Was ist Azure Resource Graph?

  • Artikel

Azure Resource Graph ist ein Azure-Dienst, der die Azure-Ressourcenverwaltung mithilfe effizienter und leistungsstarker Ressourcenuntersuchung befähigen soll, übergreifend für eine bestimmte Menge von Abonnements nach Bedarf Abfragen durchzuführen, sodass Sie Ihre Umgebung effektiv beherrschen können. Diese Abfragen bieten die folgenden Funktionen:

  • Fähigkeit zum Abfragen von Ressourcen mit komplexem Filtern, Gruppieren und Sortieren nach Eigenschaften der Ressource.
  • Fähigkeit zum iterativen Untersuchen von Ressourcen, basierend auf Governanceanforderungen.
  • Bewerten Sie die Auswirkungen der Anwendung von Richtlinien in einer großen Cloudumgebung.
  • Abfragen von Änderungen der Ressourceneigenschaften

In dieser Dokumentation wird jedes Feature ausführlich behandelt.

Hinweis

Azure Resource Graph hebt mit der neuen Oberfläche zum Durchsuchen aller Ressourcen und dem Änderungsverlauf mit visuellem Diff von Azure Policy die Suchleiste des Azure-Portals auf ein neues Niveau. Sie dient zur Unterstützung von Kunden, die umfangreiche Umgebungen verwalten.

Hinweis

Dieser Dienst unterstützt Azure Lighthouse. Dies ermöglicht es Dienstanbietern, sich bei ihrem eigenen Mandanten anzumelden, um von Kunden delegierte Abonnements und Ressourcengruppen zu verwalten.

Wie Resource Graph Azure Resource Manager ergänzt

Azure Resource Manager unterstützt derzeit Abfragen über grundlegende Ressourcenfelder, insbesondere:

  • Ressourcenname
  • ID
  • type
  • Ressourcengruppe
  • Subscription
  • Standort

Azure Resource Manager bietet darüber hinaus Funktionen zum Aufrufen einzelner Ressourcenanbieter, um jeweils für eine Ressource auf die Detaileigenschaften zuzugreifen.

Mit Azure Resource Graph können Sie auf diese Eigenschaften zugreifen, die die Ressourcenanbieter zurückgeben, ohne jeden Ressourcenanbieter einzeln anrufen zu müssen. Eine Liste der unterstützten Ressourcentypen finden Sie in der Tabelle und der Referenz für Ressourcentypen. Alternativ können Sie die unterstützten Ressourcentypen über den Schemabrowser im Azure Resource Graph-Explorer anzeigen.

Mit Azure Resource Graph können Sie:

  • auf die Eigenschaften zugreifen, die die Ressourcenanbieter zurückgeben, ohne jeden Ressourcenanbieter einzeln anrufen zu müssen.
  • Zeigen Sie die letzten 14 Tage der Änderungen der Ressourcenkonfiguration an, um festzustellen, welche Eigenschaften wann geändert wurden.

Hinweis

Als Previewfunktion stehen für einige type-Objekte zusätzliche Resource Manager-fremde Eigenschaften zur Verfügung. Weitere Informationen finden Sie unter Erweiterte Eigenschaften.

Wie Resource Graph auf dem aktuellen Stand gehalten wird

Beim Update einer Azure-Ressource wird Azure Resource Graph von Azure Resource Manager über die Änderung informiert. Daraufhin aktualisiert Azure Resource Graph seine Datenbank. Azure Resource Graph führt außerdem regelmäßig eine vollständige Überprüfung durch. Durch diese Überprüfung wird sichergestellt, dass Azure Resource Graph-Daten auch im Fall einer verpassten Benachrichtigung oder beim Update einer Ressource außerhalb von Azure Resource Manager aktuell sind.

Hinweis

Resource Graph ruft Eigenschaften und Werte mittels GET über die neueste API-Version (keine Vorschauversion) des jeweiligen Ressourcenanbieters ab. Daher kann es vorkommen, dass die erwartete Eigenschaft nicht verfügbar ist. In einigen Fällen wurde die verwendete API-Version überschrieben, um in den Ergebnissen neuere oder gängigere Eigenschaften bereitzustellen. Eine vollständige Liste für Ihre Umgebung finden Sie im Beispiel Anzeigen der API-Version für die einzelnen Ressourcentypen.

Die Abfragesprache

Da Sie nun besser verstehen, was Azure Resource Graph ist, erfahren Sie nun, wie Sie Abfragen erstellen können.

Es ist wichtig zu wissen, dass die Abfragesprache von Azure Resource Graph auf der von Azure Data Explorer verwendeten Kusto-Abfragesprache (Kusto Query Language, KQL) basiert.

Informationen zu Vorgängen und Funktionen, die mit Azure Resource Graph verwendet werden können, finden Sie unter Grundlegendes zur Abfragesprache von Azure Resource Graph. Wie Sie Ressourcen durchsuchen, erfahren Sie unter Untersuchen Ihrer Azure-Ressourcen mit Resource Graph.

Berechtigungen in Azure Resource Graph

Um Resource Graph verwenden zu können, müssen Sie über die entsprechenden Rechte für die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) und mindestens über read-Zugriff auf die abzufragenden Ressourcen verfügen. Wenn Sie nicht mindestens über read-Berechtigungen für das Azure-Objekt oder die Objektgruppe verfügen, werden keine Ergebnisse zurückgegeben.

Hinweis

Ressource Graph verwendet die Abonnements, die für einen Prinzipal während der Anmeldung verfügbar sind. Um Ressourcen eines neuen Abonnements anzuzeigen, die während einer aktiven Sitzung hinzugefügt wurden, muss der Prinzipal den Kontext aktualisieren. Diese Aktion erfolgt nach dem Abmelden und erneuten Anmelden automatisch.

Die Azure-Befehlszeilenschnittstelle und Azure PowerShell nutzen Abonnements, auf die der Benutzer Zugriff hat. Bei Verwendung der REST-API wird die Abonnementliste von den Benutzer*innen bereitgestellt. Hat der Benutzer Zugriff auf eins der Abonnements in der Liste, werden die Abfrageergebnisse für die Abonnements zurückgegeben, auf die der Benutzer Zugriff hat. Dies ist das gleiche Verhalten wie beim Aufrufen von Ressourcengruppen – Liste, denn Sie erhalten Ressourcengruppen, auf die Sie zugreifen können, ohne Hinweis darauf, dass das Ergebnis möglicherweise unvollständig ist. Sind in der Abonnementliste keine Abonnements vorhanden, für die der Benutzer über die entsprechenden Berechtigungen verfügt, lautet die Antwort 403 (Verboten).

Hinweis

In der REST-API-Vorschauversion2020-04-01-preview wird die Abonnementliste unter Umständen ausgelassen. Wenn die Eigenschaften subscriptions und managementGroupId in der Anforderung nicht definiert sind, wird der Bereich (scope) auf den Mandanten festgelegt. Weitere Informationen finden Sie unter Abfragebereich.

Drosselung

Abfragen an Ressource Graph werden bei der Ausführung als kostenloser Dienst gedrosselt, um für alle Kunden die beste Erfahrung und Antwortzeit bereitzustellen. Wenn Ihre Organisation die Resource Graph-API für umfangreiche und häufige Abfragen verwenden möchte, verwenden Sie das Feedback-Portal auf der Portal-Seite zu Resource Graph. Geben Sie Ihr Geschäftsszenario an, und aktivieren Sie das Kontrollkästchen Microsoft darf mich bezüglich meines Feedbacks per E-Mail kontaktieren, damit das Team Sie kontaktieren kann.

Resource Graph drosselt Abfragen auf Benutzerebene. Die Dienstantwort enthält die folgenden HTTP-Header:

  • x-ms-user-quota-remaining (int): Das verbleibende Ressourcenkontingent für den Benutzer. Dieser Wert entspricht der Anzahl von Abfragen.
  • x-ms-user-quota-resets-after (hh:mm:ss): Der Zeitraum, bis das Kontingent eines Benutzers zurückgesetzt wird

Weitere Informationen finden Sie in der Anleitung für gedrosselte Anforderungen.

Ausführen Ihrer ersten Abfrage

Der Azure Resource Graph-Explorer im Azure-Portal ermöglicht die Ausführung von Resource Graph-Abfragen direkt im Azure-Portal. Heften Sie die Ergebnisse als dynamische Diagramme an, um dynamische Echtzeitinformationen für den Portalworkflow bereitzustellen. Weitere Informationen finden Sie unter Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers.

Resource Graph unterstützt auch Azure CLI, Azure PowerShell und REST-API. Die Abfrage ist für alle Sprachen gleich strukturiert. Lesen Sie, wie Sie Resource Graph mit einer der folgenden Komponenten aktivieren:

Integration von Warnungen in Log Analytics

Hinweis

Die Integration von Azure Resource Graph-Warnungen in Log Analytics befindet sich in der öffentlichen Vorschau.

Sie können Warnungsregeln erstellen, indem Sie entweder Azure Resources Graph-Abfragen verwenden oder Log Analytics über Azure Monitor in Azure Resources Graph-Abfragen integrieren. Beide Methoden können verwendet werden, um Warnungen für Azure-Ressourcen zu erstellen. Beispiele finden Sie unter Schnellstart: Erstellen von Warnungen mit Azure Resource Graph und Log Analytics.

Ausführen von Abfragen mit Power BI-Connector

Hinweis

Der Azure Resource Graph Power BI-Connector befindet sich in der öffentlichen Vorschau.

Der Azure Resource Graph Power BI-Connector führt Abfragen auf Mandantenebene aus, Sie können den Bereich aber in Abonnement oder Verwaltungsgruppe ändern. Der Power BI-Connector verfügt über eine optionale Einstellung, um alle Datensätze zurückzugeben, wenn die Abfrageergebnisse mehr als 1.000 Datensätze aufweisen. Weitere Informationen erhalten Sie in der Schnellstartanleitung: Ausführen von Abfragen mit dem Azure Resource Graph Power BI-Connector.

Nächste Schritte