Was ist Azure Resource Graph?

Azure Resource Graph ist ein Azure-Dienst, der die Azure-Ressourcenverwaltung mithilfe effizienter und leistungsstarker Ressourcenuntersuchung befähigen soll, übergreifend für eine bestimmte Menge von Abonnements nach Bedarf Abfragen durchzuführen, sodass Sie Ihre Umgebung effektiv beherrschen können. Diese Abfragen bieten die folgenden Funktionen:

  • Fähigkeit zum Abfragen von Ressourcen mit komplexem Filtern, Gruppieren und Sortieren nach Eigenschaften der Ressource.
  • Fähigkeit zum iterativen Untersuchen von Ressourcen, basierend auf Governanceanforderungen.
  • Möglichkeit zum Bewerten der Auswirkungen der Anwendung von Richtlinien in einer großen Cloudumgebung.
  • Abfragen von Änderungen der Ressourceneigenschaften (Vorschau).

In dieser Dokumentation wird jedes Feature ausführlich beschrieben.

Hinweis

Azure Resource Graph hebt mit der neuen Oberfläche zum Durchsuchen aller Ressourcen und dem Änderungsverlauf mit visuellem Diff von Azure Policy die Suchleiste des Azure-Portals auf ein neues Niveau. Sie dient zur Unterstützung von Kunden, die umfangreiche Umgebungen verwalten.

Hinweis

Dieser Dienst unterstützt Azure Lighthouse. Dies ermöglicht es Dienstanbietern, sich bei ihrem eigenen Mandanten anzumelden, um von Kunden delegierte Abonnements und Ressourcengruppen zu verwalten.

Wie Resource Graph Azure Resource Manager ergänzt

Azure Resource Manager unterstützt derzeit Abfragen über grundlegende Ressourcenfelder, insbesondere:

  • Ressourcenname
  • ID
  • type
  • Ressourcengruppe
  • Subscription
  • Standort

Azure Resource Manager bietet darüber hinaus Funktionen zum Aufrufen einzelner Ressourcenanbieter, um jeweils für eine Ressource auf die Detaileigenschaften zuzugreifen.

Mit Azure Resource Graph können Sie auf diese Eigenschaften zugreifen, die die Ressourcenanbieter zurückgeben, ohne jeden Ressourcenanbieter einzeln anrufen zu müssen. Eine Liste der unterstützten Ressourcentypen finden Sie in der Tabelle und der Referenz für Ressourcentypen. Alternativ können Sie die unterstützten Ressourcentypen über den Schemabrowser im Azure Resource Graph-Explorer anzeigen.

Mit Azure Resource Graph können Sie:

  • auf die Eigenschaften zugreifen, die die Ressourcenanbieter zurückgeben, ohne jeden Ressourcenanbieter einzeln anrufen zu müssen.
  • die letzten sieben Tage der Änderungen der Ressourcenkonfiguration anzeigen, um festzustellen, welche Eigenschaften wann geändert wurden. (Vorschauversion)

Hinweis

Als Previewfunktion stehen für einige type-Objekte zusätzliche Resource Manager-fremde Eigenschaften zur Verfügung. Weitere Informationen finden Sie unter Erweiterte Eigenschaften.

Wie Resource Graph auf dem aktuellen Stand gehalten wird

Beim Update einer Azure-Ressource wird Resource Graph durch Resource Manager über die Änderung informiert. Daraufhin aktualisiert Resource Graph seine Datenbank. Resource Graph führt außerdem regelmäßig eine vollständige Überprüfung durch. Durch diese Überprüfung wird sichergestellt, dass Resource Graph-Daten auch im Fall einer verpassten Benachrichtigung oder beim Update einer Ressource außerhalb von Resource Manager aktuell sind.

Hinweis

Resource Graph ruft Eigenschaften und Werte mittels GET über die neueste API-Version (keine Vorschauversion) des jeweiligen Ressourcenanbieters ab. Daher kann es vorkommen, dass die erwartete Eigenschaft nicht verfügbar ist. In einigen Fällen wurde die verwendete API-Version überschrieben, um in den Ergebnissen neuere oder gängigere Eigenschaften bereitzustellen. Eine vollständige Liste für Ihre Umgebung finden Sie im Beispiel Anzeigen der API-Version für die einzelnen Ressourcentypen.

Die Abfragesprache

Da Sie nun besser verstehen, was Azure Resource Graph ist, erfahren Sie nun, wie Sie Abfragen erstellen können.

Es ist wichtig zu wissen, dass die Abfragesprache von Azure Resource Graph auf der von Azure Data Explorer verwendeten Kusto-Abfragesprache (Kusto Query Language, KQL) basiert.

Informationen zu Vorgängen und Funktionen, die mit Azure Resource Graph verwendet werden können, finden Sie unter Grundlegendes zur Abfragesprache von Azure Resource Graph. Wie Sie Ressourcen durchsuchen, erfahren Sie unter Untersuchen Ihrer Azure-Ressourcen mit Resource Graph.

Berechtigungen in Azure Resource Graph

Um Resource Graph verwenden zu können, müssen Sie über die entsprechenden Rechte für die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) und mindestens über Lesezugriff auf die abzufragenden Ressourcen verfügen. Wenn Sie nicht mindestens read-Berechtigungen für das Azure-Objekt bzw. die Objektgruppe haben, werden keine Ergebnisse zurückgegeben.

Hinweis

Ressource Graph verwendet die Abonnements, die für einen Prinzipal während der Anmeldung verfügbar sind. Um Ressourcen eines neuen Abonnements anzuzeigen, die während einer aktiven Sitzung hinzugefügt wurden, muss der Prinzipal den Kontext aktualisieren. Diese Aktion erfolgt nach dem Abmelden und erneuten Anmelden automatisch.

Die Azure-Befehlszeilenschnittstelle und Azure PowerShell nutzen Abonnements, auf die der Benutzer Zugriff hat. Bei der direkten Verwendung der REST-API wird die Abonnementliste vom Benutzer bereitgestellt. Hat der Benutzer Zugriff auf eins der Abonnements in der Liste, werden die Abfrageergebnisse für die Abonnements zurückgegeben, auf die der Benutzer Zugriff hat. Dieses Verhalten entspricht dem Aufruf von Ressourcengruppen – Liste: Sie erhalten Ressourcengruppen, auf die Sie Zugriff haben, ohne dass ein Hinweis darauf besteht, dass das Ergebnis teilweise ist. Sind in der Abonnementliste keine Abonnements vorhanden, für die der Benutzer über die entsprechenden Berechtigungen verfügt, lautet die Antwort 403 (Verboten).

Hinweis

In der REST-API-Vorschauversion2020-04-01-preview wird die Abonnementliste unter Umständen ausgelassen. Wenn die Eigenschaften subscriptions und managementGroupId in der Anforderung nicht definiert sind, wird der Bereich (scope) auf den Mandanten festgelegt. Weitere Informationen finden Sie unter Abfragebereich.

Drosselung

Abfragen an Ressource Graph werden bei der Ausführung als kostenloser Dienst gedrosselt, um für alle Kunden die beste Erfahrung und Antwortzeit bereitzustellen. Wenn Ihre Organisation die Resource Graph-API für umfangreiche und häufige Abfragen verwenden möchte, verwenden Sie das Feedback-Portal auf der Portal-Seite zu Resource Graph. Geben Sie Ihr Geschäftsszenario an, und aktivieren Sie das Kontrollkästchen Microsoft darf mich bezüglich meines Feedbacks per E-Mail kontaktieren, damit das Team Sie kontaktieren kann.

Resource Graph drosselt Abfragen auf Benutzerebene. Die Dienstantwort enthält die folgenden HTTP-Header:

  • x-ms-user-quota-remaining (int): Das verbleibende Ressourcenkontingent für den Benutzer. Dieser Wert entspricht der Anzahl von Abfragen.
  • x-ms-user-quota-resets-after (hh:mm:ss): Der Zeitraum, bis das Kontingent eines Benutzers zurückgesetzt wird

Weitere Informationen finden Sie in der Anleitung für gedrosselte Anforderungen.

Ausführen Ihrer ersten Abfrage

Der Azure Resource Graph-Explorer im Azure-Portal ermöglicht die Ausführung von Resource Graph-Abfragen direkt im Azure-Portal. Heften Sie die Ergebnisse als dynamische Diagramme an, um dynamische Echtzeitinformationen für den Portalworkflow bereitzustellen. Weitere Informationen finden Sie unter Quickstart: Run your first Resource Graph query using Azure Resource Graph Explorer (Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers).

Resource Graph unterstützt die Azure-Befehlszeilenschnittstelle, Azure PowerShell, das Azure SDK für Python u. v. m. Die Abfrage ist für alle Sprachen gleich strukturiert. Lesen Sie, wie Sie Resource Graph mit einer der folgenden Komponenten aktivieren:

Nächste Schritte