access level“ > „Read“ (Lesen) >GetPolicyVersion aus.
4. Wählen Sie Ressourcen> „Richtlinie“ und dann Alle aus. Mit diesen Aktionen kann überprüft werden, ob dem Connector nur der minimal erforderliche Berechtigungssatz gewährt wurde.
5. Wählen Sie Weiter aus.

Überprüfen und erstellen

1. Geben Sie unter Überprüfungsrichtlinie einen Namen für die neue Richtlinie ein. Vergewissern Sie sich, dass Sie die richtigen Informationen eingegeben haben.
2. Tags hinzufügen. Sie können Tags eingeben, die Sie verwenden möchten, oder diesen Schritt überspringen. Dieser Schritt ist nicht erforderlich, um einen Connector in Cost Management zu erstellen.
3. Wählen Sie Create policy aus, um dieses Verfahren abzuschließen.

Der JSON-Code der Richtlinie sollte wie im folgenden Beispiel aussehen: Ersetzen Sie bucketname durch den Namen Ihres S3-Buckets, accountname durch Ihre Kontonummer und rolename durch den von Ihnen erstellten Rollennamen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Verwenden des Assistenten „Create a New Role“

1. Melden Sie sich bei Ihrer AWS-Konsole an, und wählen Sie Services (Dienste) aus.
2. Wählen Sie in der Liste der Dienste IAM aus.
3. Wählen Sie Roles (Rollen) und dann Create Role (Rolle erstellen) aus.
4. Wählen Sie auf der Seite Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS account (AWS-Konto) und dann unter An AWS account (Ein AWS-Konto) die Option Another AWS account (Ein anderes AWS-Konto) aus.
5. Geben Sie unter Account ID (Konto-ID) die Zahlenfolge 432263259397 ein.
6. Wählen Sie unter Options (Optionen) den Eintrag Require external ID (Best practice when a third party will assume this role) (Externe ID erfordern (Best Practice ist, wenn ein Dritter diese Rolle übernimmt)) aus.
7. Geben Sie unter External ID (Externe ID) die externe ID ein. Hierbei handelt es sich um einen gemeinsamen Passcode für die AWS-Rolle und Cost Management. Notieren Sie sich die externe ID. Sie verwenden sie auf der Seite Neuer Connector in Cost Management. Microsoft empfiehlt, bei der Eingabe der externen ID eine Richtlinie für starke Kennwörter zu verwenden. Die externe ID sollte den AWS-Einschränkungen entsprechen:
   • Typ: String
   • Längeneinschränkungen: Mindestlänge 2. Die maximale Länge beträgt 1224.
   • Muss dem Muster des regulären Ausdrucks entsprechen: [\w+=,.@: /-]*

   Hinweis

   Ändern Sie nicht die Auswahl für Require MFA (MFA anfordern). Dieses Feld sollte leer bleiben.

8. Wählen Sie Weiter aus.
9. Suchen Sie über die Suchleiste nach der neuen Richtlinie, und wählen Sie sie aus.
10. Wählen Sie Weiter aus.
11. Geben Sie unter Role details einen Rollennamen ein. Vergewissern Sie sich, dass Sie die richtigen Informationen eingegeben haben. Notieren Sie sich den eingegebenen Namen, da Sie ihn später bei der Einrichtung des Cost Management-Connectors verwenden.
12. Fügen Sie optional Tags hinzu. Sie können beliebige Tags eingeben oder diesen Schritt überspringen. Dieser Schritt ist nicht erforderlich, um einen Connector in Cost Management zu erstellen.
13. Wählen Sie Create role (Rolle erstellen) aus.

Einrichten eines neuen Connectors für AWS in Azure

Verwenden Sie die folgenden Informationen, um einen AWS-Connector zu erstellen und mit der Überwachung Ihrer AWS-Kosten zu beginnen.

Hinweis

Der Connector für AWS bleibt nach Abschluss des Testzeitraums aktiv, wenn Sie die automatische Verlängerung während der anfänglichen Einrichtung auf On (Ein) festlegen. Andernfalls ist der Connector nach der Testphase deaktiviert. Er kann für drei Monate deaktiviert bleiben, bevor er endgültig gelöscht wird. Nachdem der Connector gelöscht wurde, kann die gleiche Verbindung nicht reaktiviert werden. Wenn Sie Hilfe zu einem deaktivierten Connector erhalten oder eine neue Verbindung erstellen möchten, nachdem er gelöscht wurde, erstellen Sie eine Supportanfrage im Azure-Portal.

Voraussetzungen

• Stellen Sie sicher, dass mindestens eine Verwaltungsgruppe aktiviert ist. Eine Verwaltungsgruppe ist erforderlich, um Ihr Abonnement mit dem AWS-Dienst zu verknüpfen. Weitere Informationen zum Erstellen einer Verwaltungsgruppe finden Sie unter Schnellstart: Erstellen einer Verwaltungsgruppe.
• Vergewissern Sie sich, dass Sie Administrator für das Abonnement sind.
• Schließen Sie die Einrichtung ab, die für einen neuen AWS-Connector erforderlich ist, wie im Abschnitt Erstellen eines Kosten- und Nutzungsberichts in AWS beschrieben.

Erstellen eines neuen Connectors

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Kostenverwaltung + Abrechnung, und wählen Sie bei Bedarf einen Abrechnungsbereich aus.
3. Wählen Sie Kostenanalyse und dann Einstellungen aus.
4. Wählen Sie Connectors für AWS aus.
5. Wählen Sie Connector hinzufügen aus.
6. Geben Sie auf der Seite Connector erstellen in Anzeigename einen Namen für Ihren Connector ein.
   
7. Wählen Sie optional die Standardverwaltungsgruppe aus. Darin werden alle erkannten verknüpften Konten gespeichert. Sie können sie später einrichten.
8. Wählen Sie im Abschnitt Abrechnung für Automatische Verlängerung die Option Ein aus, wenn Sie den kontinuierlichen Betrieb sicherstellen möchten. Wenn Sie die automatische Option auswählen, müssen Sie ein Abrechnungsabonnement auswählen.
9. Geben Sie für ARN-Rolle den Wert ein, den Sie beim Einrichten der Rolle in AWS verwendet haben.
10. Geben Sie für Externe ID den Wert ein, den Sie beim Einrichten der Rolle in AWS verwendet haben.
11. Geben Sie für Berichtsnamen den Namen ein, den Sie in AWS erstellt haben.
12. Wählen Sie Weiter und anschließend Erstellen aus.

Es kann einige Stunden dauern, bis die neuen AWS-Bereiche, das konsolidierte AWS-Konto, die verknüpften AWS-Konten und deren Kostendaten angezeigt werden.

Nachdem Sie den Connector erstellt haben, sollten Sie dem Connector eine Zugriffssteuerung zuweisen. Benutzern werden Berechtigungen für die neu erkannten Bereiche zugewiesen: Konsolidiertes AWS-Konto und verknüpfte AWS-Konten. Der Benutzer, der den Connector erstellt, ist der Besitzer des Connectors, des konsolidierten Kontos und aller verknüpften Konten.

Wenn den Benutzern nach dem Erkennen Connectorberechtigungen zugewiesen werden, werden den vorhandenen AWS-Bereichen keine Berechtigungen zugewiesen. Stattdessen werden nur neu verknüpften Konten Berechtigungen zugewiesen.

Unternehmen Sie weitere Schritte

• Richten Sie Verwaltungsgruppen ein, sofern das noch nicht geschehen ist.
• Stellen Sie sicher, dass Ihrer Bereichsauswahl neue Bereiche hinzugefügt wurden. Wählen Sie Aktualisieren aus, um die neuesten Daten anzuzeigen.
• Wählen Sie auf der Seite Cloudconnectors Ihren Connector aus, und klicken Sie auf Zu Abrechnungskonto wechseln, um das verknüpfte Konto Verwaltungsgruppen zuzuweisen.

Hinweis

Verwaltungsgruppen werden derzeit nicht für Microsoft-Kundenvereinbarung-Kunden (Microsoft Customer Agreement, MCA) unterstützt. MCA-Kunden können den Connector erstellen und ihre AWS-Daten anzeigen. Allerdings können MCA-Kunden ihre Azure-Kosten und AWS-Kosten nicht zusammen in einer Verwaltungsgruppe anzeigen.

Verwalten von AWS-Connectors

Wenn Sie auf der Seite Connectors für AWS einen Connector auswählen, haben Sie folgende Möglichkeiten:

• Wählen Sie Zu Abrechnungskonto wechseln aus, um Informationen zum konsolidierten AWS-Konto anzuzeigen.
• Wählen Sie Zugriffssteuerung aus, um die Rollenzuweisung für den Connector zu verwalten.
• Wählen Sie Bearbeiten aus, um den Connector zu aktualisieren. Sie können die AWS-Kontonummer nicht ändern, weil sie in der Rollen-ARN angezeigt wird. Sie können jedoch einen neuen Connector erstellen.
• Wählen Sie Überprüfen aus, um den Überprüfungstest erneut auszuführen, um sicherzustellen, dass Cost Management Daten mithilfe der Connectoreinstellungen erfassen kann.

Einrichten von Azure-Verwaltungsgruppen

Ordnen Sie Ihre Azure-Abonnements und verknüpften AWS-Konten in derselben Verwaltungsgruppe ein, um einen zentralen Ort für die Anzeige von cloudübergreifenden Anbieterinformationen zu erstellen. Wenn Sie Ihre Azure-Umgebung mit Verwaltungsgruppen konfigurieren möchten, finden Sie unter Erstmalige Einrichtung von Verwaltungsgruppen weitere Informationen.

Wenn Sie die Kosten trennen möchten, können Sie eine Verwaltungsgruppe anlegen, die nur die mit verknüpften AWS-Konten enthält.

Einrichten eines konsolidierten AWS­-Kontos

Im konsolidierten AWS-Konto sind Abrechnungen und Zahlungen für mehrere AWS-Konten kombiniert. Es fungiert außerdem als verknüpftes AWS-Konto. Sie können die Details zu Ihrem konsolidierten AWS-Konto über den Link auf der AWS-Connectorseite anzeigen.

Auf der Seite haben Sie folgende Möglichkeiten:

• Wählen Sie Aktualisieren aus, um eine Massenaktualisierung der Zuordnung verknüpfter AWS-Konten zu einer Verwaltungsgruppe durchzuführen.
• Wählen Sie Zugriffssteuerung aus, um die Rollenzuweisung für den Bereich einzurichten.

Berechtigungen für ein konsolidiertes AWS­-Konto

Standardmäßig werden die Berechtigungen für ein konsolidiertes AWS-Konto beim Erstellen des Kontos basierend auf den Berechtigungen des AWS-Connectors festgelegt. Der Ersteller des Connectors ist der Besitzer.

Sie verwalten die Zugriffsebene, indem Sie die Seite Zugriffsebene des konsolidierten AWS-Kontos verwenden. Verknüpfte AWS-Konten erben jedoch keine Berechtigungen für das konsolidierte AWS-Konto.

Einrichten eines verknüpften AWS-Kontos

Im verknüpften AWS-Konto werden AWS-Ressourcen erstellt und verwaltet. Ein verknüpftes Konto fungiert auch als Sicherheitsgrenze.

Auf der Seite haben Sie folgende Möglichkeiten:

• Wählen Sie Aktualisieren aus, um eine Aktualisierung der Zuordnung eines verknüpften AWS-Kontos zu einer Verwaltungsgruppe durchzuführen.
• Wählen Sie Zugriffssteuerung aus, um eine Rollenzuweisung für den Bereich einzurichten.

Berechtigungen für ein verknüpftes AWS-Konto

Standardmäßig werden die Berechtigungen für ein verknüpftes AWS-Konto basierend auf den Berechtigungen des AWS-Connectors beim Erstellen festgelegt. Der Ersteller des Connectors ist der Besitzer. Sie verwalten die Zugriffsebene, indem Sie die Seite Zugriffsebene des verknüpften AWS-Kontos verwenden. Verknüpfte AWS-Konten erben jedoch keine Berechtigungen von einem konsolidierten AWS-Konto.

Verknüpfte AWS-Konten erben immer Berechtigungen von der Verwaltungsgruppe, zu der sie gehören.

Nächste Schritte

• Nachdem Sie nun die Integration des AWS-Kosten- und Nutzungsberichts eingerichtet und konfiguriert haben, fahren Sie mit Verwalten von AWS-Kosten und -Nutzung fort.
• Wenn Sie mit der Kostenanalyse nicht vertraut sind, lesen Sie den Schnellstart Ermitteln und Analysieren von Kosten mit der Kostenanalyse.
• Wenn Sie mit Budgets in Azure nicht vertraut sind, lesen Sie Erstellen und Verwalten von Budgets.