Instalar y configurar la integración de informes de uso y costo de AWS

Nota:

El conector para AWS en el servicio Cost Management se retira el 31 de marzo de 2025. Los usuarios deben considerar soluciones alternativas para los informes de administración de costes de AWS. El 31 de marzo de 2024, Azure deshabilitará la capacidad de agregar nuevos conectores para AWS para todos los clientes. Para obtener más información, vea Retirar el conector de Amazon Web Services (AWS).

Con la integración de informes de uso y costo (CUR) de Amazon Web Services (AWS), supervisa y controla los gastos de AWS en Cost Management. La integración permite tener una sola ubicación en Azure Portal donde supervisar y controlar el gasto de Azure y AWS. En este artículo se explica cómo instalar la integración y cómo configurarla para usar las características de Cost Management para analizar los costos y revisar los presupuestos.

Cost Management procesa el informe de uso y costo de AWS almacenado en un bucket de S3 con sus credenciales de acceso de AWS para obtener las definiciones del informe y descargar archivos GZIP CSV del informe.

Crear un informe de uso y costo en AWS

Usar un informe de uso y costo es la manera recomendada de AWS para recopilar y procesar los costos de AWS. El conector de Cost Management Cross Cloud admite informes de costes y uso configurados a nivel de cuenta de gestión (consolidada). Para obtener más información, consulte la documentación de AWS Cost and Usage Report (Informe de uso y costo de AWS).

Use la página Informes de uso y costo de la consola de Administración de costos y facturación de AWS para crear un informe de uso y costo con los pasos siguientes:

1. Inicie sesión en la consola de Administración de AWS y abra la Consola de administración de costos y facturación.
2. Seleccione Cost & Usage Reports (Informes de costo y uso) en el panel de navegación.
3. Seleccione Crear informe.
4. En Nombre del informe, escriba un nombre para el informe.
5. En Detalles de informes adicionales, seleccione Incluir ID de recurso.
6. En Configuración de actualización de datos, seleccione si desea que el informe de uso y costo de AWS se actualice si AWS aplica reembolsos, créditos o honorarios de soporte técnico a su cuenta después de finalizar la factura. Cuando se actualiza un informe, se carga un nuevo informe a Amazon S3. Se recomienda dejar la opción seleccionada.
7. Seleccione Next (Siguiente).
8. En Bucket de S3, elija Configurar.
9. En el cuadro de diálogo Configure S3 Bucket (Configurar cubo S3), escriba un nombre de cubo y la región en la que desea crear un nuevo cubo y elija Next (Siguiente).
10. Seleccione I have confirmed that this policy is correct y seleccione Save.
11. (Opcional) En Prefijo de la ruta del informe, escriba el prefijo de la ruta de acceso del informe que quiera antes del nombre del informe.
    Si se omite, el prefijo predeterminado es el nombre que especificó para el informe. El intervalo de fechas tiene el formato /report-name/date-range/.
12. Para Time unit (Unidad de tiempo), elija Hourly (Por horas).
13. En Report versioning, elija si desea que cada versión del informe sobrescriba la versión anterior o si desea informes nuevos adicionales.
14. En Habilitar la integración de datos de informe para, no se requiere ninguna selección.
15. Para Tipo de compresión, seleccione GZIP.
16. Seleccione Siguiente.
17. Una vez que haya revisado la configuración para el informe, seleccione Revisar y completar.
    Anote el nombre del informe. Lo usará en pasos posteriores.

Pueden transcurrir hasta 24 horas para que AWS empiece a entregar informes en el bucket de Amazon S3. Cuando se inicia la entrega, AWS actualiza los archivos de informe de uso y costo de AWS al menos una vez al día. Puede seguir configurando un entorno de AWS sin tener que esperar la entrega para empezar.

Nota

Actualmente no se admiten los informes de costo y uso configurados en el nivel de cuenta de miembro (vinculado).

Creación de una directiva y un rol en AWS

Cost Management tiene acceso al cubo de S3 donde se encuentra el informe de uso y costo varias veces al día. El servicio necesita acceso a las credenciales para verificar si hay nuevos datos. Se crea un rol y una directiva en AWS para permitir que Cost Management acceda a ellas.

Para habilitar el acceso basado en roles para una cuenta de AWS en Cost Management, se crea el rol en la consola de AWS. Debe tener el Rol de ARN e Id. externo de la consola AWS. Más adelante, se usan en la página Crear un conector de AWS en Cost Management.

Uso del asistente para la creación de directivas

1. Inicie sesión en la consola de AWS y seleccione Servicios.
2. En la lista de servicios, seleccione IAM.
3. Seleccione Directivas.
4. Seleccione Crear una directiva.
5. Seleccione Elegir un servicio.

Configuración del permiso para el informe de uso y costo

1. Escriba Cost and Usage Report (Informe de uso y costo).
2. Seleccione Nivel de acceso>Lectura>DescribeReportDefinitions. Este paso permite a Cost Management leer qué informes CUR están definidos y determinar si coinciden con el requisito previo de definición de informe.
3. Seleccione Agregar más permisos.

Configuración de permisos para el cubo de S3 y los objetos

1. Seleccione Elegir un servicio.
2. Escriba S3.
3. Seleccione Nivel de acceso>Enumeración>ListBucket. Esta acción obtiene la lista de objetos en el bucket de S3.
4. Seleccione Nivel de acceso>Lectura>GetObject. Esta acción permite la descarga de archivos de facturación.
5. Seleccione Recursos>Específico.
6. En cubo, seleccione el vínculo Agregar ARN para abrir otra ventana.
7. En Nombre del cubo de recursos, escriba el cubo que se usa para almacenar los archivos CUR.
8. Seleccione Agregar ARN.
9. En objeto, seleccione Cualquiera.
10. Seleccione Agregar más permisos.

Configuración de permisos para Cost Explorer

1. Seleccione Elegir un servicio.
2. Escriba Cost Explorer Service.
3. Seleccione All Cost Explorer Service actions (ce:*) (Todas las acciones de Cost Explorer Service [ce:*]). Esta acción valida que la colección es correcta.
4. Seleccione Agregar más permisos.

Adición de permisos para AWS Organizations

1. Escriba Organizations.
2. Seleccione Nivel de acceso>Enumeración>ListAccounts. Esta acción obtiene los nombres de las cuentas.
3. Seleccione Agregar más permisos.

Configuración de permisos para directivas

1. Escriba IAM.
2. Seleccione Nivel de acceso > Lista >ListAttachedRolePolicies, ListPolicyVersions y ListRoles.
3. Seleccione Nivel de acceso > Lectura >GetPolicyVersion.
4. Seleccione la directiva Recursos> y, después, Cualquiera. Estas acciones permiten comprobar que solo se concedió al conector el conjunto mínimo de permisos necesarios.
5. Seleccione Siguiente.

Revisar y crear

1. En Revisar la directiva, escriba un nombre para la nueva directiva. Compruebe que haya escrito la información correctamente.
2. Agregar etiquetas Puede indicar etiquetas que quiera usar u omitir este paso. Este paso no es necesario para crear un conector en Cost Management.
3. Seleccione Crear directiva para completar este procedimiento.

El JSON de la directiva debe ser similar al ejemplo siguiente. Reemplace bucketname por el nombre del cubo de S3, accountname por el número de cuenta y rolename por el nombre de rol que creó.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Uso del Asistente para crear un rol nuevo

1. Inicie sesión en la consola de AWS y seleccione Servicios.
2. En la lista de servicios, seleccione IAM.
3. Seleccione Roles y, a continuación, seleccione Crear un rol.
4. En la página Seleccionar entidad de confianza, seleccione Cuenta de AWS y, en Una cuenta de AWS, seleccione Otra cuenta de AWS.
5. En Id. de cuenta, escriba 432263259397.
6. En Opciones, seleccione Requerir un ID externo (practica recomendada si un tercero va a adoptar este rol).
7. En Id. externo, escriba el identificador externo, que es un código de acceso compartido entre el rol de AWS y Cost Management. Anote el id. externo, ya que lo usará en la página Nuevo conector de Cost Management. Microsoft recomienda que use una directiva de código de acceso segura al especificar el identificador externo. El identificador externo debe cumplir con las restricciones de AWS:
   • Escriba: String
   • Restricciones de longitud: longitud mínima de 2. Longitud máxima de 1224.
   • Debe cumplir el patrón de expresión regular: [\w+=,.@: /-]*.

   Nota:

   No cambie la selección de Require MFA (Requerir MFA) . Debe permanecer desactivado.

8. Seleccione Siguiente.
9. En la barra de búsqueda, busque la nueva directiva y selecciónela.
10. Seleccione Siguiente.
11. En Detalles del rol, escriba un nombre para el rol. Compruebe que haya escrito la información correctamente. Anote el nombre especificado porque lo usará más adelante al configurar el conector de Cost Management.
12. También puede agregar etiquetas. Puede escribir cualquier etiqueta u omitir este paso. Este paso no es necesario para crear un conector en Cost Management.
13. Seleccione Create Role (Crear rol).

Configuración de un nuevo conector para Amazon Web Services en Azure

Use la siguiente información para crear un conector de AWS y comenzar a supervisar los costos de AWS.

Nota

El conector para AWS permanece activo después de que finalice el período de prueba si establece la configuración de renovación automática en Activado durante la configuración inicial. De lo contrario, el conector se deshabilita después de su evaluación. Puede permanecer deshabilitado durante tres meses antes de que se elimine permanentemente. Una vez eliminado el conector, no se puede reactivar la misma conexión. Para obtener ayuda con un conector deshabilitado o para crear una nueva conexión después de eliminarla, cree una solicitud de soporte técnico en Azure Portal.

Requisitos previos

• Asegúrese de que tiene al menos un grupo de administración habilitado. Se requiere un grupo de administración para vincular la suscripción al servicio AWS. Para más información sobre cómo crear un grupo de administración, consulte Creación de un grupo de administración en Azure.
• Asegúrese de ser administrador de la suscripción.
• Complete la configuración necesaria para un nuevo conector de AWS, como se describe en la sección Creación de un informe de costo y uso en AWS.

Creación de un conector

1. Inicie sesión en Azure Portal.
2. Vaya a Cost Management + Billing y seleccione un ámbito de facturación, si es necesario.
3. Seleccione Análisis de costos y, luego, elija Configuración.
4. Seleccione Conectores para AWS.
5. Seleccione Agregar conector.
6. En la página Crear un conector, en Nombre para mostrar, escriba el nombre del conector.
   
7. Opcionalmente, seleccione el grupo de administración predeterminado. Almacena todas las cuentas vinculadas detectadas. Se puede configurar más adelante.
8. En la sección Facturación, en Renovación automática seleccione Activar si desea asegurarse de que funcionará de forma continuada. Si selecciona la opción automática, debe seleccionar una suscripción de facturación.
9. Para Rol de ARN, escriba el valor que usó al configurar el rol en AWS.
10. Para Id. externo, escriba el valor que usó al configurar el rol en AWS.
11. Para Nombre del informe, escriba el nombre que creó en AWS.
12. Seleccione Siguiente y después Crear.

Los nuevos ámbitos de AWS, la cuenta consolidada de AWS y las cuentas vinculadas de AWS y sus datos de costo pueden tardar unas horas en aparecer.

Después de crear el conector, se recomienda asignarle control de acceso. Se asignan a los usuarios permisos para los ámbitos recién detectados: la cuenta consolidada de AWS y las cuentas vinculadas de AWS. El usuario que crea el conector es el propietario del conector, la cuenta consolidada y todas las cuentas vinculadas.

Al asignar permisos de conector a los usuarios después de que se produzca la detección no se asignan permisos a los ámbitos de AWS existentes. En su lugar, solo se asignan permisos a las nuevas cuentas vinculadas.

Realizar otros pasos

• Configure grupos de administración, si no lo ha hecho ya.
• Compruebe que se agregan nuevos ámbitos para el selector de ámbitos. Seleccione Actualizar para ver los datos más recientes.
• En la página Conectores de nube, seleccione el conector y seleccione Ir a la cuenta de facturación para asignar la cuenta vinculada a grupos de administración.

Nota

Los grupos de administración no se admiten actualmente para clientes con Contrato de cliente de Microsoft (MCA). Los clientes MCA pueden crear el conector y ver sus datos de AWS. Sin embargo, los clientes MCA no pueden ver los costos de Azure y los costos de AWS juntos en un grupo de administración.

Administración de conectores de Amazon Web Services

Cuando selecciona un conector en la página Conectores para AWS, puede:

• Seleccionar Ir a la cuenta de facturación para ver información de la cuenta consolidada de AWS.
• Seleccione Access Control para administrar la asignación de roles para el conector.
• Seleccione Editar para actualizar el conector. No se puede cambiar el número de cuenta de AWS, ya que aparece en el rol de ARN. Pero se puede crear un nuevo conector.
• Seleccione Comprobar para volver a ejecutar la prueba de comprobación y asegurarse de que Cost Management podrá recopilar datos mediante la configuración del conector.

Configurar grupos de administración de Azure

Coloque sus suscripciones de Azure y sus cuentas vinculadas de AWS en el mismo grupo de administración para crear una ubicación única en la que pueda ver información de varios proveedores de nube. Si quiere configurar su entorno de Azure con grupos de administración, consulte Configuración inicial de los grupos de administración.

Si quiere separar los costos, puede crear un grupo de administración que contenga solo las cuentas vinculadas de AWS.

Configuración de la cuenta consolidada de AWS

La cuenta consolidada de AWS combina la facturación y pago para varias cuentas de AWS. También actúa como una cuenta vinculada de AWS. Para ver los detalles de la cuenta consolidada de AWS, utilice el vínculo de la página de los conectores para AWS.

En la página, haga lo siguiente:

• Seleccione Actualizar para la actualización masiva de la asociación de cuentas vinculadas de AWS con un grupo de administración.
• Seleccione Access Control para establecer la asignación de roles para el ámbito.

Permisos para una cuenta consolidada de AWS

De forma predeterminada, los permisos para una cuenta consolidada de AWS se establecen durante la creación de la cuenta, en función de los permisos de conector de AWS. El creador del conector es el propietario.

El nivel de acceso se administra mediante la página Nivel de acceso de la cuenta consolidada de AWS. Sin embargo, las cuentas vinculadas de AWS no heredan permisos para la cuenta consolidada de AWS.

Configuración de una cuenta vinculada de AWS

La cuenta vinculada de AWS es donde se crean y administran los recursos de AWS. Una cuenta vinculada también actúa como límite de seguridad.

En esta página puede realizar las siguientes acciones:

• Seleccione Actualizar para la actualización de la asociación de una cuenta vinculada de AWS con un grupo de administración.
• Seleccione Access Control para establecer una asignación de roles para el ámbito.

Permisos para una cuenta vinculada de AWS

De forma predeterminada, los permisos para una cuenta vinculada de AWS se establecen durante la creación de la cuenta, en función de los permisos de conector de AWS. El creador del conector es el propietario. El nivel de acceso se administra mediante la página Nivel de acceso de la cuenta vinculada de AWS. Las cuentas vinculadas de AWS no heredan permisos de la cuenta consolidada de AWS.

Las cuentas vinculadas de AWS siempre heredan los permisos del grupo de administración al que pertenecen.

Pasos siguientes

• Ahora que ha instalado y configurado la integración de informes de uso y costo de AWS, continúe con Administración de los costos y el uso de AWS en Azure.
• Si no está familiarizado con el análisis de costos, consulte Guía de inicio rápido: Explore y analice los costos con Análisis de costos.
• Si no está familiarizado con los presupuestos en Azure, consulte Creación y administración de presupuestos.